15 April 2016   | 0
Cybersecurity

ISAE 3402-II garandeert dataveiligheid

ISAE 3402-II garandeert dataveiligheid

Steeds vaker willen organisaties weten hoe IT-leveranciers hun processen garanderen. Met ISAE 3402-II hebben zij deze zekerheid.

Sinds februari 2016 is Fujitsu Nederland in het bezit van de ISAE 3402 type II verklaring. Hiermee komt het bedrijf tegemoet aan een stijgende vraag van de markt naar toetsbare beheersmaatregelen. Organisaties die hun IT-processen uitbesteden, willen zeker weten dat de leverancier alle mogelijke risico’s heeft afgedekt. Zo zijn hun data en persoonsgegevens beschermd met als doel om fraude te voorkomen. Middels de ISAE 3402-II verklaring kan Fujitsu dit garanderen. Met ISAE 3402 wordt bovendien een hiaat gevuld dat ISO 20000 en 27001 laten liggen, namelijk onafhankelijke en periodieke controles op de kwaliteit van de dienstverlening.

Security in outsourcing

Met name voor klanten in de financiële sector is ISAE 3402 van belang. Toezichthouder De Nederlandsche Bank (DNB) stelt de verklaring zelfs verplicht voor banken, verzekeraars, pensioeninstellingen en hun leveranciers. Bij veel aanbestedingen moeten (potentiële) leveranciers een accountantsverklaring kunnen overleggen, waarin de genomen beheersmaatregelen genoemd worden. Daarbij wordt in deze gevallen ook periodiek getoetst of de maatregelen toereikend zijn. Ook in de publieke sector vragen klanten steeds vaker naar ISAE-verklaringen.

Geen uitzonderingen

Er zijn twee soorten ISAE 3402-verklaringen. Een organisatie kan eenmalig testen

of beheersmaatregelen toereikend zijn en daarvoor een type I-verklaring krijgen. Voor de type II-verklaring moet een organisatie aantonen dat zij gedurende een periode van minimaal een half jaar deze beheersmaatregelen ook naleven. Hiervoor worden door de accountant over de gehele periode steekproeven afgenomen. Fujitsu Nederland is in het bezit van een type II-verklaring, welke is overlegd door Conclude Accountants en Belastingadviseurs. Thea Meijer, Senior Quality Manager voor Fujitsu Nederland: “Deze steekproeven hebben een clean rapport opgeleverd; er zijn geen uitzonderingen gevonden. Dit verbaast ons overigens niet. Wij toetsen onze processen immers zelf ook al regelmatig en zijn al sinds 2001 in het bezit van ISO 9001 en sinds 2004 in het bezit van ISO 27001 certificaten.”

Fujitsu en ISAE 3402

Fujitsu heeft een groot aantal processen ISAE 3402-gecertificeerd. Het gaat om de volgende onderdelen:

  • Incident Management
  • Change Management
  • Service Level Management
  • Security Management
  • Access Management
  • Continuity Management
  • Configuration Management

Wat betekent de verklaring voor klanten van Fujitsu Nederland? “Zij hebben de zekerheid dat wij door hen uitbestede taken op een dusdanige wijze inrichten, dat zij geen risico’s lopen”, aldus Meijer. “Daarbij hebben de klanten met de verklaring inzicht in de door ons uitgevoerde processen.” Fujitsu gaat in het komende jaar zijn beheersmaatregelen aanpassen aan het COBIT 5-framework voor governance en management van enterprise IT, om zo nog beter aan te sluiten op de wensen vanuit de klant.

 

Door deze site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring te bieden. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen. Wij gebruiken cookies van Google Analytics om het bezoekersgedrag te analyseren teneinde de gebruikerservaring te verbeteren. Deze gegevens zijn niet naar u persoonlijk te herleiden.

Sluiten