1. IT Audit & Assurance
  2. ISAE 3402 Audit
  3. Stappenplan uitvoering ISAE 3402

Stappenplan uitvoering ISAE 3402

Benieuwd hoe de uitvoering van ISAE 3402 in zijn werk gaat? Dit hebben we hieronder voor je in kaart gebracht aan de hand van 6 duidelijk stappen. Heb je vragen? Bel direct naar 085-0200070 of mail info@avensus.nl om vrijblijvend te praten over de mogelijkheden en oplossingen. Wij helpen je met alle plezier verder!

1. Scoping

In deze fase zullen wij samen met jou inventariseren welke activiteiten onderdeel uitmaken van de scope van het ISAE 3402-rapport. De beschreven activiteit wordt vervolgens vastgelegd in een scopingsdocument dat kan worden gebruikt voor afstemming met de uitbestedende organisatie(s).

2. Risicoanalyse

In deze fase zullen wij samen met jou een risicoanalyse uitvoeren, waarin de mate van gevoeligheid voor externe en interne risico’s in kaart wordt gebracht. Op basis van de risicoanalyse wordt per activiteit duidelijk met welke risico’s rekening moet worden gehouden bij het formuleren van de beheersdoelstellingen en -maatregelen.

3. Beheersdoelstellingen en -maatregelen

Op basis van de scoping en de risicoanalyse wordt vastgesteld wat de beheersdoelstellingen en –maatregelen moeten zijn. Vastgesteld moet worden per risico en per activiteit, welke maatregelen genomen dienen te worden om het risico te mitigeren. De beheersmaatregelen dienen ingebed te zijn in de organisatie middels o.a. beleid, processen en werkinstructies. De auditor zal op basis van de beheersdoelstellingen en –maatregelen het werkplan voor de audit opstellen.

4. Pré-audit en Gap remediation

Avensus zal op basis van de beheersmaatregelen en de wijze waarop deze zijn geborgd in de organisatie een pré-audit uitvoeren. De serviceorganisatie dient vervolgens de eventueel gebleken leemtes en tekortkomingen op te pakken zodat de daadwerkelijke audit kan worden uitgevoerd. Indien tijdens de pré-audit blijkt dat er geen leemtes of tekortkomingen zijn kan direct gestart worden met de audit.

5. Audit volgens de ISAE 3402-standaard

Avensus voert de audit volgens de ISAE 3402-standaard uit. De activiteiten die worden onderzocht zijn gedefinieerd in het scopingsdocument. De criteria die worden onderzocht bestaan uit de vastgestelde beheersmaatregelen van stap 3.

6. Afstemmen concept rapport en opleveren definitief rapport

Avensus stelt eerst een concept rapport op, deze wordt met jou inhoudelijk doorgesproken. Vervolgens wordt aan jou een definitief rapport opgeleverd.

Lees hier verder over een voorbeeld ESAE 3402 audit.

Wil je ondersteuning voor ENSIA of meer informatie?

We komen graag met je in contact, bel 085-0200070 of mail info@avensus.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen. Wij helpen je met alle plezier verder!

Wat kunnen wij voor jou betekenen?

ENSIA

De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen.

SOC 2

Rapporteert op basis van vastgestelde principes welke een relatie hebben met de opzet, bestaan en werking van operational IT-controls met betrekking tot uitbestede processen. Een SOC-rapport is opgesteld volgens de SOC-rapportagenormen.

BIO

De Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van alle normen (BIWA, BIG, BIR en IBI) die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27002.

ISAE 3402

De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. De ISAE 3000 wordt ook wel dé internationale opvolger van de Amerikaanse SAS 70-certificering genoemd. In tegenstelling tot SAS 70, is ISAE 3000 een internationale standaard.

DigiD

Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren. De DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties.

Het Team

Avensus is een organisatie waar meedenken met de klant voorop staat. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om je deskundig te ondersteunen. Avensus helpt je graag op een breed vakgebied om “in control” te blijven met betrekking tot jouw ICT activiteiten vandaag en in de toekomst.

De auditors en consultants van het Avensus, IT Audit & Assurance team kunnen zich snel in jouw bedrijfsprocessen inleven en kunnen daardoor in een kort tijdsbestek een deskundig, onpartijdig een betaalbaar traject uitvoeren. Onze IT-auditors hebben kennis van diverse branches zoals retail, overheid, bancair, verzekering en de ICT-branche (hosting, datacenters, etc.). Wij voeren diverse soorten IT-audits uit zoals Third Party Memorandum, ISAE 3000, ISAE 3402, SOC2 BIO, VIPP, DigiD, SURF en nog veel meer.

Nieuws & Blog

Menu