ISAE 3402 är en standard eller en så kallad revisionsberättelse som dokumenterar IT-förhållandena hos en organisation. Det är dock mer komplext än så. Nedan går vi igenom vad en ISAE 3402-rapport innebär, när den är nödvändig och vilka organisationer som bör genomföra en sådan granskning.
Vad är ISAE 3402?
ISAE 3402 är en internationell standard som används vid revision av IT-hanteringen i en organisation. Rapporten fungerar som bevis för att organisationen faktiskt lever upp till vad den utlovar när det gäller IT.
Granskningen av organisationens IT-drift måste utföras av en extern revisor, vilket är anledningen till att rapporten även kallas för en revisionsberättelse. Den ges med utgångspunkt med en årlig revision, och uttalandet är organisationens officiella bevis på att den uppfyller alla gällande lagkrav inom IT-säkerhet och generellt uppvisar god IT-standard.
När krävs en ISAE 3402-rapport?
Det kan finnas olika skäl till att genomföra en ISAE 3402-rapport. Vissa organisationer får det som krav från kunder eller affärspartners, medan andra verksamheter uträttar en rapport för att säkerställa deras trovärdighet och säkerhet - både till befintliga och potentiella kunder. Dessutom kan ISAE 3402 vara föremål för lagkrav inom vissa branscher och tjänster.
Dessutom är det viktigt att komma ihåg att du som organisation bör förvänta dig att din IT-leverantör regelbundet genomför en ISAE 3402-rapport med jämna mellanrum. Detta är din garanti för att leverantörens kontroller är ändamålsenligt utformade och att kontrollerna fungerar som avsett så att säkerheten kan upprätthållas.
Vilka är fördelarna med ISAE 3402?
Den största fördelen med en ISAE 3402-rapport, eller utlåtande, är att den ger organisationen ett formellt bevis på de välfungerande och korrekta IT-förhållanden som organisationen strävar efter att etablera och upprätthålla. Uttalandet fungerar som ett officiellt bevis på att organisationen uppfyller relevanta lagkrav för IT-säkerhet och, dessutom, följer god praxis inom IT-hantering.
Det är också en möjlighet att ge organisationens kunder och affärspartners en inblick i hur IT-funktioner som drift, utveckling, krisberedskap, dokumentation och liknande hanteras i organisationen. Det synliggör också organisationens säkerhetsupplägg och klargör att data hanteras i enlighet med gällande lagkrav - två faktorer som skapar stor trygghet för kunderna.
LÄS OCKSÅ: SoA: Statement of Applicability - hur fungerar det?
Vad innebär en ISAE 3402-rapport?
När en revisor ska upprätta en ISAE 3402-rapport måste samtliga av organisationens arbetsprocesser inom IT-funktioner granskas. Detta inkluderar exempelvis drift, utveckling, beredskap samt funktioner som back-up-säkerhet och datalagring.
Kontrollområdena täcker bland annat följande aspekter:
- Organisation och ledning
- IT-säkerhetspolicy
- IT-strategi
- Riskhantering
- Användaråtkomst
- Nätverkssäkerhet
- Systemunderhåll
- Beredskapsplaner
Standarden ISAE 3402 har två typer av uttalanden; ”Typ 1” och ”Typ 2”.
Den första (Typ 1) upprättas för ett visst datum, medan den andra (Typ 2) upprättas för en period, som vanligtvis är 6 månader.
Vad är skillnaden mellan en ISAE 3000- och en ISAE 3402-rapport?
Om du är intresserad av ISAE 3402-rapporten har du förmodligen också stött på ISAE 3000. Det är lätt att tro att de är ungefär desamma, och det finns överlappningar - men de två standarden är trots allt mycket olika.
Medan ISAE 3000 handlar om GDPR-efterlevnad och i vilken utsträckning personuppgifter är skyddas på ett adekvat sätt, handlar ISAE 3402 om IT-drift och underhåll. Samtidigt är en ISAE 3000-rapport baserat på data, medan en ISAE 3402-rapport är baserat på fysiska förhållanden och processer.
LÆS OGSÅ: ISO 27001: Best practices för att säkerställa informationssäkerheten
