Etableringen af et ledelsesystem efter ISO 27001 er centralt for at kunne håndtere disse krav effektivit i en organisation og at kunne vise efterlevelse af disse krav er centralt vedr. f.eks. også at kunne fremvise et gyldigt ISO 27001 certifikat.

I nogle brancher, markeder og kundeforhold er alene et ISO 27001 certifikat ikke altid tilstrækkeligt selv om certifikatet i al væsentlighed omfatter de relevante områder som skal dokumenteres som overholdt eller i kontrol.

Med en ISAE 3000- eller ISAE 3402-erklæring får I en uafhængig vurdering, der skaber yderligere gennemsigtighed og tillid over for kunder, samarbejdspartnere og myndigheder.

Hvad er en ISAE-erklæring?

ISAE (International Standard on Assurance Engagements) er internationale standarder, der anvendes til at vurdere og dokumentere, hvordan en organisation håndterer interne kontroller – særligt i forhold til cyber- og informationssikkerhed, GDPR, NIS2 og lignende:

• ISAE 3000 anvendes typisk til erklæringer om databeskyttelse (GDPR), informationssikkerhed og compliance med fx NIS2-direktivet.
• ISAE 3402 fokuserer på driftskritiske processer, især i forbindelse med outsourcing af IT-relaterede services, og dokumenterer, at kontroller fungerer effektivt

Hvorfor vælge en ISAE-erklæring?

En ISAE-erklæring er relevant, hvis jeres kunder eller samarbejdspartnere stiller krav om dokumentation for, at I har styr på:

• Beskyttelse af persondata
• Effektive og dokumenterede driftsprocedurer
• Kontinuerlig overvågning og forbedring af sikkerhedstiltag
• Overholdelse af lovgivning og kontraktuelle forpligtelser

Erklæringen udarbejdes af en uafhængig tredjepart og kan være enten Type I (vurdering på et givent tidspunkt) eller Type II (vurdering over en periode, typisk 6-12 måneder).

Fordele for jeres organisation

• Styrket tillid fra kunder og samarbejdspartnere
• Reduceret behov for individuelle tilsyn og spørgeskemaer
• Dokumenteret compliance med GDPR, NIS2 og andre krav
• Forbedret risikostyring og intern kontrol

Fordele ved at vælge DNV

DNV tilbyder udarbejdelse ISAE-erklæringer som stand-alone service eller som en service, der lægger sig i forlængelse af vores ISO 27001-audits.

Ved at vælge DNV til at udarbejde jeres ISAE-erklæring sikres en effektiv leverance og kontrol med jeres processer og kontroller, hvor DNV udelukkende kigger på jeres systemer, processer og kontroller én gang for optimal udnyttelse af jeres interne ressourcer og samlet besparelse ved jeres audit-aktiveter. 

Q&A

Hvad er forskellen mellem ISO 27001-certifikat og en ISAE-erklæring?

Et ISO 27001 certifikat dokumenterer, at virksomhedens inden for det givne scope overholder kravene i den internationale ISO 27001 standard, der kræver, at virksomheden har etableret, implementeret og vedligeholder et informationssikkerhedsledelsessystem (ISMS). ISMS’et inderholder politikker, risikovurderinger, kontroller og løbende forbedring af informationssikkerheden og der er fokus på processer, risikostyring og systematisk styring af sikkerhed og egenkontrol.

En ISAE-erklæring er en mere målrettet assessment af konkrete krav eller kontroller i en virksomhed og er ofte en delmængde af det, som også er omfattet af et ISO 27001-certifikat og er samtidig udtryk for en større eller dybere kontrol med det af erklræringen omfattede område.

Selv om der er stort overlap mellem de to typer af assurance-services vil der ofte være behov for begge dele afhængig af virksomhedens marked, indutri eller kundekrav.

Hvad koster en ISAE-erklæring?

En ISAE-erklæring er ofte billigere end et fuldt ISO 27001-certificering og prisen er selvfølgelig afhængig af virksomhedens størrelse, kompleksitet, modenhed og ikke mindst scopet for erklæringen. Samtidig er ISAE-erklæringen en engangsydelse og skal fornyes hvert år for fortsat gyldighed, hvorfor den samlede omkostning til erklæringerne ofte over tid vil være større end at blive certificeret.
Kan man kombinere ISAE-erklæringer og ISO 27001?

Ja, DNV tilbyder at kombinere ISAE-erklæringer og ISO 27001 som en af de eneste leverandører på markedet, hvilket sikrer jer en omkostningseffektiv levering af begge dele og med de samme ressourcer og kompetencer, så I også sparer intern tid på audit af eksterne parter.

Hvordan kommer vi i gang med en ISAE-erklæring?

Kontakt DNV ved at udfylde kontaktformularen på denne side eller tag en snak med din auditor om, hvordan I kommer i gang.