ISAE 3000

ISAE 3000 is de internationale standaard voor security en overige niet-financiële informatie. Een ISAE 3000 rapport is feitelijk een SOC2 rapport. In de Verenigde Staten zijn de standaarden voor SOC 2 rapportages de Trust Services Principles en SSAE16. ISAE 3402 wordt voornamelijk gebruikt als sprake is van outsourcing waarbij ook financiële informatie wordt verwerkt door de service organisatie. Indien dit niet het geval is, dan is feitelijk ISAE 3000 van toepassing, bijvoorbeeld wanneer uitsluitend de General IT Controls in de reikwijdte van de SOC rapportage zijn opgenomen.

In een ISAE 3000 is het risicobeheersingsysteem opgenomen wat betrekking heeft op beschikbaarheid van systemen, systeemintegriteit, vertrouwelijkheid en privacy. Het rapport zal voornamelijk betrekking hebben op de General IT Controls. De General IT Controls zijn de algemene maatregelen die van belang zijn om de betrouwbaarheid van de geautomatiseerde gegevensverwerking te kunnen waarborgen. De maatregelen hebben o.a. betrekking op de continuïteit, beveiliging, capaciteitsplanning, beschikbaarheid en privacy. Voor de inrichting van de General IT Controls wordt veelal gebruik gemaakt van de indeling van het CobiT framework. Binnen CobiT (5) wordt naast security in het algemeen, IT operations, business continuity, incidentmanagement, change management en probleemmanagement onderscheiden. Indien de primaire scope de General IT controls zijn, maar bijvoorbeeld in het datacenter financiële informatie wordt verwerkt, dan is ISAE 3402 van toepassing.