ISAE 3402: geen norm, wel een raamwerk
In tegenstelling tot SOC 2, dat duidelijk beschrijft aan welke criteria voor informatiebeveiliging moet worden voldaan, schrijft ISAE 3402 niets voor. Het biedt alleen een format waarin een auditor kan rapporteren over de beheersingsmaatregelen die een organisatie zélf heeft beschreven.
Met andere woorden:ISAE 3402 vertelt pas iets als u het rapport leest.
Er is geen standaard set eisen. Geen verplichte controls. Geen vaste checklist.De organisatie bepaalt zelf wat relevante processen én maatregelen zijn, en de auditor beoordeelt vervolgens of deze bestaan en effectief werken.
En het doel? Heel anders dan vaak gedacht
Een ISAE 3402‑rapport gaat niet primair over informatiebeveiliging, maar over betrouwbaarheid van processen die impact hebben op financiële verslaggeving. Pas wanneer informatiebeveiliging effect heeft op die processen komt het onderwerp aan bod.
Dus ja, informatiebeveiliging kán erin voorkomen (en komt er vaak ook in voor).Maar een ISAE 3402‑rapport zonder security controls? Dat bestaat gewoon.
Waarom deze verwarring?
De term klinkt lekker. Het lijkt op ISO‑certificering. Bedrijven kopiëren teksten van elkaar. En voor veel opdrachtgevers is “er is een ISAE‑rapport” voldoende als comfort.
Maar de realiteit is anders: Wie niet leest, weet niets.
De kern
Als iemand zegt “wij zijn ISAE 3402‑gecertificeerd”, zegt dat eigenlijk maar één ding:Ze weten niet hoe ISAE 3402 werkt.
De kwaliteit van een ISAE 3402‑rapport zit volledig in:
- de beschrijving van processen en beheersmaatregelen;
- de opzet en uitvoering van die maatregelen;
- de auditorbeoordeling en de scope van het rapport.
En dus niet in de term zelf.
Bij 2-Control kunnen we u helpen bij zowel een ISAE3402 als een SOC 2 rapportage. En we kunnen u dus ook uitleggen wat het verschil is.
