Direct naar inhoud
Auditpoint. Plan een kennismaking
Diensten Assurance-audits
Assurance-audits

TPM.

ISO 27001 Annex A

Third Party Mededeling over je beheersmaatregelen.

Wat is het?

Een TPM (Third Party Mededeling) is een onafhankelijke verklaring over de beheersmaatregelen die je namens klanten uitvoert, doorgaans getoetst aan ISO 27001 Annex A of een klantspecifiek normenkader. In Nederland is het een gangbaar, pragmatisch alternatief voor een volledig ISAE-traject: lichter waar dat kan, maar met dezelfde onafhankelijke zekerheid.

Voor wie?

Voor leveranciers die hun klanten willen geruststellen over informatiebeveiliging zonder dat elke klant een eigen audit komt uitvoeren.

Wat het oplevert.

  • Een Third Party Mededeling die je aan meerdere klanten tegelijk kunt verstrekken
  • Een onafhankelijke verklaring over je beheersmaatregelen
  • Minder losse klantaudits doordat één mededeling volstaat
  • Toetsing aan ISO 27001 Annex A of een klantspecifiek kader

Onze aanpak.

  1. Kennismaking & scoping

    We beginnen met een kennismaking en bepalen samen de scope: wat hoort erbij en wat niet.

  2. Offerte

    Op basis van de scope stellen we een heldere offerte op, met een vaste prijs en een duidelijke aanpak.

  3. Kick-off

    Zodra de offerte getekend is, starten we met een kick-off waarin we de exacte tijdlijnen en aanpak afstemmen.

  4. Systeembeschrijving beoordelen

    We beoordelen de systeembeschrijving (sectie III van de rapportage) op juistheid en volledigheid: geeft die een getrouw beeld van de dienstverlening en de omgeving?

  5. Normenkader toetsen

    We toetsen het normenkader op volledigheid en of de controls op een juiste, toetsbare wijze zijn beschreven.

  6. Toetsing

    Na jouw akkoord op het normenkader toetsen we de beheersmaatregelen en verzamelen we het onderbouwende bewijs.

  7. Rapportage

    We stellen een heldere rapportage op met ons onafhankelijke oordeel en de bevindingen.

  8. Presentatie & evaluatie

    We bespreken de rapportage en evalueren samen het traject, zodat een volgende audit nog soepeler verloopt.

Veelgestelde vragen.

Wat is een TPM precies?
Een Third Party Mededeling is een onafhankelijke verklaring over de beheersmaatregelen die je namens klanten uitvoert. Het is een pragmatisch, in Nederland gangbaar alternatief voor een volledig ISAE-traject.
Wanneer kies ik een TPM in plaats van ISAE 3402?
Een TPM is vaak lichter en flexibeler. Als je klanten geen formeel ISAE-rapport eisen maar wel zekerheid willen over je informatiebeveiliging, is een TPM meestal voldoende.
Aan welk kader wordt getoetst?
Doorgaans aan ISO 27001 Annex A, of aan een set klantspecifieke eisen. We stemmen het toetsingskader vooraf met je af.