Hvad er en ISAE 3402 erklæring?

Introduktion

Med ISAE 3402 erklæringen sender din virksomhed et positivt signal til potentielle kunder, der er interesserede i at outsource dele af deres forretningsprocesser, IT-services eller håndtering af persondata, da erklæringen demonstrerer, at man har implementeret passende sikkerhedsforanstaltninger.

Hvordan foretages en ISAE 3402 erklæring?

Man kan vælge at få lavet ISAE 3402 erklæringen af IT-sikkerhed for et specifikt forretningsområde.  Eksempelvis kan en softwarevirksomhed der foretager en specifik databehandling på vegne af sine kunder, lave en erklæring for netop denne behandling.

Derfor starter en erklæringsrapport med at definere forretningsområdet, der føres tilsyn med, samt de kontrolmål, der skal tjekkes hos virksomheden for at sikre, at IT-sikkerheden er passende.

Det er kun en uafhængig revisor, som kan lave erklæringen, og denne skal i tilsynet gennemgå virksomhedens kontroller og processer for at kunne ‘erklære’, at disse er tilstrækkelige.

Erklæringens indhold

ISAE 3402 erklæringen bruges til at kontrollere IT-sikkerheden, og derfor kan man tage udgangspunkt i eksempelvis ISO27001 standarden til at definere sine kontrolmål, som fx kunne udformes således:

• Informationssikkerhedspolitikker
• Organisation af informationssikkerhed
• Sikkerhed for menneskelige ressourcer
• Aktivstyring
• Adgangsstyring
• Kryptografi
• Fysisk og miljømæssig sikkerhed
• Driftssikkerhed
• Kommunikationssikkerhed
• Anskaffelse, udvikling og vedligeholdelse af systemer
• Leverandørforhold
• Håndtering af informationssikkerhedshændelser
• Compliance

For hvert af disse områder skal der opsættes nogle konkrete IT-sikkerhedskontroller, som en revisor kan føre tilsyn med. 

Eksempel på tilsyn

I nedenstående eksempel kan du se hvordan et tilsyn kan foregå for ‘aktivstyring’ og ‘systemsudvikling’, samt de kontrolaktiviteter, som kan udføres for at sikre, at passende sikkerhedsforanstaltninger er implementeret og effektive i virksomheden. 

I sidste kolonne kan du se eksempler på tests, som kan udføres af revisoren for at kontrollere, at kontrolaktiviteterne er implementeret korrekt i virksomheden.

Vil du se et eksempel på en endelig erklæring? Så kan du finde vores erklæring her.

Beviser

For at leve op til de krav, som revisoren stiller, er det vigtigt at dokumentere, at man faktisk overholder kontrollen. Det kræver løbende dokumentation, som revisoren kan bruge som grundlag for at godkende kontrollen. Mangler der tilstrækkeligt bevismateriale, kan det resultere i en anmærkning i revisors erklæring.

Hvordan får man en ISAE 3402-erklæring?

Processen for at opnå en ISAE 3402-erklæring starter med, at du laver en gap-analyse, hvor du identificerer virksomhedens eksisterende kontroller og vurderer disse op imod kravene for en ISAE 3402 erklæring. Eventuelle mangler eller svagheder identificeres, så forbedringer kan laves i sikkerhedskontrollerne. 

Når du har kontrollerne på plads, kan det være en god idé at starte ud med at få lavet en ISAE 3402 type 1 erklæring. Du kan senere overveje at få lavet en type 2 erklæring, når kontrollerne har været operative over tid, fx efter et år. Du kan læse mere om forskellene mellem ISAE type 1 og type 2 erklæringer her.

Det er normalt at forny sin erklæring årligt, og derfor bør din virksomhed have en proces for løbende at evaluere og forbedre kontrollerne. Typisk vil der være en fastsat auditeringsdato, og det er vigtigt at afsætte tid inden da til at validere, at alle kontroller er udført korrekt. Det anbefales dog at udføre selve kontrollerne løbende gennem året. På den måde undgår du at stå i en presset situation få dage før deadline, hvor både udførelse og validering skal klares på én gang.

Fordele for kunderne

ISAE 3402-erklæringen skaber transparens og giver samtidig sikkerhed for dig og dine interessenter, idet en tredjepart har valideret, at du lever op til de implementerede kontroller.

Erklæringen bekræfter for kunden, at man som leverandør har høje krav til IT-sikkerheden, og det gør tilmed kundens due diligence proces nemmere. Kunden kan spare både tid og penge ved at anvende leverandører med en ISAE 3402 erklæring, da kunden derfor ikke selv skal udføre tilsynet.

Ulemper ved ISAE 3402

Der er mange fordele ved at få lavet en ISAE 3402 erklæring, men ulempen er, at det kræver en betydelig tidsinvestering og brug af ressourcer at efterleve kravene og vedligeholde erklæringen år efter år. 

Den første audit kræver typisk omfattende dokumentation og samarbejde mellem flere afdelinger i virksomheden, hvilket kan være tidskrævende. For mindre virksomheder kan omkostningerne være en udfordring, og du bør afveje, om det skaber tilstrækkelig værdi i forhold til omkostningerne.

Der findes dog IT audit tools, som kan bruges til at guide og effektivisere processen betydeligt.

Konklusion

Med en ISAE 3402-erklæring har en revisor erklæret, at denne har ført tilsyn med en virksomheds IT-sikkerhed og har fundet, at virksomheden har et passende sikkerhedsniveau. En ISAE 3402-erklæring er derfor et stærkt bevis på virksomhedens engagement i at opretholde højeste standarder for IT-sikkerhed og risk management, samtidig med at den giver kunder, partnere og andre mulige interessenter den nødvendige tillid til, at virksomhedens systemer er sikre og pålidelige.