Blog

Managed Services

ISAE 3402: voor grip op uitbestede IT-diensten

24 jan 2018

Of het nu in de vorm van SaaS, IaaS of Managed Services is, vrijwel iedere organisatie neemt tegenwoordig IT-diensten af bij dienstverleners. Een belangrijk stuurmechanisme is het regelmatig controleren en bespreken of de afspraken zoals vastgelegd in een Service Level Agreement (SLA) worden nagekomen. Echter, SLA’s zijn vooral outputgericht en houden beperkt rekening met de wijze waarop de diensten worden geleverd. Goed ingerichte dienstverlening aantoonbaar maken middels een ISAE 3402-rapport biedt zekerheid voor organisaties.

Ruud Kurver door Ruud Kurver

Vertrouwen op uitbesteding

De uitbestede diensten grijpen steeds vaker in op de primaire processen van een organisatie, waardoor de afhankelijkheid van de service provider toeneemt. Organisaties die diensten uitbesteden, blijven echter eindverantwoordelijk voor de levering aan de gebruikersorganisatie. Door hogere eisen in wet- en regelgeving en het kunnen aantonen van interne beheersing neemt de vraag naar meer zekerheden over de uitbestede diensten bij de service providers toe. In hoeverre is de levering van de diensten onder controle? Is de beveiliging op orde? In hoeverre is er functiescheiding ingericht? Hoe zijn de activiteiten over de gehele keten van dienstverlening gewaarborgd?

In 2013 is de SAS70-standaard vervangen door de internationale ISAE 3402-standaard. Hierdoor is het nu mogelijk om de scope van een ISAE 3402-verklaring te verbreden. Naast het aantonen van betrouwbaarheid van de financiële rapportages kan het rapport worden uitgebreid met het aantonen van maatregelen door een service provider om de betrouwbaarheid, continuïteit en informatiebeveiliging van de geleverde diensten te garanderen.

ISAE3402

Bron: Stichting Corporate Governance – www.isae3402.nl

ISAE 3402-verklaring

Een onafhankelijke service auditor, zoals Register Accountants (RA) of Register EDP-auditors (RE), beoordeelt de kwaliteit van de uitbestede diensten en mag een ISAE 3402-verklaring afgeven. Hierbij is onderscheid gemaakt tussen een type I en type II verklaring. Het type I rapport is een momentopname waarin gerapporteerd wordt over het bestaan van beheersmaatregelen (control frame work). In het type II rapport wordt ook gecontroleerd in hoeverre over een periode (vaak 6 tot 12 maanden) de beheersmaatregelen effectief hebben gewerkt.

Met een ISAE 3402-verklaring kan het management van een organisatie aan toezichthouders en ketenpartners aantonen dat de diensten die het aan haar gebruikersorganisatie levert onder controle heeft. Service providers verschaffen op hun beurt de zekerheid dat ze kwalitatieve diensten leveren met aandacht voor de continuïteit en effectiviteit van de dienstverlening en beveiliging van gegevens.

Telindus Data Availability Services

Vele klanten maken gebruik van diensten van Telindus. Om onze klanten de zekerheid te geven dat wij de noodzakelijke maatregelen treffen voor het leveren van veilige en betrouwbare diensten met hoge kwaliteit, investeert Telindus veel in mensen, processen en middelen. Bij voorkeur tonen wij dat ook middels certificeringen, zoals ISO 9001, ISO 27001 en leverancierspecifieke certificeringen van onder andere Cisco, NetApp en EMC.

De ISAE 3402-verklaring maakt onderdeel uit van onze nieuwe Data Availability Services die binnenkort worden gelanceerd. Vanuit het moderne, gebruikersvriendelijke en betrouwbare Telindus Cloud Backup-platform gaan wij onze klanten helpen om op een veilige manier complexe backup- en restore-taken (VM, files, applicaties en databases) uit handen te nemen. Mede onder druk van wet- en regelgeving is het garanderen en het kunnen aantonen van databeschikbaarheid cruciaal voor organisaties.

Nu al meer weten over hoe deze diensten zijn opgebouwd? Zie de blog van mijn collega Bert Hoving https://www.telindus.nl/bouwblokken-backup-as-a-service/

Geïnteresseerd?

Ruud Kurver
Neem contact op met onze specialist Ruud Kurver

Ruud Kurver is sinds 2006 in dienst bij Telindus en heeft diverse functies vervuld. Ruud is werkzaam als Program Manager op de afdeling Strategy & Solutions. In deze functie is hij verantwoordelijk voor de aansturing van projecten voor uitbreiding en optimalisatie van het Telindus Solution & Services portfolio. Het doel is maximale waarde creëren voor zowel onze klanten als Telindus. Door zijn brede achtergrond in de IT en uitgebreide ervaring in productmanagement overziet Ruud het totale traject van initiële business cases, lanceringen in de markt, borging van een kwalitatieve dienstverlening en het continu aanpassen aan de veranderende vraag vanuit de markt. Naast zijn werk in de IT is Ruud een actief golfer en organiseert hij al jaren de toernooien bij de lokale voetbalvereniging.

geen reacties
Plaats een reactie