Der er ingen nemme løsninger eller individuelle præstationer, der er holdbare på den lange bane for at få styr på GDPR i din virksomhed. Det kræver et team, der samarbejder på tværs af afdelingerne og har en fælles strategi og mål.
ISAE3402 & ISAE3000
Optimér forløbet mod en ISAE-erklæring
Der kan være forskellige grunde til, at en organisation vælger at få udarbejdet en ISAE3402- eller ISAE3000-revisionserklæring. Det kan enten være et krav fra kunderne eller et ønske fra organisationen på baggrund af det signal, det sender til eksisterende og potentielle kunder. En ISAE3402- og ISAE3000-revisionserklæring dokumenterer overfor kunder og samarbejdspartnere, i hvor høj grad organisationen efterlever f.eks. ISO27001, databeskyttelsesforordningen, lovkrav og/eller god IT-adfærd. Med en ISAE-revisionserklæring i hånden undgår organisationen, at der bliver stillet spørgsmål ved, om de er i stand til at håndtere deres kunders data korrekt.
Det giver ro både for organisationen og kunderne. For organisationen vil det også betyde, at hvis kunderne fører tilsyn, så kan de mange spørgerammer og fysiske besøg spares væk – så er det bare at aflevere ISAE-erklæringen.
Sådan forbereder du dig til en ISAE-erklæring
Det er afgørende at få dannet sig et overblik og få fastlagt strukturen i forløbet mod en ISAE-revisionserklæring, da det er vigtigt, at organisationens ressourcer bliver brugt korrekt, så ISAE-revisionen bliver en succes i første hug. På baggrund af mange års erfaring på området anbefaler vi følgende forberedelsesforløb:
Forberedelsesforløb til ISAE-revisionserklæring fra starten
- Hvilken ISAE-standard, skal organisationen revideres efter – 3402 eller 3000?
- Hvad skal scopet være?
- Hvad skal indholdet være?
- Hvilke kontroller skal medtages?
- Udform materiale og kontroller
- Sørg for at kvalitetssikre det udarbejdede materiale
Efterlever du allerede kravene, som revisionen foreskriver fra ISAE3000/3402, og står du over for en audit inden for nærmeste fremtid? Så er det vigtigt at få kvalitetssikret efterlevelsesniveauet. Det sker bedst ved at følge nedenstående steps:
- Hvad efterlever organisationen allerede?
- Hvilke tiltag skal bibeholdes?
- Har organisationen dokumentation på efterlevelse?
- Hvordan har organisationen dokumenteret det?
- Udform materiale og Forbedringstiltag – emner og områder der bør tages med, som er værdiskabende for kunder/leverandører/samarbejdspartnere
Hos Siscon hjælper vi organisationer med al forberedelse til en revisionserklæring, så du opnår din ISAE3402/3000-erklæring, hvad enten du starter fra bunden eller ønsker en kvalitetssikring og rådgivning til forbedringer frem mod en revision. Vi bistår med viden, der effektiviserer forberedelsen til en ISAE-erklæring, og vi ved, hvad revisorerne har fokus på, så snart vi kender organisationen og scopet.
Taler I samme sprog i afdelingerne?
ControlManager™ forud for og under en revision
Med ControlManager™ forenkles og struktureres arbejdet, der ligger forud for en revision. Du får overblik over, hvor langt der er til målet på præcis de områder, som organisationen ønsker at blive målt på. Derudover vil du opleve en sikkerhed og tryghed i, at dokumenter, godkendelser, kontroller og status er samlet ét sted. Det gør arbejdet nemt i hverdagen og under selve revisionen. Der er nemlig ingen tvivl om, hvor dokumentationen er at finde. Udover at give overblik og struktur sender det et stærkt signal om, at der er struktur på forretningsgange og processer i organisationen.
Bliv klogere på ISAE3402/3000 og forberedelsen til revisionen
En ISAE-revisionserklæring er et resultat af det, organisationen ønsker at blive erklæret efter, samt det revisionen tager med fra deres givne standard. Det vil sige, at der ikke findes en ensartet ISAE-erklæring; den bliver skræddersyet i samarbejdet mellem den pågældende organisation og revisionen.
Hvad er ISAE3402?
ISAE3402-standarden handler om den generelle IT-adfærd og IT-forhold i organisationen, som kan have økonomiske konsekvenser for kunderne. Der fokuseres på om organisationen efterlever deres definerede complianceniveau, og om der leves op til kravene, som revisionen foreskriver – og hvordan det bliver gjort.
Hvad er ISAE3000?
ISAE3000-erklæring kan omhandle mange ting. Denne erklæring kan nemlig indeholde alt det, som organisationen ønsker at blive revideret på. Ofte dokumenterer den, hvorvidt organisationen efterlever f.eks. databeskyttelsesforordningen eller databehandleraftaler og hvordan, men den kan også bruges i mange andre sammenhænge.
ISAE-revision – tips og tricks
Under en ISAE-revision vil der ofte være et ønske om en stikprøvekontrol, hvor kontrollen går på, om jeres dokumentation holder stik, og om organisationen gør, som det er fremlagt og foreskrevet. Det er derfor altafgørende, at medarbejderne er informeret om forretningsgange og processer. Det er vigtigt, at det ikke bare er lige op til revisionen, at medarbejderne er informeret, men at det er en indarbejdet arbejdsgang.
Områder revisionen fokuserer på i forbindelse med en ISAE-revisionserklæring
Det er som nævnt vanskeligt at udpege de områder, der fokuseres på ved en ISAE-revision uden at kende den specifikke organisation. Organisationen og revisionen vælger i fællesskab de områder, der skal med i erklæringen ud fra et rammeværk f.eks. ISO27001, COBIT, GDPR eller en tredje standard/lovkrav.
Vi bistår med alt forarbejdet til en ISAE-revisionserklæring, og vi er din sparringspartner og støtte forud for og/eller under selve revisionen. Sammen gennemgår vi dine politikker, procedurer og kontroller, hvorefter vi sammen tager en snak om anbefalinger og forbedringer. Siscon klæder organisationen på til at gøre nye tiltag til en vane, og sammen forankrer vi det i organisationen, så det bliver en indarbejdet arbejdsproces, således at du altid er klar, når revisionen kigger forbi.
Vil du have ekspertviden fra Siscons GDPR-konsulenter?
Hos Siscon tilbyder vi professionel rådgivning og bistand fra vores dygtige GDPR-konsulenter. Vores konsulenter har stor erfaring inden for området og har en solid viden om GDPR-lovgivningen. Du får derfor meget mere end papir-compliance. Vi giver best practice, der virker på den lange bane, og som gør vedligehold af din compliance lettere og mere effektivt
Derfor kan du være sikker på, at du får den bedste rådgivning og bistand til at sikre, at din virksomhed lever op til de gældende regler og bestemmelser.
Kontakt Siscon i dag for professionel rådgivning af erfarne GDPR-konsulenter.
Adgang til ControlManager™ demo site – for virksomheder, der endnu ikke er kunde hos Siscon.
Udfyld kontaktformularen så vi kan kontakte dig for at aftale et uforpligtende introduktionsmøde og en demonstration med tilhørende demo site til ControlManager™.
På dette møde viser vi de mange muligheder, der er i ControlManager™ i relation til jeres opgaver på informationssikkerhedsområdet og med GDPR.
Efterfølgende vil du modtage adgang til vores demonstration site, så du efterfølgende kan genopfriske hukommelsen og undersøge vores løsning nærmere.