ISAE3402 versus ISO27001

ISAE3402 versus ISO27001

Inleiding ISAE3402 versus ISO27001

Regelmatig krijg ik de vraag of een ISAE3402 en een ISO27001 elkaar zouden kunnen vervangen, of er verschillen of juist overeenkomsten zijn. Er zijn diverse overeenkomsten te onderkennen tussen ISAE3402 versus ISO27001. De belangrijkste passeren hieronder de revue.

Certificaat vs assurance rapportage

ISO27001 kent een certificaat dat aan een organisatie wordt uitgereikt na een geslaagde audit. ISAE3402 is een assurance rapportage en wordt over het algemeen alleen door financiële instellingen gebruikt.

Scope vs systeem

ISO27001 noemt hetgeen waar men voor gecertificeerd wil worden de scope. Dit is een hoog niveau, vrij beknopte beschrijving die in 5 tot 10 zinnen moet worden weergegeven. ISAE3402 kent het systeem. Dit is een uitgebreide beschrijving van de dienst of service van de organisatie en gaat dieper dan de ISO27001 scope beschrijving.

Risico’s IASE3402 versus ISO27001

Dit aspect is belangrijk voor beide. Bij ISO27001 is de risico analyse geïnd op de assets in de scope. Deze kennen bedreigingen en daar rolt middels impact x kans een risico uit. ISAE3402 kent beheersingsdoelstellingen die bereikt moeten worden voor een goed functionerend systeem. Deze doelstellingen kennen risico’s die er voor kunnen zorgen dat de doelstellingen niet of niet effectief bereikt worden.

Maatregelen ISAE3402 versus ISO27001

Zowel ISAE3402 en ISO27001 nemen vervolgens maatregelen om risico’s te adresseren. De maatregelen voor de ISO27001 certificering komen nagenoeg allen uit hetgeen wordt voorgeschreven in de ISO27002 norm. Voor ISAE3402 staat het de organisatie vrij om te besluiten welke maatregelen genomen dienen te worden.

ISMS vs controle proces

ISO27001 kent een ISMS. Hierin worden controles gepland, mogelijke afwijkingen gesignaleerd, verholpen en indien mogelijk hetgeen dat fout is gegaan verbeterd. ISAE3402 kent een idem proces waar middels monitoring van de maatregelen gecontroleerd wordt of deze effectief zijn, mogelijke afwijkingen worden ontdekt waarop vervolgens actie kan worden ondernomen.

Audits en bewijs

ISO27001 kent afhankelijk van de omvang van de organisatie in scope een aantal audit dagen per jaar. Hierin wordt bewijs door de auditor opgevraagd. Dit bewijs beperkt zich tot een beperkt aantal bewijsstukken per onderwerp. De tijd voor een ISAE3402 audit bedraagt, bij gelijkwaardige organisaties c.q. scope, meer dan voor een ISO27001 audit. Voor de ISAE3402 audit vind vaak iedere 6 maanden een audit plaats Vaak wordt middels een statistisch bepaalde steekproef bewijs verzameld. In de praktijk betekent dit dat een aanzienlijke hoeveelheid bewijs aan de auditor dient te worden getoond.

Conclusie

Hoewel er diverse overeenkomsten zijn tussen ISAE3402 versus ISO27001 kunnen deze elkaar niet vervangen. Belangrijkste reden hiervoor is dat beiden voor een ander publiek van toepassing zijn. Zo richt de overheid zich bijvoorbeeld op ISO27001, omdat dit aansluit bij de BIR. Vanuit de financiële wereld is daar en tegen ISAE3402 de norm.


Comments are closed.