• Close-up van een laptop toetsenbord met een lichte werking in een donkere omgeving.

    IT-audit Services

    Onze IT-audit services, zoals SOC 2, ISAE 3402, ISAE 3000 en DigiD-audits, bieden onafhankelijk inzicht dat verder gaat dan alleen controle. Wij identificeren risico’s, toetsen beheersmaatregelen en dragen bij aan verbeteringen die jouw organisatie versterken.

    Lees meer
  • Persoon die in de lucht springt tussen rotsen.

    Risk Services

    Wij voeren risicobeoordelingen, interne controle-evaluaties en risicomanagement op het gebied van informatiebeveiliging uit. Daarnaast zorgen wij dat jouw organisatie voldoet aan de eisen van toezichthouders, zoals DNB, en inzicht krijgt in verbeterpunten.

    Lees meer
  • Twee mensen, een man en een vrouw, geven elkaar een high-five in een kantoor. Ze glimlachen en lijken blij, met documenten, een laptop, pennen en bekers op de tafel.

    Compliance Services

    Wij begeleiden jouw organisatie bij het voldoen aan wet- en regelgeving, zoals GDPR, NIS2 en DORA, en ondersteunen bij certificeringen zoals ISO 27001 en NEN 7510. Zo waarborgen wij dat je voldoet aan de vereiste standaarden en optimaal voorbereid bent op audits.

    Lees Meer
  • Man werkt aan meerdere computerschermen in een donkere, moderne kantooromgeving met mensen op de achtergrond.

    Security Services

    Onze securitydiensten omvatten onder andere penetratietests en ISO-implementatiebegeleiding. Daarmee zorgen wij dat jouw organisatie beter beschermd is tegen digitale dreigingen en voldoet aan de hoogste normen voor informatiebeveiliging.

    Lees Meer
Maak een afspraak

IT-audit Services

Er bestaan verschillende soorten IT-assurance rapportages, elk met een eigen doel en toepassingsgebied. De keuze voor het juiste type rapportage hangt af van de specifieke eisen en informatiebehoeften van de opdrachtgever van de serviceorganisatie.

In overleg bepalen we samen welk assurance-rapport het meest passend is: welke risico’s spelen er, waarover is zekerheid gewenst, en met welk doel wordt de rapportage gebruikt?

Een onafhankelijke IT-assuranceverklaring versterkt het vertrouwen tussen de serviceorganisatie en haar klanten en draagt bij aan transparantie, betrouwbaarheid en een betere samenwerking. De meest voorkomende IT-assurance rapportages zijn:

  • Met een SOC 2-rapport verschaft een serviceorganisatie assurance aan haar klanten over de kwaliteit van de beheersingsmaatregelen die relevant zijn voor de dienstverlening. Het rapport richt zich op de processen en systemen die de serviceorganisatie zelf uitvoert ten behoeve van haar klanten, en geeft inzicht in de mate waarin deze betrouwbaar en gecontroleerd functioneren.

    Een SOC 2 Assurance-rapport is gebaseerd op de Trust Services Criteria (TSC) van de AICPA, die zijn onderverdeeld in vijf categorieën: beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy. Het rapport beoordeelt of de controls die door de serviceorganisatie zijn ontworpen en geïmplementeerd, adequaat zijn en (in geval van een type II-rapport) gedurende de beoordelingsperiode effectief hebben gewerkt.

    SOC 2 is daarmee een veelgebruikt IT-auditraamwerk voor organisaties die transparantie willen bieden over de wijze waarop zij gevoelige gegevens en bedrijfsprocessen beveiligen en beheren. Het biedt gebruikersorganisaties onafhankelijk inzicht in de opzet, het bestaan en de werking van de relevante IT- en securitycontrols.

  • Een ISAE 3402-rapport is een onafhankelijke assurance-rapportage door een IT-auditor of accountant, die zekerheid geeft over de opzet, het bestaan en – bij een Type II-rapport – de werking van de beheersingsmaatregelen binnen een serviceorganisatie. Het doel hiervan is om gebruikersorganisaties inzicht te geven in de mate waarin zij kunnen vertrouwen op uitbestede processen die van invloed zijn op hun financiële verslaggeving.

