Een IT auditor toetst aan de hand van een norm of de vastgestelde maatregelen afdoende zijn ingericht. Een IT auditor is onafhankelijk, heeft hiervoor een opleiding gevolgd en is geregistreerd. Als resultaat levert de IT auditor, afhankelijk van de opdracht, een verslag of rapport. Daarin valt te lezen wat de conclusie en aanbevelingen zijn ten aanzien van de inrichting van de maatregelen. Je kunt daarbij afspreken dat dit resultaat ook beschikbaar is voor klanten zodat die ook kunnen zien of de controls goed gewerkt hebben. (Zie ook: Wat is het verschil tussen opzet, bestaan en werking).
Een control statement is een verklaring waarin het bestuur verantwoording aflegt over de kwaliteit van de interne beheersing. Interne beheersing is het in control hebben (of niet) van processen, inclusief het toezicht daarop. Wanneer iets niet in control is, moet dit worden benoemd tezamen met het actieplan (remediation plan) om dit aan te pakken.
EEen ISO27001 certificering is een certificering voor het Information Security Management Systeem met als best practice de controls die in de bijlage van deze standaad vermeld staan. Het gaat hier dus om het 'in control zijn' op het gebied van informatiebeveiliging, net zoals het 'in control statement' [link naar subvraag in control statement].
Een SOC2 rapportage is een rapportage waarin is vastgelegd op welke wijze voldaan wordt aan de algemene beheersmaatregelen voor een service organisatie zoals vastgelegd door de AICPA . Daarnaast kun je hierin ook aantoonbaar maken dat je aan additionele controls-sets voldoet (bijvoorbeeld een Cloud Control Matrix).
Ontdek de mogelijkheden tijdens een kennismaking
