Hvad er en ISAE 3402-erklæring?
ISAE er en forkortelse af ”International Standard for Assurance Engagements”, og en ISAE 3402-erklæring bliver givet på baggrund af en årlig IT-revision, og erklæringen dokumenterer, at en virksomhed har gode og ordentlige IT-forhold. Det er derfor et officielt bevis på, at virksomheden lever op til alle gældende lovkrav indenfor IT-sikkerhed og generelt udviser god IT-skik.
Derfor giver en ISAE 3402-erklæring et indblik i, hvordan en virksomhed generelt håndterer IT i organisationen. Revisoren undersøger alle virksomhedens arbejdsprocesser omkring IT-funktioner, herunder drift, udvikling, beredskab, dokumentation mm.
Derudover bliver der også undersøgt, hvordan lavpraktiske funktioner såsom back-up sikkerhed, hvordan data er sikret på servere og i datacentre, hvem der har adgang til data mm. Revisionsvirksomheden gennemgår dokumentation og procedurer herfor og foretager stikprøvekontroller af hele virksomhedens sikkerhedssetup.
Når revisionsvirksomheden har gennemgået alle procedurer, dokumentation, arbejdsgange mv., udarbejdes der en rapport og ISAE 3402-erklæring på baggrund af de kontroller og observationer, som er foretaget hos virksomheden.
ISAE 3402-erklæringen er en del af den internationale ledelsesstandard for informationssikkerhed, ISO 27001, og erklæringen bliver kun givet til virksomheder, der bl.a. følger kontrolmålene for ISO 27001. ISO 27001 bliver løbende opdateret, således at virksomheden altid er i stand til at håndtere udfordringerne i en forretningsverden, der er under konstant forandring.
Læs mere om ISO 27001 og informationssikkerhed her.
To typer certificeringer
ISAE-standarden har to typer erklæringer:
- Type 1, som udarbejdes i forhold til en given dato
- Type 2, som udarbejdes i forhold til en periode, typisk er det minimum seks måneder
Fælles for begge standarder er, at de omfatter revisionsvirksomheden konklusion på, hvorvidt IT-virksomheden agerer retvisende i forhold til kontroller, dokumentation og arbejdsprocesser, der er pålagt i forhold til standarden.
Derudover består erklæringen af tre dele:
- Virksomhedens beskrivelse af systemet
- Virksomhedens eget udsagn om beskrivelse og kontroller
- Revisorens erklæring om virksomhedens udsagn med henvisning til beskrivelsen
Her er det vigtigt, at virksomhedens beskrivelser er detaljerede og indeholder kontrolmål og kontrolprocesser, så revisoren kan opnå en forståelse for procedurerne, samt verificere at beskrivelsen er retvisende og kigge efter, at kontrollerne er udført efter formål og hensigt.
Erklæringen består derfor af flere forskellige elementer, som alle gennemgås dybdegående af revisoren og den IT-sikkerhedsansvarlige i virksomheden.
Læs mere om ISAE 3402 her hos Styrelsen for IT og læring.
Hvorfor er det vigtigt, at din IT-leverandør er ISAE 3402-certificeret?
Det er vigtigt at sikre sig, at jeres IT-leverandør er ISAE 3402-certificeret, hvis I vil være helt sikre på, at der er 100 % styr på kontrol, god IT-skik og IT-sikkerhed hos jeres IT-samarbejdspartner. I nogle tilfælde kan det endda være et krav fra kundens side, at leverandørvirksomheden har erklæringen, før der kan indgås et samarbejde.
Hos itpilot er certificeringen især vigtig for os, fordi vi gerne vil sikre vores kunder, at håndteringen af deres IT-softwareløsninger er forsvarlige, og at de får den løsning, de har behov for.
”Vi lægger stor vægt på at være en professionel og troværdig samarbejdspartner overfor vores kunder - altså leverer vi det, vi siger, vi leverer. Vi håndterer jeres IT-løsninger korrekt, og vi har en høj IT-kvalitet, hvilket erklæringen også understøtter"
Kenneth Brogaard Løwe • Direktør i itpilot
Læs mere om vores certificeringer her.
itpilot er din ISAE 3402-certificerede softwareleverandør
Hos itpilot er vi stolte af at være ISAE 3402-certificerede, da det betyder, at vi er en IT-softwareleverandør og -samarbejdspartner, I kan stole på.
Med certificeringen er det muligt for os at udvikle løsninger til offentlige instanser såvel som store organisationer og virksomheder, hvor I som kunde kan have fuld tillid og føle jer trygge ved at vælge itpilot. Vi kan dermed hjælpe jer med at få udviklet de systemer, I har behov for, indenfor de rigtige rammer.
Hvis I har spørgsmål til erklæringen, eller hvis I ønsker at høre mere om, hvordan vi hos itpilot kan hjælpe jer med jeres digitale løsning, er I velkomne til at kontakte os.