FAQ om ISAE 3000 och ISAE 3402

TimeLog har fått godkännande enligt ISAE 3000- och ISAE 3402-rapporterna. Läs mer om vad de båda rapporterna omfattar i denna FAQ och hur vi skyddar dina data. Om du har fler frågor är du välkommen att kontakta vår support.

1. Vad betyder ISAE?

ISAE står för International Standard on Assurance Engagements. ISAE-rapporter utfärdas av oberoende revisorer som granskar relevanta och överenskomna processer och procedurer hos tjänsteleverantören.

2. Vad är en ISAE-rapport?

Rapporten dokumenterar hur tjänsteleverantörens system och organisatoriska kontroll fungerar samt hur effektiva de är.

3. Är ISAE 3000 eller ISAE 3402 obligatoriska?

Nej, rapporterna är inte obligatoriska. En ISAE-rapport är utformad för att ge kunderna den säkerhet de söker hos en ny tjänsteleverantör. Rapporten är resultatet av granskningen.

4. Fördelar med en leverantör som har en ISAE-rapport

En tjänsteleverantör som får en ISAE-rapport kan bevisa trovärdigheten i de erbjudna tjänsterna. Rapporten är en kvalitetsstämpel som bevisar och indikerar att en oberoende revisor har granskat att behandlade data behandlas konfidentiellt, med hög säkerhetsnivå och att potentiella risker är dokumenterade och kontrollerade som ett resultat av detta.

Hos TimeLog tror vi på att vi som tjänsteleverantör måste kunna försäkra våra kunder om att de inte tar några extra risker genom att ge oss ansvaret för delar av deras verksamhet och data. Därför har vi förpliktat oss att arbeta med en certifierad revisor för att förvärva både ISAE 3000 GDPR-rapporten och en ISAE 3402-rapport som ett fortlöpande, årligt mål i vårt compliance- och informationssäkerhetsarbete.

Vi är stolta över att kunna dela rapporterna med våra kunder och relevanta intressenter.

5. Hämta TimeLogs ISAE-rapporter

• Assurance report ISAE 3000
• Assurance report ISAE 3402 type II

6. Vad är en ISAE 3000-rapport om GDPR och databehandling?

Ramen för en ISAE 3000-rapport kan utgöras av alla typer av kontroll som överenskommits mellan tjänsteleverantören och en oberoende revisor. Hos TimeLog har vi frivilligt valt att anlita en extern revisor för att granska vår insats som avser vårt arbete med kundernas data. 

Vi vill skapa transparens och visa att vi uppfyller reglerna i dataskyddsförordningen. Det är avgörande för oss som databehandlare. Med vår ISAE 3000 GDPR-rapport dokumenterar vi den operationella effektiviteten i våra interna processer och kontroller eftersom en oberoende revisor har bekräftat att vi uppfyller GDPR, både inom organisationen och i våra externa relationer. Som dataansvarig försäkrar vi dig om att en revisor har granskat våra processer som rör behandling av dina data samt att de är i överensstämmelse med gällande lagar och bestämmelser. 

7. Vad är ISAE 3402?

ISAE 3402 är en internationellt erkänd revisionsstandard som bekräftar säkerheten och effektiviteten i tjänsteorganisationens kontrollsystem rörande alla affärsprocesser i en organisations IT-landskap.

Kontrollområdena i en ISAE 3402-revision kan omfatta, men begränsas inte till, följande områden:

• Organisation och ledning
• IT-säkerhetspolicy
• IT-strategi
• Riskhantering
• Användaråtkomst
• Nätverkssäkerhet
• Utveckling och underhåll av system
• Nöd- och beredskapsplaner

Hos TimeLog vill vi säkerställa att vår IT-infrastruktur har högsta nivå av säkerhet, konfidentialitet och tillgänglighet. Därför har vi frivilligt valt att anlita en extern revisor för att granska våra policyer, procedurer och dokumentation.

Resultatet visar kvalitet och driftsäkerhet gentemot våra kunder och samtidigt visar det att vi fortlöpande utvärderar vårt arbete för att förbättra och säkerställa högsta möjliga kvalitet för våra kunder.

8. Vad är skillnaden på en ISAE 3402 typ I och typ II?

I ISAE 3402 kan det interna kontrollramverket utfärdas i en typ I- eller typ II-rapport.

• Typ I omfattar ett specifikt tidsrum där revisorn bedömer om tjänsteorganisationens beskrivning av sina kontroller är rättvis och korrekt utformad för att uppfylla syftena med kontrollen.
• Typ II omfattar en beskrivning av utförda kontroller och innefattar ett detaljerat test av effektiviteten i motsvarande resultat. Testerna utförs under en period på sex till 12 månader.

9. ISO 2700X-certifiering kontra ISAE

ISO 2700X-certifieringar har historiskt sett betraktats som en benchmark för informationssäkerhet. Men eftersom hotlandskapet är i ständig förändring blir det allt viktigare för företagen att ha högre nivå av säkerhet på tvärs över områden.

• ISO 27001 fokuserar bara på kontrollernas utformning.
• ISO 27001 ger riktlinjer för implementeringsprocessen.
• ISAE-rapporter är baserade på ISO-kontrollerna och de ger även möjlighet för att testa den operationella effektiviteten i kontrollerna under en period.
• En ISAE-rapport ger en formell bekräftelse och utgör därför en större säkerhet för kunderna som vill veta om deras tjänsteleverantörs interna processer omfattar större områden.

10. Hur kan du som TimeLog-kund dra nytta av vår ISAE-rapport?

En av de saker som vi på TimeLog värdesätter mest är våra kunders, affärspartners och medarbetares data. Därför har vi valt att våra kunder ska få en oberoende revisors rapport över hur vi hanterar personuppgifter och vår uppfyllelse av GDPR (ISAE 3000-rapport).

Våra kunder ska veta att vårt IT-landskap är tillräckligt moget för att kunna stödja de krav som en tjänsteleverantör möter, och dem kan vi dokumentera i ISAE 3402.
Vi tar ansvar för att alltid skydda dina data. Det är dokumenterat i våra ISAE 3000- och ISAE 3402-rapporter. Vi tror på att våra kunder ska ha transparens när det gäller kvalitet och driftsäkerhet. Våra kunder kan dela ISAE-rapporten med sina egna revisorer, vilket eliminerar eller reducerar kravet på de egna revisorerna att göra extratester av våra kontroller.