Geschreven door: Ruud Kurver Blogs

Vertrouwen op uitbesteding

De uitbestede diensten grijpen steeds vaker in op de primaire processen van een organisatie, waardoor de afhankelijkheid van de service provider toeneemt. Organisaties die diensten uitbesteden, blijven echter eindverantwoordelijk voor de levering aan de gebruikersorganisatie. Door hogere eisen in wet- en regelgeving en het kunnen aantonen van interne beheersing neemt de vraag naar meer zekerheden over de uitbestede diensten bij de service providers toe. In hoeverre is de levering van de diensten onder controle? Is de beveiliging op orde? In hoeverre is er functiescheiding ingericht? Hoe zijn de activiteiten over de gehele keten van dienstverlening gewaarborgd?

In 2013 is de SAS70-standaard vervangen door de internationale ISAE 3402-standaard. Hierdoor is het nu mogelijk om de scope van een ISAE 3402-verklaring te verbreden. Naast het aantonen van betrouwbaarheid van de financiële rapportages kan het rapport worden uitgebreid met het aantonen van maatregelen door een service provider om de betrouwbaarheid, continuïteit en informatiebeveiliging van de geleverde diensten te garanderen.

ISAE3402

Bron: Stichting Corporate Governance – www.isae3402.nl

ISAE 3402-verklaring

Een onafhankelijke service auditor, zoals Register Accountants (RA) of Register EDP-auditors (RE), beoordeelt de kwaliteit van de uitbestede diensten en mag een ISAE 3402-verklaring afgeven. Hierbij is onderscheid gemaakt tussen een type I en type II verklaring. Het type I rapport is een momentopname waarin gerapporteerd wordt over het bestaan van beheersmaatregelen (control frame work). In het type II rapport wordt ook gecontroleerd in hoeverre over een periode (vaak 6 tot 12 maanden) de beheersmaatregelen effectief hebben gewerkt.

Met een ISAE 3402-verklaring kan het management van een organisatie aan toezichthouders en ketenpartners aantonen dat de diensten die het aan haar gebruikersorganisatie levert onder controle heeft. Service providers verschaffen op hun beurt de zekerheid dat ze kwalitatieve diensten leveren met aandacht voor de continuïteit en effectiviteit van de dienstverlening en beveiliging van gegevens.

Telindus Data Availability Services

Data Availabilty ServicesVele klanten maken gebruik van diensten van Telindus. Om onze klanten de zekerheid te geven dat wij de noodzakelijke maatregelen treffen voor het leveren van veilige en betrouwbare diensten met hoge kwaliteit, investeert Telindus veel in mensen, processen en middelen. Bij voorkeur tonen wij dat ook middels certificeringen, zoals ISO 9001, ISO 27001 en leverancierspecifieke certificeringen van onder andere Cisco, NetApp en EMC.

De ISAE 3402-verklaring maakt onderdeel uit van onze nieuwe Data Availability Services die binnenkort worden gelanceerd. Vanuit het moderne, gebruikersvriendelijke en betrouwbare Telindus Cloud Backup-platform gaan wij onze klanten helpen om op een veilige manier complexe backup- en restore-taken (VM, files, applicaties en databases) uit handen te nemen. Mede onder druk van wet- en regelgeving is het garanderen en het kunnen aantonen van databeschikbaarheid cruciaal voor organisaties.