Tag: ISAE 3402

  • SOC 2, ISO 27001 of ISAE 3402: wat vraagt je klant nu eigenlijk van je?

    SOC 2, ISO 27001 of ISAE 3402: wat vraagt je klant nu eigenlijk van je?

    Steeds vaker krijgen organisaties vragen van klanten over security, audits of compliance. Soms heel concreet, bijvoorbeeld:

    “Hebben jullie ISO 27001?”
    “Kunnen jullie een SOC 2 rapport delen?”
    “Hebben jullie een ISAE 3402 verklaring?”

    Voor veel organisaties voelt zo’n vraag als het begin van een zwaar traject. Certificering, audits, rapportages. Maar voordat je zo’n traject start, is het verstandig om eerst een andere vraag te stellen:

    Wat probeert de klant eigenlijk zeker te weten?

    Want in de praktijk blijkt vaak dat de vraag en de bedoeling niet hetzelfde zijn.

    Waarom klanten steeds vaker om assurance vragen

    Organisaties worden steeds afhankelijker van software, platforms en externe dienstverleners. Data wordt gedeeld, systemen worden gekoppeld en processen worden soms zelfs volledig uitbesteed.

    Wanneer een organisatie een deel van haar bedrijfsvoering afhankelijk maakt van een leverancier, ontstaat er een logisch risico. Als die leverancier fouten maakt, onvoldoende beveiligd is of processen niet goed beheerst, kan dat direct gevolgen hebben voor de klant.

    Daarom vragen steeds meer organisaties om bewijs dat processen en beveiliging onder controle zijn.

    Die vragen gaan meestal over drie onderwerpen: informatiebeveiliging, betrouwbaarheid van processen en continuïteit van dienstverlening.

    Opvallend genoeg gaat de vraag van een klant zelden echt over een specifieke norm. In de kern gaat het meestal om iets anders:

    Kunnen we erop vertrouwen dat jullie je zaken aantoonbaar op orde hebben?

    Verschillende vormen van certificering en assurance proberen dat vertrouwen op verschillende manieren zichtbaar te maken.

    ISO 27001: certificering van een managementsysteem

    ISO 27001 is een internationaal erkende norm voor informatiebeveiliging. De norm beschrijft hoe organisaties hun beveiliging structureel organiseren via een Information Security Management System (ISMS).

    Zo’n managementsysteem omvat onder andere een risicoanalyse, gekozen beveiligingsmaatregelen, beleid en procedures, monitoring en continue verbetering.

    Tijdens een certificeringstraject toetsen auditors of deze structuur daadwerkelijk functioneert. Zij kijken bijvoorbeeld naar de manier waarop risico’s worden geïdentificeerd, hoe maatregelen worden gekozen en beheerd, hoe incidenten worden opgevolgd en hoe verbeteringen worden doorgevoerd.

    Een risicoanalyse vormt daarbij een belangrijke basis voor het bepalen van passende beveiligingsmaatregelen.

    Het resultaat van een ISO 27001 traject is een certificaat, met jaarlijkse audits om te controleren of het managementsysteem blijft functioneren.

    ISO 27001 laat daarmee zien dat een organisatie informatiebeveiliging niet incidenteel regelt, maar structureel organiseert.

    Wie meer wil weten over hoe zo’n managementsysteem werkt, kan ook lezen: Wat is een ISMS en waarom is het belangrijk voor jouw bedrijf.

    SOC 2: assurance over interne controles

    SOC 2 is een assurance-raamwerk dat veel wordt gebruikt door technologiebedrijven en dienstverleners, vooral wanneer zij internationale klanten bedienen.

    In tegenstelling tot ISO 27001 is SOC 2 geen certificering, maar een auditrapport dat wordt opgesteld door een onafhankelijke auditor.

    De beoordeling is gebaseerd op de Trust Services Criteria, waaronder security, beschikbaarheid, vertrouwelijkheid, privacy en processing integrity.

    Tijdens een SOC 2 onderzoek beoordeelt een auditor of de interne controles van een organisatie passend zijn ingericht en of zij daadwerkelijk functioneren.

    Er bestaan twee varianten.

    SOC 2 Type I

    Beoordeelt of de controles op een bepaald moment goed zijn ingericht.

    SOC 2 Type II

    Beoordeelt ook of deze controles daadwerkelijk hebben gewerkt over een langere periode, meestal zes tot twaalf maanden.

    Het resultaat is een assurance-rapport dat organisaties kunnen delen met klanten en partners.

