Menu

Vores erfaringer med ISAE standarderne.

Find ud af hvordan, at vi arbejder med ISAE-compliance, samt fik vores certificering.

dotlegal-isae-cover

Introduktion

Hos .legal har det altid været en prioritet at være på forkant med vores overholdelse af GDPR og IT-sikkerhed. I 2019 hævede vi barren ved at sikre os både en ISAE 3000 Type 2- og ISAE 3402 Type 2-certificeringer.

Hvis du vil vide mere om disse certificeringer, er du velkommen til at læse vores detaljerede artikler om ISAE 3000 og ISAE 3402. Du kan også få adgang til vores seneste certificeringer og endelige revisionsrapporter her.

I denne artikel tager vi dig gennem den rejse, vi tog hos .legal A/S for at opnå både ISAE 3000- og ISAE 3402-revisioner, de udfordringer, vi stødte på, og hvordan vi vendte disse udfordringer til løsninger, der kunne forenkle compliance for både os selv og vores kunder.

Hvorfor vi valgte at få ISAE 3000 og ISAE 3402 erklæringer

Vi ønskede at opnå både en ISAE 3000- og en ISAE 3402-erklæring af flere forskellige årsager.

ISAE 3000 type 2 er tæt knyttet til GDPR-compliance, som vi har haft stort fokus på fra starten. Denne erklæring dokumenterer over for vores kunder og samarbejdspartnere, at vi ikke kun lever op til de juridiske krav inden for databeskyttelse, men også, at vi gennem årlige audits arbejder aktivt på at vedligeholde stærke interne processer og standarder for at sikre fortsat overholdelse af GDPR. Download vores ISAE 3000 erklæring her.

ISAE 3402 type 2 fokuserer på it-sikkerhed. Vores kunder bruger vores platform til at opbevare deres data, og derfor ønsker vi en erklæring, der kan skabe tryghed for, at vi har optimale processer til at beskytte vores it-infrastruktur. Også her arbejder vi løbende med it-sikkerhed gennem en årlig audit. Download vores ISAE 3402 erklæring her.

Hver erklæring har sit eget fokus, men de overlapper på områder som interne kontroller og risikostyring. Vi koordinerer arbejdet med begge erklæringer og ser dem som en helhed for at bruge vores ressourcer så effektivt som muligt.

Håndtering af flere erklæringer

Fra 2019 til 2022 gennemførte vi separate audits for vores ISAE 3000- og ISAE 3402-erklæringer. Det viste sig imidlertid at være en ineffektiv måde at arbejde med erklæringerne på, da der var betydelige overlap mellem de to.

Derfor besluttede vi at samle audit-tidspunkterne året efter. Denne tilgang reducerede dobbeltarbejde, sparede tid og minimerede forstyrrelser på tværs af vores afdelinger.

At få en ISAE erklæring

En af de mest udfordrende opgaver var at organisere de forskellige aktiviteter, der var knyttet til vores kontroller, for at indsamle de nødvendige beviser. Dette omfattede alt fra it-sikkerhedsprocedurer til dokumentation af, hvordan vi håndterer data.

Det første år krævede opgaven otte uger i en fuldtidsmedarbejders kalender, samtidig med at vedkommende også havde ansvaret for selve erklæringen. Arbejdet bestod i at organisere, indsamle beviser og dokumentere på tværs af virksomheden.

“Det første år var helt klart det sværeste. At indsamle alle beviserne føltes til tider overvældende, især fordi de var spredt over forskellige afdelinger. Det krævede en masse koordinering, men vi lærte en masse, som hjalp med at strømline tingene i fremtiden,”  siger Louise Skou, Legal Assistant i .legal A/S.

Selvom vi på dette tidspunkt allerede arbejdede med GDPR og var compliant, var der behov for endnu mere detaljeret dokumentation af vores processer for at opnå en ISAE 3000-erklæring. For vores ISAE 3402 indførte vi nye sikkerhedsforanstaltninger, såsom månedlige penetrationstests, som vi allerede havde overvejet, men endnu ikke implementeret.

