IT-assurancerapportage steeds populairder, maar wat is het precies?
Door Marjolein Veenstra (schemamanager informatiebeveiliging bij Kiwa) en Jouke Albeda (directeur bij risk en compliance-specialist 3angles)
Nu er steeds meer eisen worden gesteld aan informatie- en IT-veiligheid, groeit bij organisaties ook de behoefte om aantoonbaar te maken dat alles in het werk is gesteld om te voldoen aan geldende wet- en regelgeving en dat wordt gewerkt volgens erkende kwaliteitsnormen. In aanvulling op certificering conform de standaard ISO 27001 voor informatiebeveiliging, kiezen steeds meer organisaties voor IT-assurancerapportages als ISAE 3402 en SOC 2. Maar wat zijn IT-assurancerapportages als ISAE 3402 en SOC 2 eigenlijk? En hoe verhouden ze zich tot ISO 27001?
De kwaliteitsnorm ISO 27001 richt zich op de implementatie en het onderhoud van het managementsysteem voor informatiebeveiliging en het inrichten en implementeren van beheersmaatregelen, onder andere op basis van best practices. Assurancerapportages (zoals ISAE 3402 en SOC 2) richten zich op het bieden van een mate van zekerheid als het gaat om de effectieve werking of implementatie van specifieke beheersmaatregelen. Het belang van zowel de implementatie van best practices en het managementsysteem als het effectief functioneren van beheersmaatregelen is voor ondernemingen en hun klanten steeds duidelijker geworden.
Oorsprong in de accountancy
De oorsprong van de assurancerapportage ISAE3402 en SOC 2 ligt in de accountancy. Om zekerheid te krijgen over de betrouwbaarheid van financiële informatie moet de betrouwbaarheid in kaart worden gebracht van de systemen die deze informatie verwerken. Er is steeds meer software die impact kan hebben op financiële gegevensverwerking of de continuïteit van een onderneming. Om risico’s te beheersen, wordt steeds vaker gezocht naar oplossingen voor het verkrijgen van zekerheid over processen die zijn uitbesteed. Ook de accountant moet voor de jaarrekeningcontrole risico’s van uitbestede diensten beoordelen en mogelijk toetsen.
Best practices
De ISO-standaarden rondom informatiebeveiliging zijn ontwikkeld door gerenommeerde organisaties die samen tot een geheel aan best practices zijn gekomen. Cruciaal daarbij is een managementsysteem, dat met de bekende ‘Plan-do-check-act’ (PDCA)-cyclus organisaties ondersteunt bij het continu verbeteren van de informatiebeveiliging. Het gebruik van best practices, het vermogen om continu te verbeteren en de zekerheid dat beheersmaatregelen zijn geïmplementeerd en effectief werken, zijn van belang voor klanten van IT-dienstverleners. Vanwege het verschil in oorsprong wijkt ook de toezichthouder af: bij ISO 27001 is dit de Raad voor Accreditatie en bij de assurancerapportages is dit de NOREA.
Inhoudelijke verschillen
Er zijn veel overeenkomsten tussen ISO 27001, ISAE 3402 en SOC 2. In beide gevallen wordt er gekeken naar de implementatie van beheersmaatregelen en de werking van bedrijfsprocessen. Maar er zijn ook grote verschillen. Bij een ISAE 3402- en SOC 2-audit wordt gekeken naar het bieden van een mate van zekerheid over de implementatie (ook wel type I genoemd) en/of de effectieve werking over een periode van doorgaans minimaal zes maanden (ook wel type II genoemd) in de voorgaande periode. Hierbij wordt gebruik gemaakt van een statistische deelwaarnemingen waarbij een steekproef wordt genomen op een populatie van bijvoorbeeld registraties over de rapportageperiode. Bij een ISO 27001-audit wordt minder ver in de geschiedenis gekeken en ligt de nadruk op het heden en de toekomst. Hierdoor zie je vaak dat er éérst naar ISO 27001-certificering wordt toegewerkt en daarna naar een assurancerapportage. Een ander belangrijk verschil is dat de kwalificaties voor een ISO-auditor anders zijn dan voor een RE IT-auditor (een IT-auditor die assurance-audits mag uitvoeren).
Verschillen in audit-aanpak
Ook de manier waarop een audit wordt aangepakt kent zowel verschillen als overeenkomsten. In beide gevallen is het nodig om een duidelijke scope vast te stellen en af te stemmen welke beheersmaatregelen worden getoetst. Hierbij zal de auditor, zowel bij een ISO 27001- als bij een ISAE 3402/SOC 2-audit beoordelen of hij de te toetsen beheersmaatregelen toepasselijk vindt voor de organisatie (bij een ISO 27001 audit wordt hierbij specifiek gekeken naar de Verklaring van Toepasselijkheid en bij een assurancerapportage naar de scope). Gedurende de audit zal een ISO 27001-auditor geen bewijsstukken verzamelen, maar bewijsstukken inzien en door de bedrijfsprocessen geleid worden. Bij een assurance-audit zal de auditor wél bewijsstukken verzamelen om een dossier te vormen.
Steekproeven
Ook de controle op basis van steekproeven werkt anders: bij een ISO 27001-audit wordt tijdens de audit een steekproef uitgevoerd en worden registraties en documenten bekeken. Bij een assurance-audit worden steekproeven op een populatie getrokken volgens een schema dat het auditbureau gebruikt om te komen tot een bepaalde mate van zekerheid. De auditdruk en doorlooptijd van een assurance-audit ligt daarom vaak hoger dan bij een ISO 27001-audit. Aan het einde van de audit wordt er in beide gevallen een kwaliteitsreview uitgevoerd op het dossier.
Verschillen in vraag
Zowel assurance-gerelateerde audits als ISO 27001-audits kunnen om verschillende redenen van belang zijn voor een organisatie. Eén van de belangrijkste redenen is klantgedreven, maar ook de intrinsieke behoefte vanuit de eigen organisatie speelt steeds vaker een rol. Bij de vraag naar een ISO 27001-certificaat is de klant op zoek naar de bevestiging dat er een werkend managementsysteem is waardoor risico’s gereduceerd worden tot een acceptabel niveau, dat een organisatie de bedrijfsprocessen op orde heeft conform best practices en het vermogen heeft om continu te verbeteren. Een ISAE 3402/SOC 2-audit is meer gedreven vanuit de accountant van de eindgebruiker die op zoek is naar zekerheid dat risico’s zijn gemitigeerd over een specifieke periode. De assurancerapportage wordt door de accountant gebruikt als onderdeel van de jaarrekeningcontrole, waardoor hij niet bij de dienstverlener op bezoek hoeft.
| ISO-Audit | ISAE 3402/SOC 2 | |
| Oorsprong | Best Practices | Jaarrekeningcontrole |
| Opleiding auditor | ISO-auditor-opleiding | RE-opleiding |
| Toezichthouder | RvA | NOREA |
| Opvragen bewijsstukken | Nee | Ja |
| Interne kwaliteitsreview | Ja | Ja |
| Beoordeling beheersmaatregelen | Ja | Ja |
| Internationaal erkend | Ja | Ja |
Meer informatie
Ofschoon ISO 27001-certificering en ISAE 3402- en SOC 2-rapportages verschillende doelen dienen, zijn er dusdanig veel overeenkomsten dat Kiwa samen met partner 3angles kan meedenken over het behalen van efficiëntievoordelen bij het uitvoeren van beide audits. Wilt u hierover meer weten, neem dan contact met ons op en mail naar nl.cybersecurity@kiwa.com.