Column NewDay: Assurance verklaringen en ISO-certificaten; What the hell is the difference?

Magazines | Noord-Limburg Business nr 5 2022


Alex Klaassen, IT Risk organisatie NewDay

Steeds vaker zien we IT-leveranciers met Assurance verklaringen of ISO-certificaten. Gelukkig maar, want ik las laatst dat één op de vijf Nederlandse Organisaties niet goed is voorbereid op een ransomeware-aanval. Nu sluit niets in absolute zin het risico van een dergelijk succesvolle aanval uit, maar ik vermoed toch dat organisaties die een dergelijke objectieve waarborg hebben wellicht toch een minder groot risico lopen. Maar wat zeggen deze Assurance verklaringen en ISO-certificaten nu precies?

Zonder de illusie te hebben hier volledig te zijn, zal ik toch een aantal belangrijke verschillen benoemen waardoor je beter in staat bent te beoordelen wat voor jou relevant is. Allereerst is een ISO-certificaat er primair op gericht de organisatie op een gestructureerde wijze voortdurend te verbeteren. Dit is natuur-lijk heel goed, maar is wellicht niet voldoende als je wilt weten of de voor jouw organisatie relevante risico's dankzij goede maatregelen ook daadwekelijk slechts een zeer kleine kans op daadwerkelijk manifesteren hebben. Dit is juist de doelstelling van een Assurance verklaring.

Van een Assurance verklaring bestaan er meerdere soorten. Voor IT-leveranciers zijn de zogenoemde '3402-verklaring' en de SOC II/III verklaring' de meest relevante. Hiervan is de SOC II/III eigenlijk de best passende voor IT-leveranciers. Je kunt hiermee namelijk op Vertrouwelijkheid, Integriteit van Processen, Beschikbaarheid en Security zekerheid geven. Daarbij onderkennen we dan weer twee varianten; een zogenoemd type I waarbij naar documentatie en eenmaal naar het bestaan wordt gekeken (zoals ook bij een ISO-audit) en een type II waarbij ook wordt getoetst of de maatregelen die de risico's moeten voorkomen over een langere periode aantoonbaar gewerkt hebben.

Ik adviseer aan alle IT-leveranciers dus een SOC II/III verklaring en hoop dat alle organisaties die kiezen voor een IT-leverancier, kiezen voor een leverancier met een dergelijke verklaring!

www.newdayriskservices.nl

Benieuwd hoe de klanten van NewDay de samenwerking ervaren? Bekijk het korte interview met Signicat.
 

 

delen:
Algemene voorwaarden