Processen har været meget givende for os. Selvom det tog tid, var det en sund øvelse, der gav os et langt bedre overblik over vores forretning som helhed. Samtidig bidrog den til at skabe en struktur, der gjorde det betydeligt lettere for os at styrke vores it-sikkerhed og implementere nye, passende foranstaltninger.

Strømligning af erklæringsprocessen

En af de vigtigste erfaringer, vi har gjort os, er, at det første år kræver den største mængde tid og ressourcer. Den gode nyhed er, at når alt er sat korrekt op, bliver det betydeligt lettere at vedligeholde compliance i de efterfølgende år. Det gør også implementeringen af nye sikkerhedsforanstaltninger og procedurer langt mere enkel.

Når vi ser fremad, estimerer vi, at vores compliance manager kun vil bruge 15-20 timer om året på at håndtere auditprocessen – en markant tidsbesparelse sammenlignet med tidligere. Dette skyldes, at vi har automatiseret en stor del af de opgaver, der involverer indsamling og organisering af beviser.

Under processen begyndte vi at udvikle et erklæringsmodul til vores GRC-platform, der kan hjælpe med at automatisere auditprocessen for både ISAE 3000- og ISAE 3402-erklæringer samt eventuelle fremtidige erklæringer. Værktøjet tildeler opgaver, udsender notifikationer, sporer handlinger via en log og giver kolleger mulighed for at bidrage løbende gennem året. På denne måde undgår vi, at alle opgaver hober sig op hos én medarbejder lige før auditperioden. Samtidig har vi centraliseret hele processen, så vi slipper for at sende dokumentation frem og tilbage via e-mail og chat – alt er samlet ét sted.

“Det, der før krævede otte personer fra forskellige afdelinger, er nu meget enklere. Med vores nye processer og erklæringsmodulet behøver kun fire personer - højst - at være involveret i stedet for de tidligere otte personer, og alt er langt mere organiseret,” siger Louise Skou, Legal Assistant i .legal A/S.

Dette værktøj har været en game-changer for os, og vi tror på, at det vil gøre denne type audit-arbejde langt mere tilgængeligt for andre organisationer.

Vejledning fra IT-sikkerhedsrevisorer

Vi har ikke gjort alt dette alene. Vores revisorer har løbende givet os værdifuld vejledning, især med fokus på, hvilke kontroller der er mest relevante at prioritere som en B2B SaaS-virksomhed. Deres rådgivning har ikke kun hjulpet os med at opnå ISAE 3000- og ISAE 3402-erklæringerne, men har også været afgørende i vores planlægning frem mod en fremtidig ISO27001-certificering.

For eksempel har vores revisorer hjulpet os med at styrke vores sikkerhed ved at anbefale forbedringer som kortere skærmlås-tider og strammere adgangskodepolitikker. Disse tiltag har ikke kun været nødvendige for at opnå erklæringerne, men har også bidraget til at øge vores generelle sikkerhedsniveau. Implementeringen var enkel og hurtig, da alle andre opgaver og beviser allerede var organiseret og lettilgængelige.

Fordelene ved en ISAE erklæring

Så var det arbejdet værd? Helt sikkert!

“Når vi viser vores kunder vores ISAE 3000- og 3402-certificeringer, giver det dem øjeblikkelig tillid. De ser, at vi ikke bare sætter flueben, men har et gennemprøvet system, der beskytter deres data og sikrer, at vores processer er solide,” siger Brian Østberg, CEO i .legal A/S.

Ved at få både en ISAE 3000 og ISAE 3402 erklæringer, har vi fået flere klare fordele:

Kundernes tillid

De fleste af vores kunder, er i industirer hvor datasikkerhed er kritisk. Disse erklæringer er med til at give dem ro i sindet, da de på den måde slipper for selv at udføre en auditering af os som leverandør, da vi allerede har haft en eksterne revisor til at godkende vores processer. Dette sparer også vores kunder tid og penge.

Forbedrede processer

Forberedelserne til revisionerne tvang os til at foretage en kritisk vurdering af vores interne kontroller og risikostyring. Det resulterede i arbejdsgange, der ikke kun er i overensstemmelse med reglerne, men også er mere effektive og sikre. Da bevismateriale udelukkende opbevares på platformen, er der ingen grund til at bekymre sig om at slette e-mails med bevismateriale efter revisionen.

