Verschillen ISAE3402 en ISO27001

Wat zijn de verschillen tussen ISAE3402 en ISO 27001? ISO 27001 is een security standaard, in deze standaard zijn richtlijnen ('best practices') opgenomen voor informatiebeveiliging van een organisatie. ISAE3402 is een audit standaard voor rapportage over uitbestede processen.

Een ISO 27001 certificering heeft om die reden voor een accountant een beperkte toegevoegde waarde. ISO 27001 kent ook geen toetsingskader, zoals ISAE3402 dat kent. ISAE3402 is daarentegen redelijk vormvrij; de standaard geeft richtlijnen en een redelijk generiek toetsingskader; alle processen die effect hebben op de jaarrekening van de gebruikersorganisatie. ISO27001 kent veel meer specifieke voorschriften, zoals hoe de fysieke beveiliging van een organisatie is ingericht of dat er complexiteitsvereisten moeten zijn voor het wachtwoordbeleid.

Een ISO audit leidt uiteindelijk tot een certificaat. Een ISAE3402 assurance rapport wordt verstrekt bij een Service Organization Control (SOC) Report. Feitelijk is dit geen certificaat, maar zoals u ook kunt lezen in de frequently asked questions, is dit een vrij semantische discussie.

De kosten voor een ISO27001 certificering zijn meestal ook lager dan de kosten van een ISAE3402-certificering. De belangrijkste reden hiervoor is dat een ISAE3402-audit in het algemeen veel uitgebreider is en bij een ISAE3402-type II een periode van minimaal zes maanden behelst.

ISO 27001 of ISAE3402?

Eigenlijk zou dit geen of/of keuze moeten zijn; ISAE3402 schrijft voor dat de IT omgeving opgenomen dient te worden in het ISAE3402-rapport, informatiebeveiliging is daarom een intergraal onderdeel van ISAE3402. Deze informatiebeveiliging moet zodanig ingericht zijn dat deze 'veilig' is voor de gebruikersorganisatie. Dus, ISO27001 wordt feitelijk volledig 'gedekt' door ISAE3402. Aan de andere kant heeft ISAE3402 alleen betrekking op de processen die een organisatie uitbesteedt en niet op de 'eigen' bedrijfsprocessen, deze vallen buiten de scope. De vraag is dan wel in hoeverre afnemers belang hechten aan de eigen processen van een organisatie, want ook ISO27001 wordt voornamelijk gebruikt voor profilering richting 'derden'. Het belangrijkste verschil is eigenlijk dat ISO27001 geen toetsingskader kent en ook beperkt bruikbaar is voor externe accountants. Een belangrijk pluspunt van ISO27001 is dat er wel gedetailleerde voorschriften zijn die bij ISAE3402 ontbreken. De kwaliteit van een ISAE3402 rapport is daardoor afhankelijk van degene die hem opstelt en de uiteindelijke controleur.