Hvad er en ISAE 3402 erklæring?

En ISAE 3402 erklæring dokumenterer, at en virksomhed har styr på IT-sikkerheden.

ISAE 3402 erklæring guide - komplet vejledning til certificering af IT-sikkerhed

Introduktion

Med ISAE 3402 erklæringen sender din virksomhed et positivt signal til potentielle kunder, der er interesserede i at outsource dele af deres forretningsprocesser, IT-services eller håndtering af persondata, da erklæringen demonstrerer, at man har implementeret passende sikkerhedsforanstaltninger.

Hvordan foretages en ISAE 3402 erklæring?

Man kan vælge at få lavet ISAE 3402 erklæringen af IT-sikkerhed for et specifikt forretningsområde.  Eksempelvis kan en softwarevirksomhed der foretager en specifik databehandling på vegne af sine kunder, lave en erklæring for netop denne behandling.

Derfor starter en erklæringsrapport med at definere forretningsområdet, der føres tilsyn med, samt de kontrolmål, der skal tjekkes hos virksomheden for at sikre, at IT-sikkerheden er passende.

Det er kun en uafhængig revisor, som kan lave erklæringen, og denne skal i tilsynet gennemgå virksomhedens kontroller og processer for at kunne ‘erklære’, at disse er tilstrækkelige.

ISAE 3402 erklæringens indhold

ISAE 3402 erklæringen bruges til at kontrollere IT-sikkerheden, og derfor kan man tage udgangspunkt i eksempelvis ISO27001 standarden til at definere sine kontrolmål, som fx kunne udformes således:

  • Informationssikkerhedspolitikker
  • Organisation af informationssikkerhed
  • Sikkerhed for menneskelige ressourcer
  • Aktivstyring
  • Adgangsstyring
  • Kryptografi
  • Fysisk og miljømæssig sikkerhed
  • Driftssikkerhed
  • Kommunikationssikkerhed
  • Anskaffelse, udvikling og vedligeholdelse af systemer
  • Leverandørforhold
  • Håndtering af informationssikkerhedshændelser
  • Compliance

For hvert af disse områder skal der opsættes nogle konkrete IT-sikkerhedskontroller, som en revisor kan føre tilsyn med. 

Eksempel på tilsyn

I nedenstående eksempel kan du se hvordan et tilsyn kan foregå for ‘aktivstyring’ og ‘systemsudvikling’, samt de kontrolaktiviteter, som kan udføres for at sikre, at passende sikkerhedsforanstaltninger er implementeret og effektive i virksomheden. 

I sidste kolonne kan du se eksempler på tests, som kan udføres af revisoren for at kontrollere, at kontrolaktiviteterne er implementeret korrekt i virksomheden.

ISAE 3402 Emne

Kontrolaktivitet

Test

Aktivstyring

Sikring af udviklingsmiljø:

Eksempel: Organisationen skal etablere og beskytte sikre udviklingsmiljøer til systemudvikling og integration, som dækker hele systemets udviklingslivscyklus.




Eksempler

Vi har interviewet relevante medarbejdere hos virksomheden.

Vi har konstateret, at tjenesteudbyderen anvender et projekthåndteringssystem til systemudvikling.

Anskaffelse, udvikling og vedligeholdelse af systemer




Informationssikkerhedspolitik for leverandører

Eksempel:

Informationssikkerhedskrav til at reducere risici forbundet med leverandørens adgang til organisationens aktiver skal aftales med leverandøren og dokumenteres.

Eksempel:

Vi har interviewet relevante medarbejdere hos virksomheden.

Vi har gennemgået tjenesteudbyderens procedure for leverandørsikkerhed og observeret, at der ved indgåelse af leverandøraftaler skal underskrives en erklæring i overensstemmelse med tjenesteudbyderens sikkerhedspolitik. Vi har gennemgået skabelonen for erklæringen.

