I samarbejde med Deloitte er TimePlan Software i gang med en omfattende proces om IT – og informationssikkerhed. Tobias Frandsen er projektkoordinator for TimePlan Softwares ISAE 3402 erklæring, og han fortæller hvordan processen gavner TimePlans kunder.

Hej Tobias, tak fordi du vil være med i dag. Hvad er en ISAE 3402 erklæring?

En ISAE 3402 erklæring er en revisionserklæring, der dokumenterer ordentlige IT – forhold hos en virksomhed. Ideen er, at man beviser, at man har styr på sine processer, og at TimePlan Software lever op til lovkrav og god IT – skik.

ISAE 3402 erklæringen omfatter virksomhedens udvikling, drift, beredskab og dokumentation og også de fysiske forhold, for eksempel hvordan servere/datacenter er placeret.

Hvorfor skal TimePlan Software have en ISAE 3402 erklæring?

To af vores største kunder har efterspurgt erklæringen, og så er den nye persondataforordning jo på vej. Vi skal give vores kunder den bedst mulige garanti for, at vi har styr på sikkerhed. Ord er ikke nok, vi skal dokumentere vores handlinger.

ISAE 3402 er i realiteten vores ”blåstempling” for at kunne håndtere IT datasikkerhed, så vores kunder trygt kan bruge os som databehandler. Vi har set de store hacking sager hos Google, Yahoo og Apple, og derfor er der mange samarbejdspartnere, der stiller krav om dokumentation for, at vi har styr på vores politikker indenfor sikkerhed og informationssikkerhed.

Hvad indebærer processen for ISAE 3402 erklæringen?

Vi mødtes med Deloitte i foråret, der forklarede opbygningen af erklæringen. Sammen lavede vi en arbejdsplan. Først skulle vi have styr på politikker og kontroller. Hvordan opbevarer vi informationer? Hvordan håndterer vi sikkerhed i forbindelse med hosting? Hvordan administreres adgangen til personfølsom data? Disse har vi nu implementeret med udgangspunkt i ISO 27001, som vedrører IT datasikkerhed, og derefter skal vi restrukturere og implementere de nye procedurer gennem vores afdelingsledere.

Hvad er fordelene ved at få en ISAE 3402 erklæring?

Meget af det, erklæringen fokuserer på, havde vi allerede politikker og procedurer for, men nu har vi fået mere overblik og retning i forhold til, hvordan vi følger procedurerne. Der kommer opfølgning og kontrol undervejs. Vi har en intern kontrol, vi udfører, og så er der den eksterne kontrol, Deloitte udfører.

Hvordan gavner ISAE 3402 TimePlan Softwares kunder?

Vi har opdaget mange ting i de afklarende forløb, som vi aldrig har tænkt over før. For eksempel har vi lavet en forbedret procedure for frigivelse af TimePlan versioner ud fra kundens perspektiv. De skal have en opdatering af TimePlan fremfor at vi tænker, at vi skal lave en ny version. Vi ser processen fra kundens perspektiv og det giver bedre service og forståelse. Vores procedurer bliver mere holistiske. ISAE 3402 erklæringen giver os en entydig måde at forholde sig til vores processer på.

Hvornår forventes erklæringen at være i hus?

Vi laver en intern audit i løbet af vinteren, og vi har en level 2 audit planlagt med Deloitte i forsommeren 2018.

Tak for det, Tobias. Andet, du vil tilføje?

ISAE 3402 materialet kan godt være tørt at sidde med, men vi kommer rundt i alle krogene af TimePlan og det gavner vores kunder, medarbejdere og virksomhedens sikkerhed.

  • Please enter a number greater than or equal to 10.
  • Dette felt er til validering og bør ikke ændres.

© Copyright 1995 - 2019, TimePlan Software, All Rights Reserved