Dokumentationen af vores procedurer er blevet en værdifuld ressource som træningsmateriale til onboarding af nye medarbejdere og til at fremme en kultur med løbende forbedringer.

Øget sikkerhed

Indførelsen af månedlige penetrationstests og andre it-foranstaltninger har allerede hjulpet os med at identificere og udbedre sårbarheder, hvilket har styrket vores overordnede sikkerhedsposition.

Hvad så nu?

Gennem vores erfaring med ISAE 3000 og ISAE 3402 har vi udviklet et erklæringsmodul, der hjælper med at forenkle compliance- og auditprocessen for andre organisationer. Med dette værktøj automatiseres indsamlingen af beviser, og mængden af frem-og-tilbage-kommunikation samt manuelle opgaver reduceres markant. Kolleger kan uploade dokumentation, overvåge compliance og kommunikere direkte via platformen, hvilket gør det langt nemmere at holde sig på forkant med audit-opgaverne året rundt.

“Det smukke ved det er, at når det først er sat op, gentager processen sig selv hvert år. Du behøver ikke længere at sende påmindelsesmails for at kickstarte revisionsprocessen - alt er automatiseret, og du skal bare føre tilsyn med de endelige godkendelser, før du sender dem til revisoren,” siger Brian Østberg, CEO i .legal A/S.

For mange organisationer er it-audits en stressfaktor, ofte præget af hårde deadlines. Med et erklæringsmodul kan compliance imidlertid blive en mere integreret og strømlinet del af den daglige arbejdsrutine.

Arbejdet med ISAE

At sikre ISAE 3000- og ISAE 3402 Type 2-certificeringer var en udfordrende, men givende proces. Den har presset os til at forfine vores interne systemer og øge vores sikkerhedsforanstaltninger, samtidig med at vi har bevist over for vores interessenter, at vi virkelig overholder reglerne.

Det nye erklæringsmodul er designet til at hjælpe andre virksomheder med at opnå og vedligeholde erklæringer mere effektivt. Hvis du overvejer at gå efter ISAE 3000- eller ISAE 3402-certificering, skal du være klar til en vis indsats på forhånd, men med de rigtige værktøjer på plads bliver det meget lettere med tiden.

declarationcoverOptimeret

.legal compliance platform Håndter dine erklæringer smartere

Få fuld kontrol over dine erklæringer, alt sammen på ét sted. Prøv vores erklæringsmodul til at få overblik over dine erklæringer.
  • Få et klart overblik over dine fremskridt på tværs af flere erklæringer som f.eks. ISAE3402, ISAE3000 og ISO27001.
  • Følg opdateringer i realtid om gennemførte kontroller, så du altid ved, hvor tæt du er på at være færdig.
  • Undgå overflødigt arbejde ved at genbruge dokumentation på tværs af forskellige erklæringer, hvilket reducerer den manuelle proces.
Læs mere
Book demo
+290 store og små virksomheder bruger .legal
Region Sjælland
Aarhus Universitet
aj_vaccines_logo
Realdania
Right People
IO Gates
Georg Jensen
PLO
Finans Danmark
geia-food
Vestforbrænding
arp-hansen-hotel-group-logo-1
Boligkontoret danmark
Evida
Klasselotteriet
NRGI1
BLUE WATER SHIPPING
Karnov
VP Securities
AH Industries
Energi Viborg
Ingvard Christensen
Lægeforeningen
InMobile
Zwipe
AK Nygart
DEIF
DMJX
KAUFMANN (1)
qUINT Logo
Axel logo
Footer topswirl

Info

.legal A/S

hello@dotlegal.com
+45 7027 0127

CVR: 40888888

Support

support@dotlegal.com
+45 7027 0127
Brug for hjælp?

status page badge

Platform status

Kontorer

Aarhus

Store Torv 14, 2. sal
8000 Aarhus C

København

Vesterbrogade 26
1620 København V

Produkter

Lad mig hjælpe jer i gang

mads-i-blob
Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
arrow-right-white Få en demo

.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

Footer bottomswirl