Waarom een derdenverklaring of een ‘in control statement’ gebaseerd op ISAE 3000?
Aan organisaties en dienstverleners worden steeds meer eisen gesteld aan het structureel borgen van processen en systemen rondom (persoons-)gegevens en vertrouwelijke informatie. Het goed inrichten van processen, het risicomanagement en de ICT-management zijn hiervoor cruciale items.
Als professionele ICT-partner en/of -dienstverlener kan dit certificaat een bijdrage leveren aan het positief onderscheiden in de markt. Het toont aan dat de organisatie een structurele en vakkundige borging van de eigen en daardoor ook de processen en gegevens van haar klanten heeft. Ook wordt een dergelijk certificaat vaak gezien als een constant streven naar verbetering en professionalisering van een organisatie.
Binnen diverse branches waarin je als klant actief bent, is het in bezit hebben van en kunnen omgaan met vertrouwelijke (persoons-)gegevens steeds meer cruciaal.
Het bevestigt naar jouw klanten dat je zowel continu op een betrouwbare en duurzame wijze wil blijven leveren van kwalitatief hoogwaardige ICT oplossingen en diensten. Het in bezit hebben van een derdenverklaring of een ‘in control statement’ waarin deze standaard is opgenomen is voor een dienstverlener op het gebied van ICT t.a.v. de huidige (en tevens ook toekomstige) klanten steeds meer een ‘must’. Het geeft hen tevens een gevoel van zekerheid en rust betreffende het functioneren van de ICT omgeving.
Wat wordt er getoetst bij een derdenverklaring of ‘in control statement’ gebaseerd op ISAE 3000?
Er wordt met een klant vooraf gesproken over de gebieden waarover de toetsing zal plaatsvinden.
Mogelijke items waarop ge-audit kan worden zijn:
- Fysieke beveiliging en beveiliging van de omgeving
- Beheer van bedrijfsmiddelen
- Personele beveiligingseisen
- Beheer van communicatie en bedieningsprocessen
- Toegangsbeveiliging
- Verwerving, ontwikkeling en onderhoud van informatiesystemen
- Beheer van informatiebeveiligingsincidenten, Bedrijfscontinuïteitsbeheer en naleving.
- Ontwikkeling van software
- Change management
- Service Levelmanagement
Aangezien Avensus COBIT of ISO27001 als uitgangspunt kan gebruiken is het goed mogelijk om deze punten aan te vullen met jouw eigen geformuleerde maatregelen.
Wil je een een derdenverklaring of ‘in control statement’ gebaseerd op ISAE 3000 uit laten voeren?
Avensus biedt experts die op korte termijn, professioneel, duidelijke en betaalbare audits ook op ISAE 3000 normen kunnen uitvoeren. Wij zijn aangesloten bij de Nederlandse Organisatie van Register EDP-auditors (NOREA) en het Nederlands Genootschap voor Informatica (NGI). Bij het toetsen aan de ISAE 3000 normen beoordeeld een onafhankelijke auditor of een organisatie interne beheerprocessen heeft ingericht en of die ook daadwerkelijk worden uitgevoerd zoals ze zijn beschreven.
Wil je een onderzoek op de ISAE 3000 normen laten uitvoeren of informatie over deze audit? Neem contact op, bel 085-0200070 of mail info@avensus.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen. Wij helpen je met alle plezier verder!
Welke audit of onderzoek?
Op het gebied van onderzoeken (audits) en certificaten zijn steeds meer mogelijkheden te vinden op de markt. Er zijn hele (branche-)specifieke en meer algemene audits. Avensus heeft een breed scala aan audits en onderzoeken die ze voor jou kan verzorgen, TPM, SSAE 16, Pentesten, DigiD-audit, ISAE 3402, System audit, Continuïteits-audit, Informatiebeveiliging, EDP-audit, ISO 27001, ISO 27002, ISO 27005, Informatiebeleid, Implementatie en auditing van General IT Controls en IT-audit bij gemeenten.
Hiernaast vind je een overzicht van onze diensten met meer informatie per onderzoek/audit. Ook voor advies ten aanzien van welke audit, certificaat of onderzoek voor jouw organisatie het meest relevant is helpt Avensus je graag, kom met ons in contact, bel 085-0200070 of mail info@avensus.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen. Wij helpen je met alle plezier verder!
Hoe kan ik een audit/onderzoek voorbereiden?
Indien gewenst kan Avensus een Pre-audit voor je verzorgen. Met een pre-audit kunnen we in kaart brengen in hoeverre jouw organisatie voldoet aan de vereiste normen waarmee een organisatie naar derden wil laten zien dat ze voldoet aan bijvoorbeeld internationale standaarden. Avensus voert bijvoorbeeld de pre-audits uit voor onder meer ISO 27001 (Informatiebeveiliging), NEN 7510 (Informatiebeveiliging voor de zorgsector) en NEN-ISO/IEC 20000-1 (Service Management). De uitkomsten van onze pre-audit vormen de basis voor jouw verbetertraject: ‘wat moet er nog gebeuren om te voldoen aan de norm’?
Ook kan je na onze pre-audit beter inschatten of daadwerkelijke certificering een haalbare kaart is. Hiermee voorkom je onnodige kosten. Wij kunnen naast de genoemde audits nog veel meer voor je betekenen. Zoals het uitvoeren van gegevens- en bestandsaudits, privacy audits in het kader van de Wet bescherming persoonsgegevens en due-dilligence (overname) onderzoeken.