En ISAE 3402-erklæring er en såkaldt revisorerklæring, der dokumenterer it-forholdene hos en organisation. Men det er naturligvis mere kompliceret end som så, og neden for tager vi derfor et grundigt kig på, hvad en ISAE 3402-erklæring helt præcist er, hvornår den er nødvendig og hvilke organisationer der bør lave en.
Hvad er en ISAE 3402?
ISAE 3402 er en international standard, der anvendes i forbindelse med revision af it-forholdene hos en given organisation. Erklæringen fungerer som dokumentation for, at organisationen rent faktisk gør det, den siger, den gør, når det kommer til it.
Gennemgangen af organisationens it-forhold skal foretages af en ekstern revisor, og derfor går erklæringen også under navnet revisorerklæring. Den gives på baggrund af en årlig revision, og erklæringen er organisationens officielle bevis på, at den lever op til alle gældende lovkrav inden for it-sikkerhed og generelt udviser god it-skik.
Hvornår er en ISAE 3402-erklæring nødvendig?
Der kan være forskellige årsager til at få lavet en ISAE 3402-erklæring. Nogle organisationer får den lavet på grund af krav fra kunder eller samarbejdspartnere, mens andre ønsker at bruge erklæringen som et signal om troværdighed og sikkerhed – både overfor eksisterende og potentielle kunder. Derudover kan ISAE 3402-erklæringen være omfattet af lovkrav inden for bestemte brancher og services.
Samtidig er det vigtigt at huske, at du som organisation bør forvente, at din it-leverandør med jævne mellemrum får udarbejdet en ISAE 3402-erklæring. Det er din garanti for, at leverandørens kontroller er hensigtsmæssigt udformet, og at kontrollerne fungerer efter hensigten, så sikkerheden kan overholdes.
Hvad er fordelene ved ISAE 3402?
Den helt store fordel ved en ISAE 3402-erklæring er, at organisationen får dokumentation for de gode og ordentlige it-forhold, der lægges kræfter i at etablere og vedligeholde. Erklæringen er et officielt bevis på, at organisationen lever op til gældende lovkrav inden for it-sikkerhed og ikke mindst udviser god it-skik.
Samtidig er erklæringen en mulighed for at give organisationens kunder og samarbejdspartnere et indblik i, hvordan it-funktioner som drift, udvikling, beredskab, dokumentation og lignende håndteres i organisationen. Desuden synliggøres organisationens sikkerhedssetup, ligesom det tydeliggøres, at data håndteres efter gældende lovkrav – to elementer der skaber stor tryghed hos kunderne.
LÆS OGSÅ: Statement of Applicability (SoA) – hvilken rolle spiller den?
Hvad indebærer en ISAE 3402-erklæring?
Når en revisor skal udarbejde en ISAE 3402-erklæring, undersøges alle organisationens arbejdsprocesser omkring it-funktioner – herunder for eksempel drift, udvikling, beredskab, dokumentation m.m. Samtidig undersøges funktioner som back up-sikkerhed samt sikring og opbevaring af data.
Kontrolområderne omfatter blandet andet:
- Organisation og ledelse
- it-sikkerhedspolitik
- it-strategi
- Risikostyring
- Brugeradgang
- Netværkssikkerhed
- Vedligeholdelse af systemer
- Beredskabsplaner
ISAE 3402-standarden har to typer erklæringer; "Type 1" og "Type 2".
Den første (Type 1) udarbejdes i forhold til en given dato, mens den anden (Type 2) udarbejdes til en periode, der typisk er på 6 måneder.
Hvad er forskellen på ISAE 3000- og ISAE 3402-erklæring?
Er du interesseret i ISAE 3402-erklæringen, er du sandsynligvis også stødt på ISAE 3000-erklæringen. Man kan fristes til at tro, at de kommer omkring det samme, og der er da også overlap – men de to erklæringstyper er alligevel vidt forskellige.
Hvor ISAE 3000-erklæringen handler om, hvor vidt GDPR bliver overholdt og persondata dermed behørigt beskyttet, handler ISAE 3402-erklæringen om it-drift og -vedligeholdelse. Samtidig tager en ISAE 3000-erklæring udgangspunkt i data, mens en ISAE 3402-erklæring tager udgangspunkt i fysiske forhold og processer.
LÆS OGSÅ: ISO 27001: Best practices til at sikre informationssikkerheden