En ISAE 3402-erklæring er en såkalt revisjonsrapport som dokumenterer IT-forholdene i en organisasjon, men det er selvfølgelig mer komplisert enn som så. Nedenfor ser vi nærmere på hva en ISAE 3402-erklæring egentlig er, når den er nødvendig og hvilke organisasjoner som bør utarbeide en.
Når er en ISAE 3402-erklæring nødvendig?
ISAE 3402 er en internasjonal standard som brukes ved gjennomgang av IT-forholdene i en gitt organisasjon. Erklæringen fungerer som dokumentasjon på at organisasjonen faktisk utfører det den hevder å gjøre når det gjelder IT og sikkerhet.
Gjennomgangen av organisasjonens IT-forhold skal utføres av en ekstern revisor, og erklæringen kalles også derfor en revisorerklæring. Den er basert på en årlig revisjon, og er organisasjonens offisielle bevis på at den overholder alle gjeldende lovkrav til IT-sikkerhet og generelt viser god IT-praksis.
Hva er fordelene med en ISAE 3402-erklæring?
Den største fordelen med en ISAE 3402-erklæring er at den gir organisasjonen dokumentasjon på de gode og forsvarlige IT-forholdene som den legger ned arbeid i å etablere og opprettholde. Erklæringen er et offisielt bevis på at organisasjonen overholder gjeldende lovkrav til IT-sikkerhet og ikke minst viser god IT-praksis.
Erklæringen er også en mulighet til å gi organisasjonens kunder og samarbeidspartnere et innblikk i hvordan IT-funksjoner som drift, utvikling, beredskap, dokumentasjon og lignende håndteres innad i organisasjonen. Den synliggjør også organisasjonens sikkerhetsoppsett og tydeliggjør at data håndteres i henhold til gjeldende lovkrav, to elementer som er med på å skape en større trygghet for kundene.
Hva innebærer en ISAE 3402-erklæring?
Når en revisor utarbeider en ISAE 3402-erklæring, undersøkes alle organisasjonens arbeidsprosesser rundt IT-funksjoner, herunder for eksempel drift, utvikling, beredskap, dokumentasjon osv. Samtidig undersøkes funksjoner som sikkerhetskopiering, datasikkerhet og lagring.
Kontrollområdene omfatter blant annet:
- Organisering og ledelse
- Retningslinjer for IT-sikkerhet
- IT-strategi
- Risikostyring
- Brukertilgang
- Nettverkssikkerhet
- Systemvedlikehold
- Beredskapsplaner
ISAE 3402-standarden har to typer erklæringer, «Type 1» og «Type 2».
Den første (Type 1) utarbeides i forhold til en gitt dato, mens den andre (Type 2) utarbeides for en periode som typisk er på 6 måneder.
Hva er forskjellen på ISAE 3000- og ISAE 3402-erklæring?
Hvis du er interessert i ISAE 3402-erklæringen har du sannsynligvis også støtt på ISAE 3000-erklæringen. Det er naturlig å tro at de to handler om det samme, og det finnes overlapp, men de to typene erklæringer er ganske forskjellige.
Mens ISAE 3000-erklæringen omfatter GDPR-samsvar og beskyttelse av personopplysninger, handler ISAE 3402-erklæringen om IT-drift og -vedlikehold. Samtidig er en ISAE 3000-erklæring basert på data, mens en ISAE 3402-erklæring er basert på de rent fysisk, faktiske forholdene og prosessene innad i organisasjonen.
LES OGSÅ: ISO 27001: Bestepraksis for å ivareta informasjonssikkerheten
