ISAE 3402
En ISAE 3402 er en uafhængig gennemgang af en virksomheds IT-sikkerhed. Resultatet er en officiel erklæring om, at virksomheden ikke bare siger, at den tager sikkerhed seriøst - men, at den rent faktisk gør det.
Vi er certificerede
Det handler om mere end at bestå en revision. Her kan du læse, hvad ISAE 3402 egentlig indebærer, hvornår det er relevant, og hvorfor vi som digitalt bureau gør en stor indsats for at opnå og fastholde certificeringen - år efter år.
Hvad er ISAE 3402?
ISAE 3402 er en global standard for revision af en organisations IT-forhold. Standarden dokumenterer, at organisationen praktiserer det, den prædiker - i overensstemmelse med sin IT-sikkerhedspolitik.
En ekstern revisor gennemfører evalueringen og udsteder en erklæring. Den årlige revision giver organisationen en officiel bekræftelse på, at den opfylder alle lovkrav for IT-sikkerhed og følger bedste praksis.
Hvornår er en ISAE 3402-erklæring nødvendig?
Der er flere grunde til at søge certificeringen. Nogle virksomheder gør det på opfordring fra kunder eller partnere. Andre bruger det som dokumentation for troværdighed over for nye og eksisterende samarbejdspartnere. Og i visse brancher er det simpelthen et lovkrav.
Uanset motivationen er det vigtigt, at IT-leverandører løbende fornyer deres certificering. Det er jeres garanti for, at leverandørens IT-sikkerhed ikke bare er veldesignet - men også fungerer i praksis.
Fordelene ved ISAE 3402
Den primære fordel er dokumentation. Rapporten er et officielt bevis på, at organisationen overholder relevante lovkrav for IT-sikkerhed og følger bedste praksis.
Rapporten giver desuden kunder og partnere indsigt i, hvordan organisationen håndterer IT-funktioner som drift, udvikling, beredskab og dokumentation. Den synliggør også sikkerhedsrammen og sikrer, at data behandles i overensstemmelse med gældende lovgivning - to faktorer, der i høj grad styrker tilliden.
Vi ser et højt sikkerhedsniveau som mere end et lovkrav. Det er et kvalitetsstempel og en forpligtelse over for de partnere, myndigheder, fagfolk og kunder, vi arbejder med.
Kontrolområder
Når en revisor udarbejder en ISAE 3402-erklæring, gennemgås alle organisationens IT-relaterede arbejdsprocesser grundigt - drift, udvikling, beredskab, dokumentation og meget mere. Det inkluderer funktioner som backup-sikkerhed samt sikring og opbevaring af data.
Adapts IT-sikkerhedspolitik
Arbejdet mod ISAE 3402-certificeringen begyndte hos Adapt i 2018 med en ny IT-sikkerhedspolitik. Den er siden blevet revideret og opdateret hvert år for at følge med lovkrav og ‘best practice’. Politikken er bygget med udgangspunkt i strukturen fra ISO 27001 og dækker alt fra risikostyring og adgangskontrol til kryptografi, beredskabsplaner og databrud.
Den årlige revision er vores måde at holde os selv ansvarlige på. Lever vi rent faktisk op til det, vi siger? Det er præcis det spørgsmål, revisionen besvarer.
Vi ser det som vores ansvar løbende at uddanne vores medarbejdere i sikkerhed - for feltet udvikler sig hurtigt. Vores princip er enkelt: hver medarbejder skal have adgang til så lidt som muligt, men så meget som nødvendigt. Det erstatter den gamle tankegang om fuld adgang til alle , som ikke holder i en tid, hvor vi håndterer stadig mere følsomme data.
Vores seneste ISAE 3402 Type 2-certificering blev opnået i 2023, og forberedelserne til 2024 er allerede i gang.
Lad os tage en snak
Nysgerrig på, hvad vores ISAE 3402-certificering konkret betyder for dig? Vi fortæller gerne mere.
Tommy Davis
COO & Technical Director