TPM Verklaring
Third Party Memorandum (TPM verklaring) nodig?
Een Third Party Memorandum (TPM) is een verklaring van een onafhankelijke auditpartij over de kwaliteit van ICT-diensten en beheersing bij een organisatie. Het wordt ook wel een Derdenverklaring genoemd, omdat het de afspraken vastlegt tussen opdrachtgever, uitvoerder en een onafhankelijke derde partij, bijvoorbeeld Newmorn’.
Op basis van een TPM-audit verklaart een IT-auditor dat jij als organisatie voldoet aan bepaalde normen, via een assurance-rapport. Een TPM verklaring legt de verantwoordelijkheden en rechten van elke partij vast en is bedoeld om de verhoudingen tussen de partijen te regelen en te beschermen.
Dus heb jij een TPM-verklaring nodig?
Waarom een TPM verklaring?
Om kwaliteit te verbeteren en kosten te besparen, besluiten organisaties soms om bijvoorbeeld administratieve en/of ICT-diensten uit te besteden aan een gespecialiseerde leverancier. Zodra je dit decentraal belegt, moeten er afspraken worden gemaakt over de beveiliging, continuïteit en privacy van gevoelige informatie bij de leverancier. Deze afspraken worden vastgelegd door een onafhankelijke partij, zoals Newmorn’, in een TPM verklaring.
Eerst worden samen met jou de kaders afgestemd. Vervolgens wordt door middel van een TPM-audit de stand van zaken geïnventariseerd en beoordeeld of deze voldoet aan de gestelde kaders. Het doel van de audit is om een redelijke mate van zekerheid te geven over de opzet en werking van beheersmaatregelen voor betrouwbaarheid van de geleverde diensten. Het resultaat van de audit wordt vastgelegd in een Third Party Memorandum (TPM). Voor bepaalde normeringen (zoals ISO 27001 en NEN 7510) is een TPM een verplicht onderdeel.
Hoe ziet een TPM verklaring eruit?
Een TPM-verklaring, ook wel bekend als een assurance-verklaring, wordt opgesteld volgens verschillende richtlijnen en handreikingen. Het document biedt inzicht in de beveiligings- en privacymaatregelen van een serviceorganisatie. Een TPM-verklaring bevat over het algemeen de volgende elementen:
1. Risicoanalyse
Beveiligings- en privacyrisico’s van de ICT-systemen van de serviceorganisatie.
2. Beheersmaatregelen
De genomen maatregelen om de geïdentificeerde risico’s te beheersen.
3. Effectiviteitsbeoordeling
Een evaluatie van de effectiviteit van de genomen maatregelen en de mate waarin deze voldoen aan de vereiste normen.
4. Gebruikersaanbevelingen
Maatregelen die gebruikers moeten nemen om ervoor te zorgen dat de maatregelen van de serviceorganisatie effectief blijven.
Voordelen van een TPM verklaring
- Bespaart kosten: Als IT-serviceorganisatie bespaar je met een TPM op de auditkosten van je klanten, omdat hiermee niet voor iedere klant met dezelfde webapplicatie of webomgeving, dezelfde audit hoeft te worden uitgevoerd.
- Biedt juridische bescherming: Een TPM dient als juridische bescherming en bewijs van de afspraken tussen de partijen en kan helpen bij het oplossen van conflicten in de toekomst.
- Verschaft zekerheid: Een TPM geeft de partijen en andere belanghebbenden een redelijke mate van zekerheid over de opzet en werking van beheersmaatregelen voor de betrouwbaarheid van geleverde diensten.
- Maakt je interessanter voor specifieke partijen: Het is voor overheidsbedrijven vaak verplicht om voor ICT-diensten die zij inkopen en afnemen, over een TPM verklaring te beschikken.
- Bereidt je voor op andere audits: Je kan het gebruiken om je te ondersteunen en begeleiden bij de voorbereiding op bijvoorbeeld een ISAE3402 externe audit of een ISO 27001 of ISO 27002 certificering/audit.
Hoe wij je kunnen helpen met jouw Third Party Memorandum (TPM verklaring)
Ons enthousiaste team onafhankelijke Auditors, waaronder een RE Auditor, bepaalt met jou de kaders, voert voor jou de TPM Audit uit en legt bevindingen vast in een Third Party Memorandum, ofwel TPM verklaring.
Hiermee toon je aan dat jouw bedrijfsprocessen worden ondersteund door een betrouwbare IT-serviceorganisatie. Wij kunnen ook een TPM voor je opstellen, als je zelf een IT-serviceorganisatie bent.
Hulp nodig? Wij staan voor je klaar!
