ISAE 3000 - SOC 2

Offerte aanvragen


ISAE 3000 - SOC 2

ISAE 3000 (in Nederland ook wel Standaard 3000 genoemd) is een internationale assurance standaard voor het uitbesteden van IT processen. Een ISAE 3000 betekent dat de beheersmaatregelen op IT gebied zorgen voor een beheerst proces. Dit betekent dat het beleid en de procedures op een heldere manier zijn beschreven en worden uitgevoerd. Documentatie en aantoonbare uitvoering daarvan zijn erg belangrijk. ISAE 3000 certificeringen worden afgegeven door gecertificeerde auditoren.

Waarom ISAE 3000?

ISAE 300 wordt steeds meer gezien als een standaard eis bij het uitbesteden van informatiediensten.

Wat is ISAE 3000?

Een ISAE 3000 verklaring wordt afgegeven op de algemene IT beheersmaatregelen in een organisatie. Deze maatregelen moeten volgens een normenkader beschreven worden op een manier die voor een certificerend auditor toetsbaar is. Als normenkader wordt vaak de Trust Service Principes gebruikt of een meer generiek normenkader, zoals COBiT. De vijf verplichte onderdelen van de Trust Service Principes zijn:

  • Security. Systemen zijn logisch als fysiek voldoende beveiligd tegen ongeautoriseerde toegang.
  • Beschikbaarheid. Het systeem is beschikbaar voor het beoogde gebruik.
  • Processing integriteit. Processen worden volledig, juist en geautoriseerd uitgevoerd.
  • Vertrouwelijkheid. Vertrouwelijke informatie wordt beveiligd zoals overeengekomen.
  • Privacy. Persoonsgegevens worden verwerkt in lijn met de afspraken in de privacy overeenkomst en de privacy principes.

De ISAE 3000 verklaring mag worden afgegeven door een service auditor, zoals een registeraccountant (RA) of register EDP auditor (RE). ISAE 3000 moet niet verward worden met ISAE 3402, wat gericht is op (financiële) processen die impact hebben op de betrouwbaarheid van de jaarrekening.

Voor wie is ISAE 3000 bedoeld?

ISAE 3000 wordt steeds meer toegepast door technologie bedrijven en cloud computing entiteiten, waarbij er geen directe relatie is met financiële verwerkingsprocessen. Voorbeelden van organisaties die een ISAE 3000 verklaring hebben zijn: cloud technologie bedrijven, IT service organisaties, etc.

Hoe kan Vos Orbedo u helpen met ISAE 3000?

Wij helpen u met het documenteren , het voorbereiden en organiseren van de audit door:

  • vaststellen plan van aanpak
  • uitvoeren risicobeoordeling
  • vaststellen en beschrijven van beheersmaatregelen
  • implementatie van de risico beperkende maatregelen
  • organiseren en begeleiden van de ISAE 3000 audit

Wij lichten onze werkwijze graag toe in een persoonlijk gesprek.