    Omdat organisaties steeds vaker (kritische) processen uitbesteden, neemt de afhankelijkheid van de kwaliteit en beheersbaarheid van deze dienstverlening toe. Hoewel de primaire focus ligt op processen die relevant zijn voor de financiële verslaggeving, kan de scope – afhankelijk van de afspraken – ook bredere aspecten omvatten, zoals betrouwbaarheid van primaire processen, informatiebeveiliging, beschikbaarheid en integriteit.

    Het rapport biedt daarmee zekerheid over de mate van interne controle bij de serviceorganisatie, zodat gebruikersorganisaties kunnen steunen op deze controls binnen hun eigen accountantscontrole.

  • ISAE 3000 is een internationaal raamwerk voor assurance-opdrachten die betrekking hebben op niet-financiële processen en beheersingsmaatregelen. Binnen de IT-context wordt dit vaak toegepast op processen zoals change management, incident management, service level management, security management, continuïteitsbeheer en softwareontwikkeling.

    Een ISAE 3000-rapport geeft gebruikersorganisaties onafhankelijk inzicht in de mate waarin deze processen zijn ingericht (opzet), daadwerkelijk bestaan en – bij een Type II-rapport – gedurende een periode effectief hebben gefunctioneerd. Dit maakt het mogelijk om aan te tonen dat de organisatie controle heeft over cruciale processen die essentieel zijn voor de kwaliteit en betrouwbaarheid van de dienstverlening, los van de financiële verslaggeving.

    ISAE 3000 is daarmee een flexibel en breed toepasbaar assurance-raamwerk, ideaal voor organisaties die zekerheid willen bieden over algemene bedrijfs- en IT-processen die bepalend zijn voor hun dienstverlening.

    Een ISAE 3000-verklaring is ideaal wanneer u zekerheid wilt bieden over algemene processen die van cruciaal belang zijn voor de primaire dienstverlening, los van financiële aspecten.

  • Veel overheden en zorginstellingen bieden burgers de mogelijkheid om via een online portal in te loggen met DigiD. Daarmee krijgen gebruikers toegang tot persoonlijke gegevens of kunnen zij bijvoorbeeld een verhuizing doorgeven via een digitaal formulier. Omdat DigiD toegang geeft tot privacygevoelige informatie, gelden er strikte beveiligingseisen.

    Om aan te tonen dat organisaties deze eisen naleven, is in Nederland de DigiD TPM (Third Party Memorandum) verplicht. Dit jaarlijkse ICT-beveiligingsassessment moet worden uitgevoerd door een onafhankelijke IT-auditor voor alle organisaties die een DigiD-koppeling hebben (aansluithouders), waaronder gemeenten, zorginstellingen, applicatieleveranciers en hostingpartijen. Het onderzoek bestaat uit een combinatie van een audit en een technische penetratietest.

    Het DigiD-normenkader is gebaseerd op de richtlijnen voor webapplicatiebeveiliging van het Nationaal Cyber Security Centrum (NCSC). Het assessment geeft zekerheid over de mate waarin organisaties voldoen aan de gestelde eisen voor informatiebeveiliging en de beveiliging van DigiD-koppelingen.

    De DigiD-rapportage bevat een overzicht van de bevindingen per norm en wordt ingediend bij Logius, de beheerder van DigiD. Hiermee krijgen zowel de gebruikersorganisatie als betrokken serviceorganisaties inzicht in eventuele tekortkomingen en verbeterpunten.

    Om organisaties optimaal voor te bereiden, biedt Secure Audit ook de mogelijkheid van een pre-audit. Hierbij toetsen wij in hoeverre uw organisatie al voldoet aan het DigiD-normenkader, zodat eventuele tekortkomingen tijdig kunnen worden hersteld voordat het verplichte DigiD-onderzoek plaatsvindt.