Een Third Party Memorandum (TPM) is een verklaring dat wordt opgesteld door een onafhankelijke auditpartij. De verklaring bevat informatie over beveiligings- en/of privacyrisico's die verbonden zijn aan de ICT-systemen van een serviceorganisatie. Het doel van de verklaring is om (potentiële) klanten van het IT-systeem te voorzien van een objectief oordeel over de beveiligings- en/of privacyrisico's.
Waarom is het belangrijk?
Een TPM-verklaring van een IT-auditor is van bijzonder belang in de IT-sector, waar het belang van informatiebeveiliging en privacy steeds groter wordt. Het is een garantie (met redelijke mate van zekerheid) dat de serviceorganisatie van het ICT-systeem voldoet aan de vereiste normen en kan helpen bij het verbeteren van de reputatie van de serviceorganisatie. Tevens kan de serviceorganisatie laten zien dat ze bewust is van de risico's en zich inzet voor het beheersen ervan.
Hoe ziet een TPM-verklaring eruit?
Een TPM-verklaring wordt vaak een assurance-verklaring genoemd en kan worden opgesteld volgens verschillende geldende handreikingen en richtlijnen. IT-auditors gebruiken vaak richtlijnen 3000 en 3402 (bekend vanuit de ISAE3402-verklaring) of handreiking SOC 2.
Een TPM-verklaring bevat typisch informatie over de volgende zaken:
- De beveiligings- en/of privacyrisico's die verbonden zijn aan de ICT-systemen van de serviceorganisatie;
- De maatregelen die de serviceorganisatie heeft genomen om deze risico's te beheersen;
- Een beoordeling van de effectiviteit van de genomen maatregelen en de mate waarin deze voldoen aan vereiste normen;
- Aanbevelingen voor de gebruiker met maatregelen die de gebruiker moet nemen om te zorgen dat de maatregelen van de serviceorganisatie effectief zijn.
Bij het opleveren van een TPM-verklaring aan een serviceorganisatie worden ook vaak Aanbevelingen voor verbeteringen van beheersingsmaatregelen opgenomen, die de serviceorganisatie kan nemen om de beveiligings- en privacyrisico's verder te beperken. Deze aanbevelingen vormen vaak geen onderdeel van de TPM-verklaring die aan gebruikers wordt aangeboden.
Wat zijn de voordelen van een TPM-verklaring?
- Als serviceorganisatie bespaart u op de auditkosten van uw klanten, omdat dan niet voor iedere klant met dezelfde ICT-systemen dezelfde audit hoeft te worden uitgevoerd;
- Met een TPM-verklaring kunt u de kwaliteit van de beheersingsmaatregelen en dienstverlening van uw organisatie, voor zowel bestaande als potentiële klanten, inzichtelijk maken;
- Een TPM-verklaring mag u extern communiceren ten behoeve van communicatie en commerciële doeleinden. Zie hier onze voorschriften voor een SOC 2-verklaring;
- Als serviceorganisatie kunt u met een dergelijke verklaring aan uw klanten aantonen dat u voldoet aan bepaalde wet- & regelgeving;
- Het is voor overheidsbedrijven vaak verplicht om voor ICT-diensten die zij inkopen en afnemen, over een TPM-verklaring te beschikken.
Wie stelt de TPM-verklaring op?
Het opstellen van een TPM verklaring vereist specifieke expertise op het gebied van IT-beveiliging en privacy. Onze IT-auditors beschikken over zeer ruime ervaring in het afgeven van TPM-verklaringen. Wij kunnen u ondersteunen bij een verscheidenheid aan audits op alle bekende normenkaders. Denk hierbij aan DigiD, ENSIA, SOC 2, ISAE 3402, NEN 7510, ISO27001, PCF en ondersteuning bij de jaarrekeningcontrole van accountants (auditing van General IT controls).