Wat zijn de verschillen tussen ISAE3402 en ISO27001? ISO27001 is een security standaard, in deze standaard zijn richtlijnen (‘best practices’) opgenomen voor informatiebeveiliging van een organisatie. ISAE3402 is een audit standaard voor rapportage over uitbestede processen.

Een ISO27001 certificering heeft om die reden voor een accountant een beperkte toegevoegde waarde. ISO27001 kent ook geen toetsingskader, zoals ISAE3402 dat kent. ISAE3402 is daarentegen redelijk vormvrij; de standaard geeft richtlijnen en een redelijk generiek toetsingskader; alle processen die effect hebben op de jaarrekening van de gebruikersorganisatie. ISO27001 kent veel meer specifieke voorschriften, zoals hoe de fysieke beveiliging van een organisatie is ingericht of dat er complexiteitsvereisten moeten zijn voor het wachtwoordbeleid.

Een ISO audit leidt uiteindelijk tot een certificaat. Een ISAE3402 assurance rapport wordt verstrekt bij een Service Organization Control (SOC) Report. Feitelijk is dit overigens geen certificaat.

De kosten voor een ISO27001 certificering zijn meestal ook lager dan de kosten van een ISAE3402-certificering. De belangrijkste reden hiervoor is dat een ISAE3402-audit in het algemeen veel uitgebreider is en bij een ISAE3402-type II een periode van minimaal zes maanden behelst.