SOC2, SOC, Assurance, ISAE3402

SOC2

De SOC2 Audit toont . Een organisatie die processen uitbesteedt wil dit doen bij een betrouwbare serviceorganisatie. Het is dan vanuit de digitale dienstverlener belangrijk om te kunnen aantonen dat klanten kunnen vertrouwen op de aangeboden diensten. In toenemende mate wordt dit ook een wettelijke vereiste om te kunnen voldoen aan de NIS2 of Cyber Resilience Act (CRA).

Het beschikken over een SOC2-verklaring kan hierin voorzien: de kwaliteit van uw als digitale dienstverlener is vastgesteld door een onafhankelijke deskundige aan de hand van internationaal erkende Trust principles!

Wat is de SOC2 certificering en waarin verschilt het van een ISAE3402?

Een SOC 2-verklaring en een ISAE 3402-verklaring geven beide inzicht en daarmee vertrouwen. Het zijn namelijk verklaringen die kijken naar de effectiviteit van beheersmaatregelen van de organisatie. Er zijn echter ook belangrijke verschillen.

Een SOC 2-onderzoek beoordeelt de opzet en bestaan (Type I) of opzet en werking (Type II) van de informatiesystemen specifiek op de getroffen maatregelen voor security, beschikbaarheid, de integriteit van dataverwerking en ten slotte vertrouwelijkheid en privacy.

SOC2 certificering, SOC2 audit, SOC2 toetsing
SOC2 certificering, SOC2 audit, SOC2 toetsing, Assurance, ISAE3402
  • Bij de SOC2 audit liggen de beheersingsdoelstellingen van het toetskader grotendeels vast en daarmee ook de  Anders gezegd, voor een SOC2 verklaring moet gebruik maken van het toetsingskader of control framework vanuit AICPA. De beheersingsmaatregelen kunnen wel worden gekozen, maar moeten voorzien in de beheersingsdoelstellingen
  • Een ISAE 3402-verklaring is daarin duidelijk anders: Bij deze verklaring bepalen de auditor en de auditee in goed overleg welke beheersingsmaatregelen worden getoetst, dus hoe groot en uitgebreid het toetsingskader is. Ook is er bij de ISAE3402-verklaring een directe relatie naar de jaarrekening van de klanten van de dienstverlening

Een ISAE3000 is de internationale standaard voor informatiebeveiliging en overige niet-financiële informatie conform de richtlijn 3000 van NOREA. Het gaat hier om aantoonbaarheid van  het goed uitvoeren van de uitbesteedde interne processen door digitale dienstverleners. Een SOC 2 wordt uitgevoerd via deze standaard.

Contact opnemen

Heeft u vragen over een SOC2-verklaring, of hebben uw klanten om een assurance verklaring gevraagd? Of wilt u eens van gedachten wisselen over de mogelijkheden om de beheersing van uw eigen processen te verbeteren? Wij wisselen graag met u van gedachten over de mogelijkheden.

Doelgroep SOC2 verklaring

Een SOC2 certificering is met name geschikt voor organisaties die diensten aanbieden op het vlak van:

  • Digitale gegevensverwerking in de vorm van een Software as a Service (SaaS) model
  • IT-diensten leveren, zoals Managed hosting, datacenterfaciliteiten of andere clouddiensten.

Als klant van een IT dienstleverancier is een SOC2-verklaring ook van grote waarde. Immers,

SOC2 certificering, SOC2 audit, SOC2 toetsing
SOC2 certificering, SOC2 audit, SOC2 toetsing

Aanpak van een SOC2 audit

Het proces van een SOC2 toetsing start met het toetsingskader: Welke beheersingsdoelstellingen naast de basisdoelstellingen zijn relevant? De service organisatie bepaalt (samen met de auditor) welke aanvullende beheersingsdoelstellingen en beheersingsmaatregelen van toepassing zijn op uw organisatie en voldoende vertrouwen geven in bij uw klanten. Dit gaat via de volgende stappen:

  • Bepalen van de scope van de dienstverlening: gegeven de dienst, bepaalt u welke controls relevant zijn en welke niet. We kijken daarbij ook naar de wensen en eisen van uw klanten
  • Opstellen en doorlopen systeembeschrijving: In een beschrijving geeft u een toelichting op uw processen die zorgen dat de dienstverlening veilig en goed verloopt, zoals u ook heeft beloofd naar uw klanten;
  • Bewijslijst: Opstellen van een lijst van bewijs dat u kunt voorbereiden op basis van uw maatregelen, zodat de audit efficiënt en effectief kan worden uitgevoerd met minimale impact op de dagelijkse gang van zaken;
  • Auditwerkzaamheden: het houden van de interviews voor de beoordeling van de opzet, bestaan en werking (toetsing) van de documenten, systeeminstellingen, logs etc. Daarbij kijken wij in hoeverre u voldoet aan de eigen beheersingsmaatregelen;
  • Rapportage en afrondende nazorg: Na de auditwerkzaamheden stellen wij een conceptrapportage op. In dit concept leggen wij de bevindingen en ons oordeel vast. Vervolgens bespreken we de rapportage met u, zodat u inzicht heeft in wat er komen gaat.
  • Interne kwaliteitscontrole: Uiteraard volgen wij de kwaliteitsrichtlijnen van NOREA. Wij borgen de kwaliteit via dossiercontrole door een onpartijdige derde die geen onderdeel vormt van het auditteam. Deze controle door de externe reviewer garandeert dat de auditrapportage voldoet aan alle vereisten van NOREA.

Heeft u vragen over een SOC2 toetsing, of hebben uw klanten om een assurance verklaring gevraagd? Of wilt u eens van gedachten wisselen over de mogelijkheden om de beheersing van uw eigen processen te verbeteren? Wij wisselen graag met u van gedachten over de mogelijkheden.