Voor onze managed hosting dienstverlening beschikken wij over een ISAE 3000-verklaring. Wij zien dit als een extra aanvulling voor transparantie en vertrouwen, naast onze ISO 9001, 27001 en NEN 7510 certificering. Maar wat is een ISAE 3000-verklaring en waarvoor zet je deze in?
Wat is ISAE 3000?
ISAE 3000 staat voor “International Standard on Assurance Engagements 3000”. Het is een wereldwijd erkende norm voor het uitvoeren van een onderzoek naar een zekerheid (assurance) waar een opdrachtgever naar op zoek is. De vraagstelling van het onderzoek kan uiteenlopen, al heeft de 3000 norm een focus op niet-financiële informatie.
Een inkoper van outdoor reclame zou bijvoorbeeld in een ISAE 3000-verklaring van zijn leverancier willen zien dat de rapportages over de zichtbaarheid daadwerkelijk conform overeengekomen proces tot stand zijn gekomen. De verklaring geeft dan deze zekerheid omdat het onderzoek conform de ISAE norm heeft plaatsgevonden.
Dat is ook meteen het verschil met bijvoorbeeld een ISO 27001 certificering. Dat betreft namelijk meer een set best practices die je moet implementeren terwijl een ISAE 3000-verklaring kan gaan over specifiek jouw proces of dienst.
Scope bepaling
Ook onze relaties vragen soms om aanvullende zekerheid. Bijvoorbeeld rondom backups of ons bedrijfscontinuïteitsplan (BCP). Een ISAE 3000-verklaring kan hierin zekerheid geven. Uiteraard is het dan wel van belang dat de scope van het onderliggende rapport zo goed mogelijk aansluit bij al deze vragen. Daarom is gekozen om maatregelen op te nemen die in relatie staan tot de controls uit het Information Security Management System (ISMS) opgezet conform norm uit de ISO 27001:2017. Deze processen worden gebruikt om te waarborgen dat het beheer van onze managed hosting een gedegen beveiligingsniveau kent. Denk hierbij aan thema’s als screening van medewerkers, toegangsbeveiliging, logfaciliteiten en bescherming van persoonsgegevens.
ISAE audit
Voor elk onderzoekspunt heeft een RE-auditor van 3angles bewijsmateriaal opgevraagd waarmee hij heeft kunnen vaststellen dat de betreffende beheersmaatregelen op afdoende wijze zijn opgezet en geïmplementeerd. Bijvoorbeeld aan de hand van logdata, documenten of fysieke controle. In ons geval zijn hierin geen relevante uitzonderingen aangetroffen waardoor de ISAE 3000-verklaring aantoont dat wij de interne beheersprocessen rondom managed hosting, zoals deze beschreven zijn, ook daadwerkelijk uitvoeren.
Net als de ISAE-3402 en SOC is een ISAE 3000-verklaring een Third Party Memorandum (TPM).
ISAE 3000 en Managed Hosting
Opdrachtgevers kunnen om een ISAE 3000 verklaring vragen wanneer ze (een deel van) hun processen hebben uitbesteed aan een andere organisatie. In combinatie met managed hosting kan dit bijvoorbeeld van toepassing zijn wanneer je een webapplicatie hebt ontwikkeld waarin bedrijfskritische gegevens worden verwerkt. Of je webapplicatie maakt koppelingen met externe systemen als DigiD.
Onze ISAE 3000-verklaring mogen we niet publiek ter download aanbieden. Maar op verzoek sturen we je deze graag toe.
