close
Share with your friends

Tietoturvan varmentaminen

ISAE-varmennuslausunto ja SOC-varmennusraportit tuovat organisaatiolle merkittävän kilpailuedun

Ulkoistaisitko liiketoimintakriittisiä toimintoja palveluntarjoajalle, jonka prosessit tai tietoturvakäytännöt eivät ole kunnossa? Vaade palveluntarjoajan prosessien ja tietoturvakäytäntöjen läpinäkyvyyden lisäämisestä korostuu erityisesti liiketoimintakriittisiä toimintoja ulkoistettaessa. ISAE-lausunto, ISO 27001 -sertifioinnin ohella, antaa organisaatiolle tarjouspyyntövaiheessa merkittävän kilpailuedun. 

Organisaation sisäisen valvonnan tai tietoturvan taso pystytään todentamaan ISAE-varmennuslausunnoilla ja SOC2-varmennusraporteilla. ISAE-varmennuslausunnon edellytyksenä on, että sen myöntää valtuutettu tilintarkastusyhteisö.  

ISAE 3000 -varmennuksen myötä palveluntarjoaja:

  • osoittaa asiakkailleen, että yrityksen käytössä on tarpeisiin sopivat, toimivat ja määritellyt toimintaprosessit, jotka vastaavat sekä palveluntarjoajan tavoitteisiin että asiakkaiden vaatimuksiin
  • erottautuu kilpailijoista
  • vähentää asiakkaiden tiedustelujen määrää ja auditointeihin kuluvaa aikaa
  • saa käyttöönsä KPMG:n allekirjoittaman raportin, jota voidaan hyödyntää myös kansainvälisessä liiketoiminnassa
  • tehostaa tietoturvallisuuden tasoa ja sisäistä valvontaa.

ISAE 3000 -varmennuslausunto varmentaa prosessit, järjestelmät tai palvelut

ISAE 3000 -varmennuslausunnon viitekehyksenä voidaan käyttää mitä tahansa yleisesti tunnettua tietoturvan viitekehystä tai kriteeristöä, ISAE 3000 -standardin määritellessä toimintatavat varmennuksen suorittamiseen ja raportointiin. Varmennustoimeksianto voi kohdistua mihin tahansa prosessiin, järjestelmään tai palveluun. Suomessa olemme tuottaneet ISAE 3000 -lausuntoja muun muassa ISO 27001 ja ISO 22301 sekä PCI DSS -standardien pohjalta. 

SOC2-varmennusraportti on matkalippu Yhdysvaltain markkinoille

Viime aikoina yleiseksi varmennuslausunnon viitekehykseksi on noussut AICPA:n (American Institute of CPA’s) Trust Services Criteria (TSC) -kriteeristö, nk. SOC2. SOC2-tarkastuksen keskiössä ovat järjestelmän turvallisuuteen, saatavuuteen, tiedon eheyteen, luottamuksellisuuteen tai yksityisyyteen liittyvät kontrollit. SOC2-varmennusraporttia toimii usein edellytyksenä Yhdysvaltain markkinoilla kilpailemiseksi ja se on kasvattanut suosiotaan myös Suomessa.

Organisaation sisäisen valvonnan tai tietoturvan taso pystytään todentamaan ISAE-varmennuslausunnoilla ja SOC2-varmennusraporteilla.

Mikä on ISAE 3000?

ISAE 3000 on kansainväliseen varmennusstandardi (International Standard on Assurance Engagements), joka antaa palveluita ulkoistaneelle organisaatiolle määrämuotoisen ja yksityiskohtaisen kuvan palveluntarjoajan prosessien kontrolliympäristön ja tietoturvan tilasta

Tarkastuksen lopputuloksena palveluorganisaatiolle tuotetaan tietoturvan tai – suojan varmennusraportti. Raportti sisältää riippumattoman kolmannen osapuolen näkemyksen palveluorganisaation kontrolliympäristön kattavuudesta, kontrollien tarkoituksenmukaisuudesta ja niiden toiminnan tehokkuudesta.

Tarjoamme tehokkaan ja toimivan tavan ISAE 3402 ja 3000 -raporttien tuottamiseen

Vuosien kokemuksemme varmennuspalveluista, menetelmiemme mukautuminen asiakkaan tarpeisiin, palveluyhteisön liiketoiminnan sekä siihen liittyvien prosessien ymmärtäminen takaavat tehokkaan ja toimivan tavan ISAE 3402 ja 3000 -raporttien tuottamiseen.  Raportit mukautuvat hyvin käytettäväksi niin suurten kuin pientenkin palveluyhteisöorganisaatioiden tarpeisiin.