Verschillen ISAE 3402 en ISO 27001

Wat zijn de verschillen tussen ISAE 3402 en ISO 27001? ISO 27001 is een security standaard, in deze standaard zijn richtlijnen ('best practices') opgenomen voor informatiebeveiliging van een organisatie.ISAE 3402 is een audit standaard voor rapportage over uitbestede processen.

Een ISO 27001 certificering heeft om die reden voor een accountant een beperkte toegevoegde waarde. ISO 27001 kent ook geen toetsingskader, zoals ISAE 3402 dat kent. ISAE 3402 is daarentegen redelijk vormvrij; de standaard geeft richtlijnen en een redelijk generiek toetsingskader; alle processen die effect hebben op de jaarrekening van de gebruikersorganisatie. ISO 27001 kent veel meer specifieke voorschriften, zoals hoe de fysieke beveiliging van een organisatie is ingericht of dat er complexiteitsvereisten moeten zijn voor het wachtwoordbeleid.

Een ISO audit leidt uiteindelijk tot een certificaat. Een ISAE 3402 assurance rapport wordt verstrekt bij een Service Organization Control (SOC) Report. Feitelijk is dit geen certificaat, maar zoals u ook kunt lezen in de frequently asked questions, is dit een vrij semantische discussie.

De kosten voor een ISO 27001 certificering zijn meestal ook lager dan de kosten van een ISAE 3402-certificering. De belangrijkste reden hiervoor is dat een ISA E3402-audit in het algemeen veel uitgebreider is en bij een ISAE 3402-type II een periode van minimaal zes maanden behelst.

ISO 27001 of ISAE 3402?

Eigenlijk zou dit geen of/of keuze moeten zijn; ISAE 3402 schrijft voor dat de IT omgeving opgenomen dient te worden in het ISAE 3402-rapport, informatiebeveiliging is daarom een integraal onderdeel van ISAE 3402. Deze informatiebeveiliging moet zodanig ingericht zijn dat deze 'veilig' is voor de gebruikersorganisatie. Dus, ISO 27001 wordt feitelijk volledig 'gedekt' door ISAE 3402. Aan de andere kant heeft ISAE 3402 alleen betrekking op de processen die een organisatie uitbesteedt en niet op de 'eigen' bedrijfsprocessen, deze vallen buiten de scope. De vraag is dan wel in hoeverre afnemers belang hechten aan de eigen processen van een organisatie, want ook ISO 27001 wordt voornamelijk gebruikt voor profilering richting 'derden'. Het belangrijkste verschil is eigenlijk dat ISO 27001 geen toetsingskader kent en ook beperkt bruikbaar is voor externe accountants. Een belangrijk pluspunt van ISO 27001 is dat er wel gedetailleerde voorschriften zijn die bij ISAE 3402 ontbreken. De kwaliteit van een ISAE 3402 rapport is daardoor afhankelijk van degene die hem opstelt en de uiteindelijke controleur.