På forespørgsel er vi blevet informeret om, at der ikke er indgået nogen aftaler med leverandører i erklæringsperioden. Det har derfor ikke været muligt at teste implementeringen af proceduren.

Vi har konstateret, at tjenesteudbyderen har indhentet og gennemgået SOC 2-rapporten fra Microsoft vedrørende deres overholdelse af sikkerhedskravene.

Vil du se et eksempel på en endelig erklæring? Så kan du finde vores erklæring her.

Beviser

For at leve op til de krav, som revisoren stiller, er det vigtigt at dokumentere, at man faktisk overholder kontrollen. Det kræver løbende dokumentation, som revisoren kan bruge som grundlag for at godkende kontrollen. Mangler der tilstrækkeligt bevismateriale, kan det resultere i en anmærkning i revisors erklæring.

Hvordan får man en ISAE 3402-erklæring?

Processen for at opnå en ISAE 3402-erklæring starter med, at du laver en gap-analyse, hvor du identificerer virksomhedens eksisterende kontroller og vurderer disse op imod kravene for en ISAE 3402 erklæring. Eventuelle mangler eller svagheder identificeres, så forbedringer kan laves i sikkerhedskontrollerne. 

Når du har kontrollerne på plads, kan det være en god idé at starte ud med at få lavet en ISAE 3402 type 1 erklæring. Du kan senere overveje at få lavet en type 2 erklæring, når kontrollerne har været operative over tid, fx efter et år. Du kan læse mere om forskellene mellem ISAE type 1 og type 2 erklæringer her.

Det er normalt at forny sin erklæring årligt, og derfor bør din virksomhed have en proces for løbende at evaluere og forbedre kontrollerne. Typisk vil der være en fastsat auditeringsdato, og det er vigtigt at afsætte tid inden da til at validere, at alle kontroller er udført korrekt. Det anbefales dog at udføre selve kontrollerne løbende gennem året. På den måde undgår du at stå i en presset situation få dage før deadline, hvor både udførelse og validering skal klares på én gang.

 

.legal’s ISAE 3402 type 2 erklæring

Du kan læse om hvordan, at vi fik lavet vores ISAE 3402 type 2 erklæring, lige her. I denne deler vi også vores erfaringer med at få lavet en ISAE 3000 type 2 erklæring på samme tid.

 

Fordele for kunderne

ISAE 3402-erklæringen skaber transparens og giver samtidig sikkerhed for dig og dine interessenter, idet en tredjepart har valideret, at du lever op til de implementerede kontroller.

Erklæringen bekræfter for kunden, at man som leverandør har høje krav til IT-sikkerheden, og det gør tilmed kundens due diligence proces nemmere. Kunden kan spare både tid og penge ved at anvende leverandører med en ISAE 3402 erklæring, da kunden derfor ikke selv skal udføre tilsynet.

Ulemper ved ISAE 3402

Der er mange fordele ved at få lavet en ISAE 3402 erklæring, men ulempen er, at det kræver en betydelig tidsinvestering og brug af ressourcer at efterleve kravene og vedligeholde erklæringen år efter år. 

Den første audit kræver typisk omfattende dokumentation og samarbejde mellem flere afdelinger i virksomheden, hvilket kan være tidskrævende. For mindre virksomheder kan omkostningerne være en udfordring, og du bør afveje, om det skaber tilstrækkelig værdi i forhold til omkostningerne.

Der findes dog IT audit tools, som kan bruges til at guide og effektivisere processen betydeligt.

Konklusion

Med en ISAE 3402-erklæring har en revisor erklæret, at denne har ført tilsyn med en virksomheds IT-sikkerhed og har fundet, at virksomheden har et passende sikkerhedsniveau. En ISAE 3402-erklæring er derfor et stærkt bevis på virksomhedens engagement i at opretholde højeste standarder for IT-sikkerhed og risk management, samtidig med at den giver kunder, partnere og andre mulige interessenter den nødvendige tillid til, at virksomhedens systemer er sikre og pålidelige.

