Vad är ISAE 3000 och ISAE 3402?

ISAE står för International Standard on Assurance Engagements. ISAE-rapporter utfärdas av oberoende revisorer som granskar relevanta och överenskomna processer och procedurer hos tjänsteleverantören.

Rapporten dokumenterar hur tjänsteleverantörens system och organisatoriska kontroll fungerar samt hur effektiva de är.

Nej, rapporterna är inte obligatoriska. En ISAE-rapport är utformad för att ge kunderna den säkerhet de söker hos en ny tjänsteleverantör. Rapporten är resultatet av granskningen.

En tjänsteleverantör som får en ISAE-rapport kan bevisa trovärdigheten i de erbjudna tjänsterna. Rapporten är en kvalitetsstämpel som bevisar och indikerar att en oberoende revisor har granskat att behandlade data behandlas konfidentiellt, med hög säkerhetsnivå och att potentiella risker är dokumenterade och kontrollerade som ett resultat av detta.

Hos TimeLog tror vi på att vi som tjänsteleverantör måste kunna försäkra våra kunder om att de inte tar några extra risker genom att ge oss ansvaret för delar av deras verksamhet och data. Därför har vi förpliktat oss att arbeta med en certifierad revisor för att förvärva både ISAE 3000 GDPR-rapporten och en ISAE 3402-rapport som ett fortlöpande, årligt mål i vårt compliance- och informationssäkerhetsarbete.

Vi är stolta över att kunna dela rapporterna med våra kunder och relevanta intressenter.

• Assurance report ISAE 3000
  
  
• Assurance report ISAE 3402 type II

Ramen för en ISAE 3000-rapport kan utgöras av alla typer av kontroll som överenskommits mellan tjänsteleverantören och en oberoende revisor. Hos TimeLog har vi frivilligt valt att anlita en extern revisor för att granska vår insats som avser vårt arbete med kundernas data. 

Vi vill skapa transparens och visa att vi uppfyller reglerna i dataskyddsförordningen. Det är avgörande för oss som databehandlare. Med vår ISAE 3000 GDPR-rapport dokumenterar vi den operationella effektiviteten i våra interna processer och kontroller eftersom en oberoende revisor har bekräftat att vi uppfyller GDPR, både inom organisationen och i våra externa relationer. Som dataansvarig försäkrar vi dig om att en revisor har granskat våra processer som rör behandling av dina data samt att de är i överensstämmelse med gällande lagar och bestämmelser. 

ISAE 3402 är en internationellt erkänd revisionsstandard som bekräftar säkerheten och effektiviteten i tjänsteorganisationens kontrollsystem rörande alla affärsprocesser i en organisations IT-landskap.

Kontrollområdena i en ISAE 3402-revision kan omfatta, men begränsas inte till, följande områden:

• Organisation och ledning
• IT-säkerhetspolicy
• IT-strategi
• Riskhantering
• Användaråtkomst
• Nätverkssäkerhet
• Utveckling och underhåll av system
• Nöd- och beredskapsplaner

Hos TimeLog vill vi säkerställa att vår IT-infrastruktur har högsta nivå av säkerhet, konfidentialitet och tillgänglighet. Därför har vi frivilligt valt att anlita en extern revisor för att granska våra policyer, procedurer och dokumentation.

Resultatet visar kvalitet och driftsäkerhet gentemot våra kunder och samtidigt visar det att vi fortlöpande utvärderar vårt arbete för att förbättra och säkerställa högsta möjliga kvalitet för våra kunder.

TimeLog har framgångsrikt erhållit en klassificering enligt ISAE 3402 typ II.

I ISAE 3402 kan det interna kontrollramverket utfärdas i en typ I- eller typ II-rapport.

• Typ I omfattar ett specifikt tidsrum där revisorn bedömer om tjänsteorganisationens beskrivning av sina kontroller är rättvis och korrekt utformad för att uppfylla syftena med kontrollen.
• Typ II omfattar en beskrivning av utförda kontroller och innefattar ett detaljerat test av effektiviteten i motsvarande resultat. Testerna utförs under en period på sex till 12 månader.

TimeLog har med succes opnået en ISAE 3402 type II-klassifikation.

ISO 2700X-certifieringar har historiskt sett betraktats som en benchmark för informationssäkerhet. Men eftersom hotlandskapet är i ständig förändring blir det allt viktigare för företagen att ha högre nivå av säkerhet på tvärs över områden.

• ISO 27001 fokuserar bara på kontrollernas utformning.
• ISO 27001 ger riktlinjer för implementeringsprocessen.
• ISAE-rapporter är baserade på ISO-kontrollerna och de ger även möjlighet för att testa den operationella effektiviteten i kontrollerna under en period.
• En ISAE-rapport ger en formell bekräftelse och utgör därför en större säkerhet för kunderna som vill veta om deras tjänsteleverantörs interna processer omfattar större områden.

En av de saker som vi på TimeLog värdesätter mest är våra kunders, affärspartners och medarbetares data. Därför har vi valt att våra kunder ska få en oberoende revisors rapport över hur vi hanterar personuppgifter och vår uppfyllelse av GDPR (ISAE 3000-rapport).

Våra kunder ska veta att vårt IT-landskap är tillräckligt moget för att kunna stödja de krav som en tjänsteleverantör möter, och dem kan vi dokumentera i ISAE 3402.
Vi tar ansvar för att alltid skydda dina data. Det är dokumenterat i våra ISAE 3000- och ISAE 3402-rapporter. Vi tror på att våra kunder ska ha transparens när det gäller kvalitet och driftsäkerhet. Våra kunder kan dela ISAE-rapporten med sina egna revisorer, vilket eliminerar eller reducerar kravet på de egna revisorerna att göra extratester av våra kontroller.

En av de mest värdefulla tillgångarna för TimeLog är våra kunders, affärspartners och medarbetares uppgifter. Därför har vi valt att våra kunder ska få en oberoende revisorsrapport om hur vi hanterar personuppgifter och att vi följer GDPR (ISAE 3000-rapport).

Slutligen bör våra kunder veta om vårt IT-landskap är tillräckligt moget för att stödja de höga krav som en tjänsteleverantör ställs inför, vilket vi kan dokumentera i ISAE 3402.

Vi tar ansvar för att alltid skydda dina uppgifter. Detta dokumenteras i våra ISAE 3000- och ISAE 3402-rapporter.
Vi anser att våra kunder behöver transparens när det gäller kvalitet och tillförlitlighet.
Våra kunder kommer att kunna dela ISAE-rapporten med sina egna revisorer, vilket kommer att eliminera eller minska kravet på att våra kunders revisorer ska göra ytterligare tester av våra kontroller.