Du skal ikke vælge en leverandør, du ikke kan kontrollere

03-13-2017

Hvis du går med overvejelser om at outsource din it-drift, så skal du vælge en leverandør, der er blevet kigget efter i sømmene af en ekstern og uvildig it-revisor. Det er din garanti for, at leverandøren lever op til de skarpe krav, der stilles til en moderne og sikker it-leverandør.

En revisionserklæring fortæller dig, at leverandørens kontrolsystemer får en årlig gennemgang. Det er en blåstempling og et udtryk for kvalitet, tryghed og sikkerhed – leverandøren har altså styr på drift, egenkontrol, sikkerhed, beredskab, kompetencer, processer og økonomi. Det er også din mulighed for at kontrollere, at din leverandør faktisk lever op til det, I har aftalt.

Derfor bliver ISAE 3000-PDL så vigtig
Det er ikke kun de eksisterende krav til din leverandør, du kan få kontrolleret i en revisionserklæring. Når love og regler flytter sig, skal du have mulighed for at kontrollere, at din leverandør flytter med. Det bliver blandt andet aktuelt med den kommende EU-persondataforordning, der træder i kraft i maj 2018. Da bliver det helt afgørende, at din it-outsourcing leverandør har en ISAE 3000-PDL erklæring.

Den omhandler kontroller i forbindelse med håndteringen af personfølsomme data. Den dokumenterer, at leverandøren lever op til de aktuelle krav i persondataloven. Den nuværende ISAE 3000-PDL udskiftes snart med en erklæring, der omfatter et nyt sæt kontroller, der tager udgangspunkt i den kommende EU-persondataforordning.

Hvad går ISAE 3402 så ud på?
ISAE 3402 dækker en lang række kontrolområder, og man kan sige, at det er den klassiske og generelle it-revisionserklæring. Den tager udgangspunkt i informationssikkerhedsstandarden ISO 27001/2 og forholder sig til it-forretningsgange.

En ISAE 3402-erklæring giver et billede af den generelle tilstand af it-organisationen. Erklæringen forholder sig til de it-relaterede forretningsgange, dvs. udvikling, drift, beredskab, dokumentation mv. Den forholder sig også til det helt lavpraktiske som de fysiske forhold – som fx hvordan serverne er placeret.

Den audit, der danner grundlag for erklæringen, foretages af en ekstern og uafhængig revisor med it-revision som speciale. It-revisoren gennemgår dokumentation og foretager stikprøvevis kontrol af de forskellige områder.

En ISAE 3401-I viser et øjebliksbillede, og en 3402-II dækker en periode, som oftest 1 år. Med en 3402 i hånden har du dokumentation for, at it-sikkerhed og kvalitet generelt er i orden hos den virksomhed, der har erklæringen. Erklæringen dokumenterer, at it-outsourcing leverandøren efterlever lovkrav og arbejder efter god it-skik.

Inden for bestemte brancher eller services er det et lovkrav, at man kun kan vælge en leverandør, der har en ISAE 3402 revisionserklæring. Det gælder fx den finansielle sektor og offentlige instanser.

For lige netop din løsning
Udover de generelle erklæringer er der mulighed for individuelle revisionserklæringer, der tester kontroller af dit specifikke it-miljø hos leverandøren. Med en kundespecifik revisionserklæring opnår du dokumenta­tion for, at leverandøren lever op til den indgåede aftale, og at de specifikke kontroller er foretaget i lige præcis den del af it-miljøet, hvor din løsning ligger.

Få mere at vide om revisionserklæringer fra Itadel, herunder kundespecifikke revisionserklæringer: Revisionserklæringer

Allerede fra januar 2018 kan Itadel dokumentere efterlevelse af de skærpede krav i den nye EU-persondataforordning.