Ofte stillede spørgsmål om ISAE 3402

Hvad er en ISAE 3402 erklæring?

En ISAE 3402 erklæring er en revisorerklæring, der dokumenterer at en virksomhed har implementeret passende IT-sikkerhedskontroller. Den fungerer som et kvalitetsstempel for virksomheder, der leverer IT-services eller håndterer data på vegne af andre.

Hvem kan lave en ISAE 3402 erklæring?

Det er kun en uafhængig revisor, som kan lave en ISAE 3402 erklæring. Revisoren skal gennemgå virksomhedens kontroller og processer for at kunne erklære, at disse er tilstrækkelige.

Hvad er forskellen mellem ISAE 3402 type 1 og type 2?

En type 1 erklæring beskriver kontrolsystemet på et bestemt tidspunkt, mens en type 2 erklæring også tester effektiviteten af kontrollerne over en periode (typisk 12 måneder). 

Læs mere om forskellene mellem ISAE type 1 og type 2.

Hvor ofte skal en ISAE 3402 erklæring fornys?

Det er normalt at forny sin ISAE 3402 erklæring årligt for at opretholde troværdigheden og vise løbende compliance.

Hvad koster det at få lavet en ISAE 3402 erklæring?

Omkostningerne varierer afhængigt af virksomhedens størrelse og kompleksitet. For mindre virksomheder kan omkostningerne være en udfordring, så det er vigtigt at afveje værdien i forhold til investeringen.

Hvad er forskellen mellem ISAE 3402 og ISO 27001?

ISAE 3402 er en revisorerklæring fokuseret på service organisationer, mens ISO 27001 er en international standard for informationssikkerhedsledelse, der kan certificeres.

Læs mere om ISO 27001 compliance

Hvilke områder dækker en ISAE 3402 erklæring?

En ISAE 3402 erklæring kan dække områder som informationssikkerhedspolitikker, adgangsstyring, fysisk sikkerhed, leverandørforhold, og håndtering af sikkerhedshændelser baseret på standarder som ISO 27001.

Kan .legal hjælpe med ISAE 3402 compliance?

Ja, .legal's erklæringsmodul kan hjælpe med at håndtere og dokumentere ISAE 3402 processer sammen med andre compliance frameworks som ISAE 3000 og ISO 27001.

Læs mere om .legal erklæringsmodul

Hvor kan jeg se et eksempel på en ISAE 3402 erklæring?

Du kan se .legal's egen ISAE 3402 erklæring her som et eksempel på, hvordan en færdig erklæring ser ud.

Se eksempel på ISAE 3402 erklæring

Hvad sker der hvis min virksomhed ikke får ISAE 3402?

Uden en ISAE 3402 erklæring kan potentielle kunder have sværere ved at stole på din IT-sikkerhed, og de kan kræve omfattende due diligence processer, hvilket kan koste tid og forretningsmuligheder.

Helper swirl top

Informationssikkerhed

Leder du efter andre artikler om informationssikkerhed? Eller er du nysgerrig efter at lære mere om compliance-løsninger? Udforsk vores artikelserie, hvor vi går i dybden med emnet.
 
Helper swirl bottom
declarationcoverOptimeret

.legal compliance platform Håndter dine erklæringer smartere

Få fuld kontrol over dine erklæringer, alt sammen på ét sted. Prøv vores erklæringsmodul til at få overblik over dine erklæringer.
  • Få et klart overblik over dine fremskridt på tværs af flere erklæringer som f.eks. ISAE3402, ISAE3000 og ISO27001.
  • Følg opdateringer i realtid om gennemførte kontroller, så du altid ved, hvor tæt du er på at være færdig.
  • Undgå overflødigt arbejde ved at genbruge dokumentation på tværs af forskellige erklæringer, hvilket reducerer den manuelle proces.
+360 virksomheder bruger .legal