Grip op informatiebeveiliging
ISO 27001 | ISAE 3402 | Privacy | AVG audit | DigiD audit | Pentesting
ISO 27001 certificering
Standaardisatie voor informatiebeveiliging heeft vorm gekregen in de code voor informatiebeveiliging ISO-norm 27002. Deze norm wordt actief onderhouden en dekt de benodigde aspecten voor het beschermen van informatie. Certificering tegen deze norm is ontwikkeld, aangeduid als ISO 27001 certificering.
Certificering volgens ISO27001 is al geruime tijd gemeengoed. Veel organisaties hanteren deze certificering om aan te tonen dat de beveiliging van informatie in hun organisatie geborgd is. Ook ter verantwoording van naleving van privacy wordt ISO27001 steeds vaker aangehaald. Geeft het ISO27001 certificaat echter wel voldoende zekerheid dat privacymaatregelen passend zijn en structureel worden toegepast?
ISO 27001 norm
ISO 27001 is de internationale standaard voor informatiebeveiliging. In deze standaard staat beschreven hoe u procesmatig om kunt gaan met het beveiligen van informatie. ISO/IEC 27001, onderdeel van de ISO/IEC 27000-serie, is de internationaal bekende norm voor het Information Security Management System (ISMS)
ISO 27001 checklist
Lees hier meer informatie over de ISO 27001 checklist
ISAE 3402
ISAE 3402 is een internationaal herkende standaard voor het verlenen van assurance over de beheersing van bedrijfs-, IT security- en privacyrisico’s. Het verschil met ISAE 3000 is dat de ISAE 3402 standaard ook is bedoeld om te rapporteren over de interne beheersing van een service-organisatie voor de financiële verslaggeving van klantorganisaties. Een ISAE 3402-verklaring is een oordeel van een onafhankelijke auditor, de verklaring wordt op basis van een audit afgegeven. De diepgang van de audit uitgevoerd volgens de ISAE standaard is toereikend om de feitelijke toepassing van specifieke beheersmaatregelen over een specifieke periode vast te stellen.
In de bijbehorende assurance rapportage wordt daarmee een uitspraak gedaan over het ontwerp (opzet) en de structurele uitvoering (werking) gedurende een bepaalde periode van die maatregelen. Een assurance rapportage geeft uw klanten hiermee meer zekerheid dan bijvoorbeeld ISO certificaten. De vraag naar ISAE 3402 assurance rapportages neemt hierdoor ook snel toe.
Wat is het verschil tussen ISAE type 1 en type 2?
- ISAE 3402 type I: een ISAE type I rapportage geeft de opzet en het bestaan van beheersmaatregelen weer en is gericht op één meetmoment. Er wordt geen oordeel gegeven of de maatregelen structureel gedurende een langere periode zijn uitgevoerd;
- ISAE 3402 type II: een ISAE type II rapportage geeft naast de opzet ook een oordeel over de werking van de beheersmaatregelen. Hierbij wordt gekeken of de beheersmaatregelen gedurende een periode van normaliter 1 jaar hebben gewerkt om de beheersdoelstellingen te behalen.
Wat zijn de voordelen van ISAE 3402?
ISAE 3402 levert de volgende voordelen op voor uw organisatie:
- Toon aan (potentiële) klanten uw kwaliteit aan;
- Verbetering de kwaliteit van uw processen;
- Geen audits door externen;
- Onderscheid je van de concurrent;
- ‘In control’ uitstraling naar klanten;
- Ondersteunt bij professionalisering.
ISAE 3402 implementatie raamwerk
Hier Hoek en Blok IT raamwerk beschrijven.
Efficiënt processen borgen
Hoer borg je je processen na implementatie van processen op basis van 3402?
Procesmanager toelichten.
Privacy | AVG audit
Sinds 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) gehandhaafd. Persoonsgegevens zijn in Europa sindsdien beter beschermd. Privacy naleving behoort inmiddels tevens tot het maatschappelijk verantwoord ondernemen.
Maar wat houdt de AVG nou precies in? Kort gezegd is de AVG privacyregelgeving waarin staat beschreven aan welke zaken organisaties moeten voldoen om met persoonsgegevens te mogen werken. Persoonsgegevens zijn de gegevens en informatie die direct over een persoon gaan of herleidbaar zijn naar een persoon. Er zijn verschillende soorten persoonsgegevens, denk aan je naam, adres en geboortedatum.
De AVG moet er uiteindelijk voor zorgen dat we niet continu ongevraagd gevolgd worden, dat onze medische gegevens veilig zijn en dat we iets kunnen doen tegen een automatisch genomen besluit over ons. Het geeft dus over zeggenschap van onze eigen persoonsgegevens. Dit alles om de rechten en vrijheden van burgers te beschermen.
Waarom is privacy en AVG belangrijk?
Nog invullen
Hoe voldoe ik aan de Privacy en AVG wetgeving?
Nog invullen
DigiD audit
Pentesting
Nog invullen
Verschillen
Onderstaand worden de verschillen tussen de certificeringen en assurance rapportages weergegeven:
| ISO 27001 | ISAE 3000 | ISAE 3402 | SOC 1 | SOC 2 | |
|---|---|---|---|---|---|
| Wat | Voldoet aan de onafhankelijke ISO-norm | Voldoet aan de wens van de organisatie | Voldoet aan de wens van de organisatie | Voldoet aan de SOC 1 guideline | Voldoet aan de SOC 2 guideline |
| Resultaat | Certificaat | Assurance rapport | Assurance rapport | Assurance rapport | Assurance rapport |
| Waarde | Het ‘in control’ zijn over de informatiestromen binnen de organisatie | Geeft inzicht in status van de beveiliging van IT systemen | Geeft inzicht in status van de beveiliging van IT systemen en financiële verslaglegging | Geeft inzicht in status van de beveiliging van IT systemen en financiële verslaglegging | Geeft inzicht in status van de beveiliging van IT systemen |
| Normenkader | ISO-normenkader | Geen normenkader | Geen normenkader | SOC 1 guideline | SOC 2 guideline |
| Focus | Geïmplementeerde risicobeheersing | Maatregelen uit het Assurance rapport | Maatregelen uit het Assurance rapport | Maatregelen uit het Assurance rapport | Maatregelen uit het Assurance rapport |
Transformeer jouw IT. Bescherm je bedrijf.
Onze experts verbeteren jouw IT-infrastructuur, beveiligen je tegen hackers, en zorgen dat je voldoet aan de AVG. Toon je klanten dat je controle hebt – wij regelen het voor je.
Neem vandaag nog contact op en versterk je IT!