    Waar ISO 27001 een managementsysteem certificeert, rapporteert SOC 2 vooral over de opzet en werking van interne controles binnen de gekozen scope.

    ISAE 3402: assurance over uitbestede processen

    ISAE 3402 komt vooral voor bij organisaties die processen uitvoeren namens hun klanten.

    Denk bijvoorbeeld aan payroll-providers, administratieve dienstverleners of platforms die financiële processen ondersteunen.

    Het doel van een ISAE 3402 rapport is om aan te tonen dat de interne controles rond deze dienstverlening betrouwbaar functioneren.

    Dit is vooral relevant wanneer de dienstverlening invloed heeft op de financiële controleomgeving of financiële verslaggeving van de klant.

    Net als bij SOC 2 bestaan er twee varianten.

    Type I

    Een beoordeling van de opzet van het controlesysteem op een bepaald moment.

    Type II

    Een beoordeling van de werking van die controles over een langere periode.

    ISAE 3402 richt zich daarmee minder op informatiebeveiliging als geheel en meer op de betrouwbaarheid van processen die organisaties namens hun klanten uitvoeren.

    Waarom deze vragen vaak door elkaar lopen

    In de praktijk worden deze begrippen regelmatig door elkaar gebruikt.

    Een klant vraagt bijvoorbeeld om SOC 2 terwijl hij eigenlijk zekerheid wil over informatiebeveiliging. Een contract noemt ISAE 3402 terwijl het vooral over IT-security gaat. En soms vraagt een organisatie om ISO 27001 omdat dat de bekendste norm is.

    Dat gebeurt om verschillende redenen. Compliance-eisen worden vaak overgenomen uit bestaande contracten. In andere gevallen worden voorwaarden gekopieerd uit sectoren waar andere assurance-vormen gebruikelijk zijn. En soms weten klanten zelf niet precies welk type bewijs ze eigenlijk nodig hebben.

    Het gevolg is dat organisaties soms een zwaar traject starten voor een vraag die eigenlijk anders bedoeld was.

    Hoe bepaal je wat werkelijk nodig is

    De keuze tussen ISO 27001, SOC 2 of ISA 3402 hangt sterk af van de context waarin een organisatie opereert.

    ISO 27001 past goed wanneer je informatiebeveiliging structureel wilt organiseren en meerdere klanten zekerheid verwachten over security.

    SOC 2 komt vaker voor wanneer je internationale klanten bedient en klanten expliciet vragen om assurance-rapporten over interne controles.

    ISAE 3402 wordt vooral relevant wanneer je processen uitvoert die invloed hebben op de financiële controle van je klanten.

    Het doel is niet om zoveel mogelijk certificeringen of audits te verzamelen.

    Het doel is om het juiste bewijs te leveren voor de vraag die werkelijk wordt gesteld.

    Wat veel organisaties te laat ontdekken

    Veel organisaties starten een traject omdat één klant ernaar vraagt, een tender het noemt of omdat een certificering professioneel klinkt.

    Pas later blijkt dat de vraag eigenlijk anders bedoeld was, dat een lichter traject voldoende was geweest of dat de interne structuur nog niet klaar was voor zo’n audit.

    Daarom is de belangrijkste vraag vooraf niet:

    “Welke norm moeten we halen?”

    Maar:

    “Welk vertrouwen probeert de klant eigenlijk te krijgen?”

    Wanneer je dat helder hebt, kun je gerichter bepalen welke vorm van certificering of assurance daarbij past.

    Structuur vóór certificering

    Organisaties die starten met ISO-, SOC- of assurance-trajecten ontdekken vaak dat dezelfde basis nodig is.

    Risico’s moeten worden geïdentificeerd.
    Beheersmaatregelen moeten worden vastgelegd.
    Audits moeten worden uitgevoerd.
    Verbeteringen moeten worden opgevolgd.

    Wanneer die structuur ontbreekt, verandert compliance al snel in administratief werk.

    In CompliTrack komen risico’s, maatregelen, audits en verbeteracties samen in één overzichtelijke structuur. Daardoor ontstaat het inzicht dat nodig is voor certificeringen en assurance-trajecten, zonder dat organisaties hun processen onnodig hoeven te verzwaren.

    Verder lezen

    Wil je dieper ingaan op onderwerpen uit deze blog, dan zijn deze artikelen ook relevant:

  • Alles was op papier geregeld. Tot SOC 2 om bewijs vroeg.

    Alles was op papier geregeld. Tot SOC 2 om bewijs vroeg.

