Globeteam
ISAE 3402
Home » Sikkerhed » Compliance » ISAE 3402
Dokumenter at din virksomhed har styr på it-sikkerheden med en ISAE 3402-revisionserklæring
Som it-serviceleverandør til det offentlige skal man kunne fremvise enten en ISAE 3000 eller en ISAE 3402-revisionserklæring – og det samme gør sig i stigende grad gældende i det private erhvervsliv. Med en ISAE 3402 kan I dokumentere, at I har styr på it-sikkerheden. Både generelt og i jeres specifikke leverancer. Globeteam hjælper jer med at strukturere og gennemføre en effektiv proces frem mod en audit.
ISAE 3402 viser, at man har et it-sikkerhedssystem, der er organiseret i overensstemmelse med et anerkendt rammeværk – typisk ISO 27001 – og at ens it-leverancer derfor sker på betryggende vis. Erklæringen forholder sig til alle forretningsgange omkring it-funktionen, herunder udvikling, drift, beredskab og dokumentation. Den forholder sig også til helt lavpraktiske forhold, såsom den fysiske placering af jeres servere/datacenter.
En ISAE 3000 revisionserklæring forholder sig derimod til, om I overholder GDPR eller Cyber Security.
Læs mere om, hvordan vi kan hjælpe jer med en ISAE 3000 GDPR-erklæring
Derfor skal I have en ISAE 3402
Ofte får virksomheder udarbejdet en ISAE 3402 pga. krav fra kunder og samarbejdspartnere. Inden for en række brancher er der ligefrem lovkrav om, at man kun må arbejde med leverandører, som har en revisorerklæring.
Med en erklæring får I desuden:
- En uafhængig og ekstern blåstempling af:
-
- At I behandler data fortroligt med et højt sikkerhedsniveau, og at potentielle risici er dokumenterede og kontrollerede.
-
- At I har de nødvendige processer på plads for at understøtte vigtige og kritiske driftssituationer, og at I kan dokumentere ordentlige IT-forhold.
- Mulighed for at sende et signal til jeres kunder om troværdighed og sikkerhed. Enten koblet til en specifik leverance eller som salgsparameter for at vælge jer som leverandør.
- Sat fokus på it-sikkerhed internt og afklaret, hvilke områder der eventuelt skal arbejdes videre med.
- Dokumenteret hvad I laver på daglig basis, så organisationen og forretningen kan leve videre, selv hvis alle nøglemedarbejdere går deres vej.
Globeteams konsulenter sikrer en effektiv proces
Arbejdet med at etablere sikkerhedsprocedurer, -kontroller og -foranstaltninger, kan dog hurtigt blive omsiggribende og ressourcekrævende, hvis I ikke ved præcist, hvad en revisor lægger vægt på i sin vurdering.
Bl.a. skal I have etableret og udarbejdet dokumentation for følgende procedurer og foranstaltninger:
- Risikovurdering
- It-sikkerhedspolitik
- Beredskabsplan
- Logningsstrategi
- Procedure for backup
- Identifikation af nøglepersoner i organisationen
Globeteam tilbyder at hjælpe i hele processen mod en auditering, hvor vi enten kan tage ansvar for den samlede proces eller kan fungere som sparringspartner.
Vi ved, hvad en revisor kigger efter, og hvilke minimumskrav der skal være opfyldt for at få en ISAE 3402. Det betyder, vi kan hjælpe jer hurtigere frem til målet med færre tid og ressourcer
Vores konsulenter har 25+ års erfaring med it-revision og it-sikkerhedsarbejde fra bl.a. de store revisionshuse og har gennemgået formaliserede uddannelsesforløb inden for informationssikkerhed og databeskyttelse og/eller er certificeret på områderne. Herudover har de tidligere selv udarbejdet denne form for revisionserklæringer, og de ved derfor, hvilke krav der stilles.
Vi kan naturligvis både arbejde sammen med en revisor efter jeres valg eller anbefale en samarbejdspartner i revisionsbranchen.
Sådan forløber et ISAE 3402-projekt typisk
Fase 1
Vi starter typisk med en analyse for at få overblik over, hvilke procedurer og dokumentation, I allerede har, og hvad I mangler. Ligeledes skal vi have klarlagt, hvem der skal have ansvaret i jeres organisation for at sikre, at de nødvendige tiltag bliver gennemført.
Fase 2
Vi hjælper jer med at etablere politikker for risikovurdering og risikostyring samt opsætte de påkrævede kontroller og nødvendige dokumentationssystemer. Vi holder snor i processen ved at booke løbende statusmøder ind og foretage kontroller og evalueringer undervejs.
Fase 3
Før revisionen gennemfører sin audit, foretager vi en intern audit, hvor vi agerer i rollen som revisor. Her tjekker vi, om I lever op til revisionens krav, og identificerer, hvis der er huller i osten. Vi kan evt. også føre dialogen med revisionen for jer.
Nyhedsbrev
Få vores nyhedsbrev
Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler