1. IT Audit & Assurance
  2. ISAE 3402 Audit
  3. Verschil tussen ISAE 3402 rapport type 1 en type 2

Verschil tussen ISAE 3402 rapport type 1 en type 2

Lees hieronder het verschil tussen de twee typen (ISAE 3402) Service Organisatie Control-rapporten: Type 1 en Type 2. Heb je hier vragen over? We komen graag met je in contact, bel ons op 085-0200070 of mail info@avensus.nl om vrijblijvend te praten over de mogelijkheden en oplossingen. Wij helpen je met alle plezier verder!

ISAE 3402 rapport type 1

Het Type I-rapport betreft een momentopname. Een Type I Service Organisatie Control-rapport beschrijft het proces en de beheersingsmaatregelen zoals deze op een bepaald moment geïmplementeerd zijn. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen om de gestelde beheersingsdoelstelling te bereiken en stelt de implementatie ervan vast. Basaal gesteld beantwoordt de auditor de vraag: “Komt de beschrijving van het rapport overeen met de werkelijke situatie?”. Het oordeel van de auditor wordt verwoord in het auditorsrapport.

ISAE 3402 rapport type 2

Het Type 2-rapport betreft een periode, meestal zes maanden tot een jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de gedefinieerde periode hebben gewerkt. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen voor het bereiken van de beheersingsdoelstelling en stelt vast dat de implementatie ervan gedurende de Assurance rapportperiode in overeenstemming met de beschrijving is. Daarnaast wordt de effectiviteit (werking) van de beheersingsmaatregelen gedurende de Assurance rapportperiode door de auditor getest. Het oordeel wordt door de auditor verwoord in het auditorsrapport. De uitgevoerde testwerkzaamheden met betrekking tot de beheersingsmaatregelen en de bevindingen worden aan het rapport toegevoegd, meestal in een sectie met de titel ‘informatie verstrekt door de service auditor’.

Indien over een Service Organisatie Control-rapport wordt gesproken, wordt over het algemeen een Type 2-rapport bedoeld. Een Type 1-rapport moet worden gezien als informatief rapport. Het ontbreken van zekerheid over de werking betekent dat het rapport geen direct bewijs levert voor de oordeelsvorming over de uitkomsten van het proces.

Wat kunnen wij voor jou betekenen?

ENSIA

De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen.

SOC 2

Rapporteert op basis van vastgestelde principes welke een relatie hebben met de opzet, bestaan en werking van operational IT-controls met betrekking tot uitbestede processen. Een SOC-rapport is opgesteld volgens de SOC-rapportagenormen.

BIO

De Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van alle normen (BIWA, BIG, BIR en IBI) die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27002.

ISAE 3402

De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. De ISAE 3000 wordt ook wel dé internationale opvolger van de Amerikaanse SAS 70-certificering genoemd. In tegenstelling tot SAS 70, is ISAE 3000 een internationale standaard.

DigiD

Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren. De DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties.

Het Team

Avensus is een organisatie waar meedenken met de klant voorop staat. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om je deskundig te ondersteunen. Avensus helpt je graag op een breed vakgebied om “in control” te blijven met betrekking tot jouw ICT activiteiten vandaag en in de toekomst.

De auditors en consultants van het Avensus, IT Audit & Assurance team kunnen zich snel in jouw bedrijfsprocessen inleven en kunnen daardoor in een kort tijdsbestek een deskundig, onpartijdig een betaalbaar traject uitvoeren. Onze IT-auditors hebben kennis van diverse branches zoals retail, overheid, bancair, verzekering en de ICT-branche (hosting, datacenters, etc.). Wij voeren diverse soorten IT-audits uit zoals Third Party Memorandum, ISAE 3000, ISAE 3402, SOC2 BIO, VIPP, DigiD, SURF en nog veel meer.

Nieuws & Blog

Menu