FAQ om ISAE 3000 og ISAE 3402
TimeLog har opnået ISAE 3000 og ISAE 3402 rapporterne. Lær hvad de to rapporter dækker over i denne FAQ, samt hvordan vi beskytter dine data.
Vil du vide, hvilke spørgsmål du skal stille leverandører for at være sikker på, de overholder GDPR og har dokumenterede standarder for IT-sikkerhed og IT-infrastruktur? Læs 10 spørgsmål om GDPR og IT-sikkerhed din leverandør skal kunne svare på (og del den gerne med kommende leverandører).
Vil du have det helt kort? Se vores plakat med 4 grunde til at vælge en leverandør med en ISAE 3000 GDPR erklæring.
Hvis du har yderligere spørgsmål, skal du endelig kontakte vores Support.
Spørgsmål og svar
1. Hvad betyder ISAE?
ISAE står for International Standard on Assurance Engagements. ISAE rapporter udstedes af uafhængige revisorer, som reviderer relevante og aftalte processer og procedurer hos serviceleverandøren.
2. Hvad er en ISAE rapport?
Rapporten dokumenterer, hvordan serviceleverandørens systemer og organisatoriske kontrol fungerer, samt hvor effektive de er.
3. Er ISAE 3000 eller ISAE 3402 obligatorisk?
Nej, rapporterne er ikke obligatoriske. En ISAE rapport er designet til at give kunderne den sikkerhed, som de søger i en ny serviceleverandør. Rapporten er resultatet af revisionen.
4. Fordele ved en leverandør, der har en ISAE rapport
En serviceleverandør, der opnår en ISAE rapport, kan bevise troværdigheden af de udbudte services.
Rapporten er et kvalitetsstempel, der beviser og indikerer, at en uafhængig revisor har revideret, at de behandlede data bliver behandlet fortroligt, med højt sikkerhedsniveau og at potentielle risici er dokumenterede og kontrollerede som følge deraf.
Hos TimeLog tror vi på, at vi som serviceleverandør, er nødt til at forsikre vores kunder om, at de ikke tager ekstra risici ved at give os ansvaret for dele af deres forretning og data. Derfor har vi forpligtet os til at arbejde med en certificeret revisor på at opnå både ISAE 3000 GDPR rapporten og en ISAE 3402 rapport som et løbende, årligt mål i vores compliance og informationssikkerhedsarbejde.
Vi er stolte over at kunne dele rapporterne med vores kunder og relevante interessenter.
5. Download TimeLog's ISAE rapporter
6. Hvad er en ISAE 3000 rapport om GDPR og databehandling?
Rammen for en ISAE 3000-rapport kan være enhver type af kontrol, der er indgået aftale om mellem serviceleverandøren og en uafhængig revisor.
Hos TimeLog har vi frivilligt valgt at have en ekstern revisor til at revidere vores indsats, der berører vores arbejde med kundernes data.
Vi ønsker at skabe transparens og vise, at vi overholder reglerne i persondataforordningen. Det er afgørende for os som databehandlere.
Med vores ISAE 3000 GDPR rapport dokumenterer vi den operationelle effektivitet af vores interne processer og kontroller, da en uafhængig revisor har bekræftet vores at vi overholder GDPR, både indenfor organisation og i vores eksterne relationer.
Som dataansvarlig har du forsikring om, at en revisor har gennemset vores processer relateret til behandling af dine data, samt at de er i overensstemmelse med gældende lovgivning.
7. Hvad er ISAE 3402?
ISAE 3402 er en international anerkendt revisionsstandard, der bekræfter sikkerheden og effektiviteten af serviceorganisationens kontrolsystemer relateret til alle forretningsprocesser i organisations IT-landskab.
Kontrolområderne i en ISAE 3402-revision kan dække over, men er ikke begrænset til, de følgende områder:
- Organisation og ledelse
- IT-sikkerhedspolitik
- IT-strategi
- Risikostyring
- Brugeradgang
- Netværkssikkerhed
- Udvikling og vedligeholdelse af systemer
- Nød- og beredskabsplaner
Hos TimeLog vil vi sikre at vores IT-infrastruktur har det højeste niveau af sikkerhed, fortrolighed og tilgængelighed. Derfor har vi frivilligt valgt at have en ekstern revisor til at revidere vores politikker, procedurer og dokumentation.
Resultatet viser kvalitet og driftssikkerhed overfor vores kunder, og samtidigt viser det, at vi løbende evaluerer vores arbejde for at forbedre og sikre den højest mulige kvalitet for vores kunder.
8. Hvad er forskellen mellem en ISAE 3402 Type I og Type II?
I ISAE 3402 kan det interne kontrolrammeværk udstedes i en Type I eller Type II-rapport.
- Type I dækker over et specifikt tidsrum, hvor revisoren vil vurdere om serviceorganisationen beskrivelse af sine kontroller er fair og tilpas designet til at opnå kontrolformålene.
- Type II dækker beskrivelsen af iværksatte kontroller iværksat og inkluderer en detaljeret test af effektiviteten af de tilsvarende resultater. Tests dækker over en periode på seks til 12 måneder.
9. ISO 2700X-certificering vs ISAE
- ISO 2700X-certificeringer var historisk set som benchmark for informationssikkerhed. Men fordi trusselslandskabet er i konstant forandring, bliver det mere vigtigt for virksomheder at have et højere niveau af sikkerhed på tværs af områder.
- ISO 27001 fokuserer kun på designet af kontrollerne.
- ISO 27001 giver retningslinjer for implementeringsprocessen.
- ISAE rapporter er baserede på ISO-kontrollerne, og de giver også mulighed for at teste den operationelle effektivitet af kontrollerne i en periode.
- En ISAE rapport giver formel bekræftelse og er derfor en større sikkerhed for kunderne, som vil vide om deres serviceleverandørs interne processer dækker større områder.
10. Hvordan kan du som TimeLog-kunde drage fordel af vores ISAE rapport?
En af de mest værdifulde ting i TimeLog er vores kunders, forretningspartneres og medarbejderes data. Derfor har vi valgt, at vores kunder vil modtage en uafhængig revisors rapport på, hvordan vi håndterer personlige data samt overholder GDPR (ISAE 3000 rapport).
Vores kunder skal vide, at vores IT-landskab er modent nok til at understøtte de krav, som en serviceleverandør møder, og dem kan vi dokumentere i ISAE 3402.
- Vi tager ansvar for altid at beskytte dine data. Det er dokumenteret i vores ISAE 3000 og ISAE 3402 rapporter.
- Vi tror på, at vores kunder skal have transparens, når det kommer til kvalitet og driftssikkerhed.
- Vores kunder kan dele ISAE rapporten med deres egne revisorer, som vil fjerne eller reducere kravet for deres revisorer til at lave ekstra test af vores kontroller.
Sidst opdateret
Denne side er sidst opdateret d. 18.07.2023