ISAE 3000 compliance is een actueel onderwerp in de technologie sector en cloud computing. ISAE 3000 wordt veel toegepast bij zogenaamde SOC2 rapportages of rapportages ten aanzien van de General IT Controls (GITC’s).

IT controls

Organisaties die diensten verrichten die geen effect hebben op de jaarrekening van hun klanten, kunnen deze activiteiten laten ‘certificeren’ volgens ISAE 3000. De algemene IT controls of (GITC’s) worden beschreven door de organisatie en voorzien van een assurance mededeling door een externe accountant. Een dergelijke audit wordt dan uitgevoerd volgens ISAE 3000. Het normenkader voor deze audit kan in een dergelijk geval de Trust Service Principes of een meer generiek normenkader, zoals bijvoorbeeld COBiT. Indien uw klanten zich ook in de Verenigde Staten bevinden dan is het aan te bevelen om een SOC2 rapportage volgens de Trust Service Principes te laten opstellen.

ISAE 3000 en SOC2

SOC2 is een onderdeel van het AICPA Service Organisatie Control Rapportage platform. Door de AICPA wordt een onderscheid gemaakt naar drie soorten rapportages; een SOC1 (een ISAE 3402 rapportage), een SOC2 een rapportage in overeenstemming met de AT 101 (trust service principes).

De vijf verplichte onderdelen van de Trust Service Principes zijn:

  • Security. Systemen zijn beveiligd, zowel logische beveiliging als fysieke beveiliging tegen ongeautoriseerde toegang.
  • Beschikbaarheid. Het systeem is beschikbaar voor gebruik zoals overeengekomen
  • Processing integriteit. Verwerking van processen is volledig, juist en geautoriseerd.
  • Vertrouwelijkheid. Informatie die is aangemerkt als ‘vertrouwelijk’ is beveiligd zoals overeengekomen.
  • Privacy. Persoonlijke informatie wordt verzameld, gebruikt, opgeslagen en beschikbaar gesteld in overeenstemming met de afspraken in de privacy overeenkomst en met de privacy principes.

ISAE 3402 en ISAE 3000

ISAE 3402 compliance is afgestemd op service organisaties die financiële informatie voor klanten verwerken. ISAE 3000 is ontworpen voor het groeiende aantal technologie bedrijven en cloud computing entiteiten die steeds meer gemeengoed worden in de wereld van service organisaties. Indien een organisatie bijvoorbeeld uitsluitend werkplekbeheer doet voor haar klanten of alleen webservers beheert dan is een ISAE 3402 verklaring mogelijk niet noodzakelijk.

Toenemende vraag naar ISAE 3000

In eerste instantie was ISAE 3000 compliance in grote mate ‘overschaduwd’ door ISAE 3402 compliance. Hierin vindt een geleidelijke verschuiving plaats. Technologie en Cloud computing organisaties beginnen steeds meer te realiseren wat de waarde is van ISAE 3000. Het is de verwachting dat veel organisaties die uitsluitend IT diensten verlenen in de toekomst vaker om een ISAE 3000 dan een ISAE 3402 rapportage zullen vragen.

Documentatie is essentieel

ISAE 3000 vereist dat er begrijpelijke informatie beveilingingsprocedures en beleid is beschreven en dat dit gevolgd wordt. Beleid vormt de basis voor een sterke interne beheersing omgeving. Conclude kan uw organisatie ondersteunen bij de ontwikkeling van dit beleid vanuit haar groepsmaatschappij SASconsult.

ISAE 3000 Audit

Conclude Accountants Utrecht kan de volledige ISAE 3000 audit voor u verzorgen, zowel volgens de international ISAE 3000 standaard als de SSAE16 SOC 2 standaard vanuit de Verenigde Staten.

Onbepaald