Verantwoording inzake informatiebeveiliging bij uitbesteding, ISO27001-certificaat of ISAE door RE? - Accoris

In het kader van informatiebeveiliging wordt vaak verlangd dat een (externe) dienstenleverancier beschikt over een kwaliteitskeurmerk zoals het ISO27001-certificaat of vergelijkbaar. Wist u dat rapporten conform de International Standard for Assurance Engagements (ISAE) 3000 en 3402, die kunnen worden afgegeven door een Register EDP-auditor (RE) van de NOREA, ook toegestaan zijn als verantwoording over de informatiebeveiliging en/of privacy-naleving van de dienstenleverancier? Overigens besteedde Radio BNR hierover aandacht in het programma BNR digitaal van 22 januari 2020 ‘to update, or not to update’.

Met dienstenleveranciers moeten afspraken zijn gemaakt over de (technische en organisatorische) maatregelen die minimaal geïmplementeerd dienen te zijn. Deze maatregelen dienen te passen binnen het raamwerk van informatiebeveiliging. U bent ervoor verantwoordelijk dat de dienstenleverancier passende maatregelen heeft getroffen en geïmplementeerd en kan aantonen dat deze ook bij voortduring functioneren. In dit kader kan blijken dat het ISO27001-certificaat niet passend of ontoereikend is. Een rapport conform ISAE over kan uitkomst bieden door de normen van de ISO27001 al dan niet aangevuld met andere normen (bijvoorbeeld de NCSC normen in het kader van DigiD) in een ISAE rapport op te nemen.

Waarom een ISAE rapport? In tegenstelling tot een ISO27001-certificaat, kan een ISAE rapport specifieke informatie per maatregel (oordelen en/of bevindingen) bevatten. Deze informatie kan variëren afhankelijk van de risico-inschatting, de aard en omvang van het onderzoek, het aantal relevante maatregelen, etc. Evenals een ISO27001-certificaat kan een ISAE rapport betrekking hebben op opzet en bestaan van de maatregelen (type 1). Daarentegen kan een ISAE rapport ook expliciete informatie over de werking van de maatregelen (type 2) en een eventueel verbeterplan van de dienstenleverancier bevatten. Deze bredere informatiefunctie van een ISAE rapport kan voor u van belang zijn om uw verantwoordelijkheid voor de uitbesteding te kunnen dragen.

Wij kunnen als RE rapporten conform ISAE 3000 en 3402 over dienstenleveranciers verstrekken. Daarnaast kunnen wij u ook ondersteunen bij het formuleren van de juiste eisen in het kader van de gewenste verantwoording door dienstenleveranciers en met het beoordelen van ontvangen ISAE-rapportages. Desgewenst informeren wij u graag over de mogelijkheden en de daaraan verbonden kosten.

Het bericht Verantwoording inzake informatiebeveiliging bij uitbesteding, ISO27001-certificaat of ISAE door RE? verscheen eerst op Accoris.