Organisaties kunnen belangrijke bedrijfsprocessen die niet tot hun core business behoren uitbesteden aan een externe partij (service-organisatie). Deze gebruikersorganisaties blijven echter wel eindverantwoordelijk voor de interne beheersing van die processen. Om de gebruikersorganisatie de zekerheid (assurance) te geven dat er voldoende beheersmaatregelen zijn op het gebied van security, kan de service-organisatie ervoor kiezen een ISAE 3402, ISAE 3000 of SOC 2 audit uit te laten voeren. BIT kan deze organisaties ondersteunen om te voldoen aan de hiervoor gestelde eisen voor hun certificering.
ISAE 3402, ISAE 3000 en SOC 2
ISAE 3000 en ISAE 3402 zijn standaarden van de ‘International Federation of Accountants’ (IFAC). Deze standaarden worden gebruikt om zekerheid te geven over een uitbesteding.
ISAE 3402
International Standard on Assurance Engagements 3402 – Assurance-rapporten over interne beheersingsmaatregelen bij een service-organisatie.
ISAE 3000
International Standard on Assurance Engagements 3000 – Assurance anders dan controles of beoordelingen van historische financiële informatie.
SOC 2
Service Organization Control 2 – Een alternatief voor ISAE 3402 is SOC 2. Hierbij is niet outsourcing, maar informatiebeveiliging het primaire toetsingskader.
Ondersteunen bij certificeringseisen
Wij kunnen klanten helpen door te ondersteunen bij hun ISAE 3402, ISAE 3000 of SOC 2 vragen. Een van onze security officers kan specifieke vragen beantwoorden en desgewenst kunnen op locatie zaken bekeken worden. Op die manier hebben we inmiddels al vele klanten geholpen om aan hun certificeringseisen te voldoen.
Zaken die meestal aan de orde komen tijdens dit soort gesprekken zijn:
– monitoring van de ‘omgeving’;
– voorzieningen voor fysieke beveiliging;
– uitvoeren van onderhoud en resultaten daarvan;
– toegangscontrole;
– geldige certificaten.
Monitoring van de omgeving
Voor de monitoring van de omgeving, zoals temperatuur, luchtvochtigheid en waterdetectie in de datacenters, moeten er procedures zijn voor het opvolgen van afwijkingen. Er kan bekeken worden dat er gemonitord wordt en waarop er eventueel actie is ondernomen.
Fysieke beveiliging
Wij kunnen samen met u bekijken hoe de fysieke beveiliging is geregeld in en om onze datacenters en daarbij uitleg geven. Wij laten u hierbij zien hoe onder meer onze noodstroomvoorziening, biometrische toegangscontrole, inbraakbeveiliging, camerabeveiliging, branddetectie en blussing geregeld is.
Uitvoering van onderhoud
U krijgt inzage in het overzicht met uitgevoerde en uit te voeren onderhoudsmomenten.
Toegangscontrole
BIT beschikt over toegangscontrole op basis van biometrie en toegangspassen. Daarbij is geregeld dat mensen alleen ruimtes kunnen betreden waar zij toegang toe hebben. U heeft inzicht in wie wanneer toegang heeft gehad en tot welke ruimte. Dit is voor onze klanten ook inzichtelijk via onze klantenportal. Ook is het mogelijk dat u ons een ‘autorisatieschema’ aanlevert waarin staat aangegeven wie welke wijzigingen mag aanvragen. U heeft inzage hierin zodat u ook kunt zien dat wij ons daar aan houden.
Geldige certificaten
Certificaten en verklaringen van toepasselijkheid kunt u inzien en daar eveneens toelichting bij krijgen. BIT beschikt over ISO 27001 en NEN 7510 certificaten voor informatiebeveiliging. Wij hebben er bewust voor gekozen om de gehele dienstverlening in scope te verklaren.
Door: Kristian de Bruijn