    Ze hadden er maanden aan gewerkt.

    Een informatiebeveiligingsbeleid. Een risicoregister. Procedures voor onboarding, back-ups, toegangsbeheer. Alles keurig uitgewerkt, besproken met het team en opgeslagen in een strak georganiseerde map op SharePoint.

    Toen de SOC 2-audit dichterbij kwam, dachten ze: we zijn er klaar voor. En eerlijk gezegd leek het ook zo.

    Tot de auditor niet vroeg wát ze hadden, maar hoe ze konden aantonen dat het ook wérkte.

    De eerste vragen waren nog overzichtelijk:

    “Wanneer is dit beleid voor het laatst geëvalueerd?”
    “Wie is verantwoordelijk voor deze beheersmaatregel?”
    “Hoe volgen jullie actiepunten op?”
    “Welke risico’s zijn herzien na de wijziging van april?”

    Het team wist het ongeveer. Maar ze konden het niet laten zíen. Er was geen log. Geen taakgeschiedenis. Geen centraal overzicht. Wat ze wél hadden: Word-bestanden, Excel-sheets en e-mails.

    Versiebeheer gebeurde op gevoel.
    Acties zaten in hoofden.
    En processen waren onzichtbaar – behalve op papier.

    Het moment waarop controle verandert in twijfel

    De documenten waren inhoudelijk prima. Daar lag het niet aan. Maar er ontbrak iets: structuur. Traceerbaarheid. Bewijs.

    Toen de auditor vroeg waar hij kon zien dat taken ook echt waren uitgevoerd, werd het ongemakkelijk.

    De verantwoordelijke medewerker was ziek.
    Verzonden e-mails? Misschien nog ergens.
    Evaluatie van het beleid? Besproken in het teamoverleg, maar nergens vastgelegd.

    Wat eerst voelde als controle, veranderde in twijfel. En die twijfel werd zichtbaar.

    In onze eerdere blog over risicoanalyse schreven we:
    “De risicoanalyse hoeft niet perfect te zijn. Maar hij moet leven in je organisatie” –> De risicoanalyse: een onmisbaar instrument voor elke ondernemer

    In een SOC 2-traject wordt dat pijnlijk duidelijk. Je krijgt niet de vraag: “Heb je het geregeld”, je krijgt de vraag: “Kun je aantonen dat het werkt?”.

    De fout die veel bedrijven maken

    Ze beginnen met beleid. Logisch – dat is tastbaar. Iets dat je kunt schrijven, opslaan, afvinken.

    Maar beleid zonder opvolging is façade, en SOC 2 kijkt dwars door façades heen.

    Je moet kunnen aantonen:

    • Wat de status is van je beheersmaatregelen
    • Welke taken zijn uitgevoerd, door wie, en wanneer
    • Hoe incidenten worden geregistreerd en opgevolgd
    • Wanneer je risico’s hebt herzien – en waarom

    Als dat overzicht ontbreekt, ontstaat auditstress. En soms: auditfalen.

    Wat CompliTrack anders doet

    CompliTrack is ontworpen voor dit soort situaties.
    Voor bedrijven die wél serieus werk willen maken van compliance, maar geen zwaar en log GRC-systeem nodig hebben.

    Met CompliTrack:

    • Koppel je beleid aan risico’s, processen en acties
    • Volg taken automatisch op – met eigenaarschap en herinneringen
    • Bewijs wie wat heeft gedaan – en wanneer
    • Houd je auditacties overzichtelijk en aantoonbaar
    • Voorkom dat auditvoorbereiding voelt als damage control

    Zo wordt compliance niet iets dat je bijhoudt, maar iets dat je organiseert.

    Zoals we eerder schreven
    “Je hoeft geen zware tool te kiezen. Maar je hebt wél een systeem nodig dat niet uit elkaar valt zodra iemand dóórvraagt.” –> Wat een lichtgewicht GRC-systeem wél moet kunnen doen voor het MKB

    Later deze week publiceren we een praktische blog:
    Wat is SOC 2 – en waarom je ‘m niet haalt met een mapje Word-bestanden.

    Sta je aan het begin van een SOC 2- of ISA3402-traject?

    Of wil je zeker weten dat je niet alleen op papier compliant bent?

    Met CompliTrack maak je beleid, risico’s en opvolging aantoonbaar. Zonder paniek. Zonder zoekwerk. Zonder twijfel.

    Vraag een demo aan – en ontdek hoe grip eruit ziet.