services

Se her oversigten af vores services.
Hvis ikke du finder det der passer præcis på jeres situation, så tøv ikke med
 at række ud alligevel, vi er vant til at
tænke ud af boksen.

ISAE 3402

Er din virksomhed blevet underlagt krav om en ISAE 3402-erklæring? Eller vil I have en ISAE 3402-erklæring for at styrke jeres branding overfor eksisterende og nye kunder? Så er vi din samarbejdspartner i processen. Uanset om det er erklæringstype I eller II, samt hvilket sikkerhedsniveau der er tale om, kan vi hjælpe din virksomhed før, under og efter erklæringsprocessen.

Mange virksomheder efterspørger i denne proces et klart billede af hvad de mangler for, at kunne få en ISAE 3402-erklæring uden væsentlige anmærkninger fra deres revisor. Der er flere måder at gribe processen an på og ikke to virksomheder er ens.
 

De typiske arbejdsmetoder i processen før en revisionserklæring af denne type er, at finde virksomhedens modenhedsniveau, hvilke udeståender der er ift. revisorens kontrolmål samt hvordan jeres virksomhed får opbygget den interne sikkerhedsorganisation og dokumentation her for.

ISAE 3000 (GDPR)

En ISAE 3000-erklæring kan være om flere forskellige områder, men typisk er det General Data Protection Regulation (GDPR) og databeskyttelsesforordningen der er tale om. Kontrolmålene er formaliseret i et samarbejde mellem Foreningen for Statsautoriserede Revisorer (FSR) og Datatilsynet. Alt sammen på baggrund af databeskyttelsesforordningen fra 2018. Ligesom 3402-erklæringen kan den udarbejdes med høj eller begrænset sikkerhed og som type I og II.

De typiske arbejdsmetoder i processen før en revisionserklæring af denne type er, at finde virksomhedens modenhedsniveau. Derudover klarlægges udeståender ift. revisorens kontrolmål samt hvordan jeres virksomhed får opbygget jeres interne sikkerhedsorganisation ift. persondatasikkerhed.

IT-sikkerhed og ISO27001

Information Security Management System (ISMS) er grundlaget for enhver solid organisation med gennemsigtighed og indsigt i egne arbejdsgange.

ISMS, eller ledelsessystemet for informationssikkerhed, indeholder alle de politikker, procedurer, retningslinjer, tilhørende ressourcer og aktiviteter som organisationen administrerer for, at styre og opretholde informationssikkerheden.

Alle statslige myndigheder har skulle implementere ISO27001-standarden ligesom, at regionerne skal efterleve den og kommunerne skal følge principperne. Når man så kæder det samme med GDPR og informationssikkerhed, så vil alle leverandører til ovenstående også være pålagt samme grad af niveau for sikkerheden, da myndighederne, kommunerne og regionerne skal kunne redegøre for, hvordan de viderefører deres sikkerhedsniveau til deres underleverandører.

Dette er særligt relevant i regi af ISAE 3402, ISAE 3000 (GDPR) og NIS2.

GDPR og Artikel 30-fortegnelse

Næsten alle virksomheder skal have en opdateret fortegnelse over, hvilke personoplysninger de behandler jf. databeskyttelsesforordningens artikel 30. Fortegnelseskravet er tænkt som et bidrag til den samlede dokumentation af, hvordan databeskyttelsesreglerne efterleves. Dette har til formål at sikre, at den dataansvarlige danner sig det påkrævede overblik, for foruden dette overblik kan man kun i ringe grad bevise at have styr på ens virksomheds behandling af persondata.

Derudover skal GDPR være en løbende proces i en virksomhed. Det vil sige, at man til hver en tid ajourfører ens dokumentation så den afspejler det reelle billede af virksomheden. Dernæst skal man tilsikre, at GDPR efterleves i praksis.

NIS2

NIS2 er et direktiv udarbejdet af EU-kommisionen som 14. december 2022 blev godkendt af Europa Parlamentet. Dette har til formål at sikre infrastruktur og de samfundskritiske tjenester mod nedbrud og cybertrusler. Dette skal ske via et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af EU.

Vedtagelsen af direktivet betyder skærpede krav til cyber- og informationssikkerhed hos alle store organisationer, der leverer væsentlige eller vigtige tjenester til samfundet. Disse er inddelt i syv kategorier: energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhedspleje, drikkevandsforsyning og -distribution samt digitale infrastrukturer.

Derudover tilskyndes der til, at man som medlemsstat benytter europæiske og internationale standarder og tekniske specifikationer, der er relevante for sikkerheden i net- og informationssystemer. Dette kan f.eks. være ISO2700X eller NIST.

Små virksomheder, der har en omsætning på mindre end 10 mio. euro eller færre end 50 ansatte, bliver som udgangspunkt ikke omfattet af lovgivningen. Der er dog undtagelser, hvorfor virksomheder i de omfattede sektorer hurtigst muligt bør få afklaret, hvorvidt de er omfattet af NIS2-direktivet.

Kilde: EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet)

 
SA CONSULTANTS ApS
Tlf.: +45 28 74 76 31
E-mail: ker@saconsultants.dk
CVR-nr.: 42 99 41 11
Privatlivs- og Cookiepolitik