Eigenlijk zou dit geen of/of keuze moeten zijn;
ISAE 3402 schrijft voor dat de IT omgeving opgenomen dient te worden in het
ISAE 3402 rapport, informatiebeveiliging is daarom een integraal onderdeel van
ISAE 3402 . Deze informatiebeveiliging moet zodanig ingericht zijn dat deze 'veilig' is voor de gebruikersorganisatie. Dus, ISO 27001 wordt feitelijk volledig 'gedekt' door
ISAE 3402 . Aan de andere kant heeft
ISAE 3402 alleen betrekking op de processen die een organisatie uitbesteedt en niet op de 'eigen' bedrijfsprocessen, deze vallen buiten de scope. De vraag is dan wel in hoeverre afnemers belang hechten aan de eigen processen van een organisatie, want ook ISO 27001 wordt voornamelijk gebruikt voor profilering richting 'derden'. Het belangrijkste verschil is eigenlijk dat ISO 27001 geen toetsingskader kent en ook beperkt bruikbaar is voor externe accountants. Een belangrijk pluspunt van
ISO 27001 is dat er wel gedetailleerde voorschriften zijn die bij
ISAE 3402 ontbreken. De kwaliteit van een
ISAE 3402 rapport is daardoor afhankelijk van degene die hem opstelt en de uiteindelijke controleur.