Softwarepakketten.nl

Onderzoek

Van SAS70 naar ISAE3402: nieuwe assurance standaard voor service organisaties, zoals cloud aanbieders

Plaatsingsdatum 27-02-2012
Berichtdatum 2011

In 2011 is de SAS70-standaard vervangen door een nieuwe internationale standaard de ISAE3402. Het gaat hierbij om standaarden die richtlijnen bieden voor een onafhankelijke auditor (de service auditor) om een opinie te geven over de beschrijving en uitvoering van beheersingsmaatregelen van de serviceorganisatie. Bijvoorbeeld van een datacentrum bij het model van Cloud computing.

Menno Arentsen RE, heeft een uitgebreid artikel geschreven met de titel 'Van SAS70 naar ISAE3402'. In dit artikel geeft Menni op heldere wijze uitleg over deze standaarden en de overgang naar ISAE3402. Onderstaande tekst is afkomstig van het artikel van Menno.

Bedrijven besteden al jaren (het beheer van) hun IT-omgeving(en) en diensten uit aan serviceorganisaties. De organisatie kan zich dan meer richten op haar primaire proces. Daarnaast zijn serviceorganisaties, door schaalgrootte, vaak in staat het beheer efficiënter en effectiever uit te voeren. Een aspect dat bij het uitbesteden van diensten speelt is dat men dan wel zekerheid wil verkrijgen over de wijze waarop de serviceorganisatie deze diensten levert. Naast de diverse rapportages en certificaten wordt hiervoor ook gebruikgemaakt van onderzoekrapportages. Daar waar het gaat om het verkrijgen van zekerheid over de betrouwbaarheid van de (financiële) gegevensverwerking bestaat al sinds de jaren 90 de mogelijkheid tot het verkrijgen van een SAS70- verklaring van de serviceorganisatie. Hierbij voert een onafhankelijke service auditor een onderzoek uit bij de serviceorganisatie en geeft over de uitkomsten van het onderzoek een verklaring af. Het onderzoek richt zich op de opzet en het bestaan van bepaalde controlemaatregelen,Type I-verklaring, en desgewenst ook over de werking van de maatregelen, Type II-verklaring. De SAS70-verklaring is inmiddels (juni 2011) vervangen door de ISAE 3402-standaard. Deze ISAE 3402-standaard  springt flexibeler in op de eisen van de markt. De SAS70 bood al een (aanvullende) controle op informatiebeveiligingsaspecten, de ISAE 3402 kan hier nog beter op aansluiten.

In het complete artikel van Menno wordt ingegaan op de overeenkomsten en verschillen tussen de
twee standaarden en de veranderingen die dit teweegbrengt voor de verschillende betrokken partijen. Daarna wordt ingegaan op de kansen die de ISAE 3402 biedt voor informatiebeveiliging. Ten slotte wordt de implementatie bij Capgemini kort geschetst.

Complete artikel
Download het complete artikel 'Van SAS70 naar ISAE3402' van Menno Arentsen (in PDF).

Over de auteur
Menno Arentsen RE is sinds 2008 werkzaam als IT auditor bij Capgemini Application Services, waar Application Outsourcing een onderdeel van vormt. Hij is verantwoordelijk voor het uitvoeren van interne en begeleiden van externe audits en is betrokken bij de uitvoering van de SAS70- en ISAE3402-audit. Menno Arentsen is te bereiken via e-mail: menno.arentsen@capgemini.com .

Het complete artikel van Menno is eerder verschenen in Informatiebeveiliging - nummer 4 - 2011, een uitgave van het Platform Voor InformatieBeveiliging.

Categorie(n) SAAS, Cloud Computing, Assuring (incl. certificeren en compliance), Branche > Accountantskantoren, Soort > ICT Beheer en Beveiliging, Softwareselectie
Bronvermelding Menno Arentsen RE, Capgemini Application Services

Automatisch op de hoogte blijven?
Schrijf u in voor onze gratis periodieke nieuwsbrief.

Terug

Kleisteen

Informer software


KING


Timewriter


Onerzoeksbureau GBNED