IT-audit Services

Met een SOC 2-rapport toont een serviceorganisatie aan dat de processen die aan hen zijn uitbesteed op een betrouwbare manier worden uitgevoerd.

Een SOC 2 Assurance-rapport richt zich op de zogenoemde trust service criteria, die onderverdeeld zijn in vijf categorieën: beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy. Dit rapport geeft klanten inzicht in hoe goed de serviceorganisatie deze criteria beheerst. SOC 2 is gebaseerd op een Amerikaans normenkader en is bijzonder geschikt voor organisaties die transparantie willen bieden over de wijze waarop zij gevoelige gegevens en processen beheren.

Het rapport beoordeelt hoe goed de serviceorganisatie voldoet aan de beheersmaatregelen, die zijn opgezet om de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te waarborgen.

Een ISAE 3402-verklaring is een onafhankelijke beoordeling door een IT-auditor van de betrouwbaarheid van uitbestede financiële en onderliggende processen bij een serviceorganisatie. Bedrijven besteden steeds vaker processen uit (outsourcing), waardoor ze afhankelijk worden van de kwaliteit en beheersbaarheid van deze diensten. De scope van ISAE 3402 is breder dan alleen financiële processen; ook aspecten zoals de betrouwbaarheid van het primaire proces, informatiebeveiliging, beschikbaarheid en integriteit kunnen onderdeel zijn van de beoordeling.

Deze verklaring geeft zekerheid over de mate van controle die een serviceorganisatie heeft over de processen die zij uitvoert.

ISAE 3000 biedt een onafhankelijke beoordeling van niet-financiële IT-beheersprocessen, zoals change management, incident management, service level management, security management, continuïteitsbeheer en softwareontwikkeling. Het geeft organisaties de mogelijkheid om aan te tonen dat deze processen worden uitgevoerd zoals beschreven en dat ze adequaat zijn ingericht.

Een ISAE 3000-verklaring is ideaal wanneer u zekerheid wilt bieden over algemene processen die van cruciaal belang zijn voor de primaire dienstverlening, los van financiële aspecten.

Veel overheden en zorginstellingen bieden gebruikers de mogelijkheid om via een online portal in te loggen met DigiD, waarmee ze toegang krijgen tot persoonlijke gegevens of bijvoorbeeld een verhuizing kunnen doorgeven via een formulier. Echter, niet iedere organisatie krijgt zomaar een DigiD-koppeling; er worden strikte eisen gesteld aan de beveiliging.

Een veelvoorkomende en zeer specifieke assurance-opdracht in Nederland is de DigiD TPM (Third Party Memorandum). Dit jaarlijkse ICT-beveiligingsassessment is verplicht voor alle Nederlandse gemeenten, organisaties met een DigiD-koppeling (gebruikersorganisaties), applicatieleveranciers en hostingpartijen. Het assessment wordt uitgevoerd in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en bestaat uit een combinatie van een audit en een technische penetratietest.

Het DigiD-normenkader is gebaseerd op de richtlijnen voor het beveiligen van webapplicaties van het Nationaal Cyber Security Centrum (NCSC). Het assessment biedt zekerheid over de mate waarin organisaties voldoen aan de strenge eisen voor informatiebeveiliging en de beveiliging van DigiD-koppelingen.

De DigiD-assessment rapportage bevat een overzicht van de bevindingen per norm of maatregel. Deze rapportage wordt opgesteld voor zowel de gebruikersorganisatie als de serviceorganisatie (zoals applicatieleveranciers en hostingpartijen). Als aansluithouder van een DigiD-koppeling bent u verplicht deze rapportage jaarlijks te delen met Logius, de beheerder van DigiD.

Om organisaties te ondersteunen in het behalen van de DigiD-certificering, biedt Secure Audit ook de mogelijkheid van een pre-audit. Hierbij evalueren we in hoeverre uw organisatie voldoet aan de eisen van het DigiD-normenkader, zodat u eventuele tekortkomingen tijdig kunt aanpakken.