ISAE 3000 is de internationale standaard voor security en overige niet-financiële informatie. Een ISAE 3000 rapport is in Nederland geïmplementeerd onder de naam Standaard 3000 (NBA) en Richtlijn 3000 (NOREA). ISAE 3402 wordt voornamelijk gebruikt als sprake is van outsourcing waarbij ook (indirect) financiële informatie wordt verwerkt door de service organisatie. Indien dit niet het geval is, dan is feitelijk ISAE 3000 van toepassing, bijvoorbeeld wanneer uitsluitend de General IT Controls in de reikwijdte van de SOC rapportage zijn opgenomen.
In een ISAE 3000 is het risicobeheersingsysteem opgenomen wat betrekking heeft op beschikbaarheid van systemen, systeemintegriteit, vertrouwelijkheid en privacy. Het rapport zal voornamelijk betrekking hebben op de General IT Controls. De General IT Controls zijn de algemene maatregelen die van belang zijn om de betrouwbaarheid van de geautomatiseerde gegevensverwerking te kunnen waarborgen. De maatregelen hebben o.a. betrekking op de continuïteit, beveiliging, capaciteitsplanning, beschikbaarheid en privacy. Voor de inrichting van de General IT Controls wordt veelal gebruik gemaakt van de indeling van het CobiT framework. Binnen CobiT (5) wordt naast security in het algemeen, IT operations, business continuity, incidentmanagement, change management en probleemmanagement onderscheiden. Indien de primaire scope de General IT controls zijn, maar bijvoorbeeld in het datacenter (direct of indirect) financiële informatie wordt verwerkt, dan is ISAE 3402 van toepassing.
Wilt u meer weten over onze dienstverlening betreffende ISAE3000? Bel ons dan op nummer 088 – 160 1700. U kunt ook het contactformulier invullen. Wij nemen dan zo snel mogelijk contact met u op.