ISAE3000

ISAE 3000

Assurance voor IT Dienstverlening

ISAE3000:  IT Assurance voor IT Dienstverleners.

IT Organisaties en IT afdelingen besteden vaker IT diensten uit aan gespecialiseerde leveranciers, waaronder SaaS leveranciers, datacenters en IT Service providers.

Externe toezichthouders eisen vaker dat de leveranciers zekerheid bieden over de geleverde IT diensten, inclusief alle onderaannemers. Dit kan d.m.v. van de uitvoering van een ISAE3000 audit bij de dienstverlener, waarna er een IT Asssurance wordt afgegeven als een ISAE3000 statement.

Wij bij Cyberus beschikken over gecertificeerde IT Auditors en Consultants, en begrijpen hoe wij organisaties kunnen ontlasten en ontzorgen in het verkrijgen en behouden van een ISAE3000 statement. 

De Cyberus Consultants begeleiden organisaties, van MKB tot Corporates, met het behalen van de ISAE3000 assurance als een IT Audit en Compliance partner. Daarnaast zijn de Cyberus IT Auditors instaat om ISAE3000 audits uit te voeren en assurance statements af te geven.

Voor meer informatie neem gerust contact met ons op!

ISAE 3000 Statement behalen'



 Wij vanuit Cyberus ontzorgen in het behalen van een ISAE 3000 statement.


In de uitvoering van de daadwerkelijke IT Audit, biedt Cyberus transparantie en efficiëntie in de uitvoering van de de ISAE 3000 audit.


Cyberus hanteert 4 fases voor zowel audit als advies voor ISAE 3000


Fase 1

Scoping &
Planning

De eerste stap is de inventarisatie van de scope van het ISAE3000 rapport, op basis hiervan wordt een planning voor het audittraject opgesteld.


Het doel hierbij is de planning van de 'ISAE3000 audit' of ' ISAE3000 implementatietraject' vast te stellen.


Er dient een keuze gemaakt te worden of het advieswerk betreft of de daadwerkelijke audit.

Fase 2

Risicoprofiel &
doelstelling

Na de scope en planning bepaling wordt er een risicoanalyse uitgevoerd evenals de beheersdoelstellingen opgesteld.


Het doel hiervan is de verdere specificatie van de doelstelling van de audit te specificeren van de daadwerkelijk uitvoering of implementatie.




Fase 3

Pre-audit &
Mitigatie

Gedurende de derde fase zal de pre-audit worden uitgevoerd om het geïmplementeerde controle mechanismes. Middels de pre-audit, kunnen de mogelijke bevindingen worden gemitigeerd.


Het doel is het

identificeren van de mogelijke bevindingen en deze te mitigeren voordat de daadwerkelijke audit en zal plaatsvinden.

Fase 4

Audit &
Assurance

Gedurende de vierde en laatste fase zal de audit worden uitgevoerd of zal er ondersteuning worden geleverd, t.b.v. de uitvoering van de audit. Dit ten behoeve van ontzorging.


Het doel is hierbij is de uitvoering van de audit of ondersteuning in het verkrijgen van een ISAE3000 assurance report in Type 1 of Type 2.

Belang: Third Party Assurance IT Dienstverlening

In de afgelopen jaren heeft de uitbesteding van delen van de activiteiten door (gebruikers)organisaties aan serviceorganisaties een grote vlucht genomen. Voorbeelden hiervan zijn het uitbesteden van IT diensten naar derde partijen, waaronder SaaS providers, datacenters en cloud providers.

Verstoringen van deze uitbestede diensten kunnen een grote impact hebben op de gebruikersorganisaties en het goed functioneren van deze processen zijn daarom van belang voor de gebruikersorganisaties. Juist om deze reden willen de gebruikersorganisaties periodieke rapportages over de kwaliteit van uitbestede diensten. Deze rapportages dienen te worden opgesteld door onafhankelijke auditors en worden ISAE rapportages genoemd.

Een ISAE3000 (International Standard on Assurance Engagements) rapport is relevant voor IT service organisaties welke zekerheid willen bieden over beheersmaatregelen op het vlak van beveiliging, beschikbaarheid, integriteit en betrouwbaarheid van processen en data en privacy.  

Aanvullende informatie: ISAE3000 Type 1/2

Een ISAE 3000 rapport betreft een door de onafhankelijke auditor opgesteld assurance rapport dat zekerheid verschaft over
beheersingsmaatregelen welke in het betreffende rapport zijn opgenomen. Een ISAE 3000 rapportage kenmerkt zich door de volgende eigenschappen:
  • Standaard structuur Service Organisatie Control rapporten
  • Oordeel met redelijke mate van zekerheid en beperkte mate van zekerheid mogelijk (ISAE 3402 alleen redelijke mate van zekerheid)
  • Mogelijkheid tot variant Type I en Type II (hieronder uitgelegd)
  • Geen minimale review periode (wel advies vanuit NOREA dat Type II rapport minimaal betrekking heeft op een periode van drie maanden).
  • Bedoeld voor een publiek welke de inhoud en doelstelling van het rapport kunnen begrijpen (management van de Service Organisatie zelf, management gebruikersorganisatie, gebruikers bij selecteren van potentiële serviceorganisatie, accountants, auditors en toezichthoudende autoriteiten). 
De uiteindelijke scope van een ISAE 3000 audit wordt in samenspraak met u door onze specialisten samenstelt, hierbij kunnen o.a. de volgende gebieden deel uitmaken van de scope: Change management, verwerving, ontwikkeling en onderhoud van informatiesystemen, ontwikkeling van software, service level management, beheer van informatiebeveiligingsincidenten, vendor management, toegangsbeveiliging, fysieke beveiliging, beveiliging van de omgeving, beheer van bedrijfsmiddelen, personele beveiligingseisen, continuïteitsbeheer, privacy beheer en naleving.

In het geval van een type I Service Organisatie Control-rapport toetst de auditor de toereikendheid van de beschreven beheersingsmaatregelen om de gestelde beheersingsdoelstelling te bereiken en stelt de implementatie ervan vast. De beheersingsmaatregelen worden vastgesteld zoals deze op een bepaald moment geïmplementeerd zijn. 
Een type II rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de een bepaalde gedefinieerde periode hebben gewerkt (vaak 6 maanden tot een jaar). Hierbij dient in het specifieke geval van de ISAE 3000 rapportage te worden vermeld dat er geen minimale periode is beschreven waarop het rapport (en de audit) minimaal betrekking dienen te hebben (wel advies vanuit NOREA dat een ISAE 3000 Type II rapport minimaal betrekking heeft op een periode van drie maanden).

Kennismaking

Voor een kennismaking met Cyberus, met de consultants en IT auditors over SOC2 neem gerust contact met ons op. 


Dit kan via virtuele afspraak of gewoon bij ons bij op kantoor met een kop koffie.


Ons kantoor is gevestigd bij de HSD (the Hague Security Delta) in Den Haag naast station Den Haag Laan van NOI. Parkeren is mogelijk onder het pand.


In contact met Cyberus

Share by: