Hoe laat VanderBeecken de
bal rollen bij bedrijven?
Weet uw bedrijf wat te doen bij het verlies van privacygevoelige gegevens? Bent u beschermd tegen cyberattacks en ransomware? En: bent u voorbereid op incidenten en veranderende wetgeving? Als commercieel bedrijf levert u producten of diensten aan burgers én collega-ondernemers.
U bent daarbij afhankelijk van het aanbod van ICT-dienstverleners. Daarom moet u zich de taal van IT-ers eigen maken om de complexiteit van de informatievoorziening te doorgronden. Bovendien vraagt het regelen van de veiligheid van de informatievoorziening binnen uw bedrijf veel tijd en aandacht. De meeste ondernemers focussen zich hier liever niet op. Zij steken energie liever in het realiseren van business. Logisch! Daarom helpt en ondersteunt VanderBeecken u graag.
Wij spreken de taal van de IT-ers, snappen de complexiteit van de informatievoorziening en stellen de juiste vragen aan uw ICT-leveranciers. Door onze technische achtergrond en kennis van de informatieveiligheid brengen wij de informatieveiligheid binnen uw bedrijf naar een verantwoord niveau.
ISAE3402 of ISAE3000
De laatste jaren besteden veel bedrijven activiteiten uit aan gespecialiseerde serviceorganisaties. Daarmee ontzorgen deze organisaties uw bedrijf. Het vraagt wel wederzijds vertrouwen en transparantie. U verwacht natuurlijk ook dat serviceorganisaties gemaakte afspraken naleven. Ook toezichthouders eisen hierover bepaalde zekerheden. Een zogenaamde Service Organisatie Control (SOC)-rapportage biedt deze zekerheden.
Er zijn twee vormen van SOC-rapportages:
- De ISAE 3402: deze is van toepassing als een serviceorganisatie financiële informatie van uw organisatie verwerkt.
- De ISAE 3000: deze is van toepassing als er een internationale standaard nodig is voor de beveiliging van gegevens (ook niet-financiële informatie).
In de type 1-rapportage zijn de interne beheersingsmaatregelen opgenomen die op een bepaald moment aanwezig zijn. De IT-auditor toetst bij een ISAE 3000 type 1- audit of deze maatregelen toereikend zijn voor het gestelde doel.
Een type 2- rapport is identiek aan een ISAE 3000 type 1 rapportage. De audit is alleen uitgebreider omdat de IT-auditor ook de effectieve werking van beheersmaatregelen toetst. Dat betekent dat hij toetst of de benodigde maatregelen aanwezig zijn én of deze maatregelen gedurende een periode de doelstellingen ook zijn behaald. Dat betekent dat de auditor 2 à 3 keer per jaar deelwaarnemingen verricht om vast te stellen dat het geheel van de beheersingsmaatregelen effectief werken.
Stap voor stap
Samen met u inventariseren we welk type ISAE-rapportage het beste bij uw dienstverlening aansluit en wat de scope is van de rapportage. Vervolgens voert u serviceorganisatie een risicoanalyse uit en stelt u het beheersingsraamwerk (control framework) op. Samen met de organisatie stellen we vast welke beheersmaatregelen voor uw organisatie noodzakelijk zijn. Door het uitvoeren van een audit toetsen we of de beheersmaatregelen gedurende de aangegeven periode werkten. Ten slotte komen we tot een onafhankelijk oordeel en stellen we het assurance rapport op dat onderdeel vormt van uw SOC-rapportage.
Samengevat doorlopen we de volgende zes stappen:
1. Inventarisatie
2. Review risicoanalyse & control framework
3. Vaststellen opzet en bestaan
4. Toetsen werking
5. Oordeelsvorming
6. Rapportage
Nen 7510
De nationale norm NEN7510-1 is vooral gericht op zorgsystemen en lijkt veel op ISO27001. Is uw bedrijf werkzaam in deze sector? Dan bestaat de kans dat u moet voldoen aan deze norm. De NEN7510-1 is gericht op het implementeren en onderhouden van het zogenaamde Information Security Management System (ISMS). Dit systeem moet ervoor zorgen dat uw organisatie grip krijgt én houdt op de risico's die bestaan rond de processen van informatievoorziening.
De NEN7510-2 is een gids om de genoemde normen te implementeren uit de bijlage van de NEN7510-1. Het is niet mogelijk uw bedrijf te certificeren voor NEN7510-2. Wel kunt u uw bedrijf certificeren door een effectieve en aantoonbare implementatie van NEN7510-1. Onze auditors hebben inzicht in en kennis van de complexiteit van deze kaders. Daarom begeleiden wij uw organisatie graag naar een succesvolle implementatie van NEN7510-1.
DigiD
Bedrijven gebruiken DigiD om de authenticiteit van klanten te beoordelen bij het aanbieden van diensten. Het is logisch dat de overheid van deze bedrijven vraagt dat ze voldoen aan een aantal wettelijke eisen. Dit is het zogenaamde DigiD-normenkader versie 2 uit 2017. Door het uitbrengen van een assurance-rapportage (de zogenaamde TPM) duiden we per norm aan of uw bedrijf voldoet aan de gestelde eisen.