SOC2, SOC, Assurance, ISAE3402

SOC2

Een organisatie die processen uitbesteedt wil dit doen bij een betrouwbare serviceorganisatie. Het is dan vanuit de digitale dienstverlener belangrijk om te kunnen aantonen dat klanten kunnen vertrouwen op de aangeboden diensten. In toenemende mate wordt dit ook een wettelijke vereiste om te kunnen voldoen aan de NIS2 of Cyber Resilience Act (CRA).

Het beschikken over een SOC2-verklaring kan hierin voorzien: de kwaliteit van uw als digitale dienstverlener is vastgesteld door een onafhankelijke deskundige aan de hand van internationaal erkende Trust principles!

Wat is de SOC2 assurance statement en waarin verschilt het van een ISAE3402 verklaring?

Een SOC2-verklaring en een ISAE3402-verklaring geven beide inzicht en daarmee vertrouwen. Het zijn namelijk verklaringen die kijken naar de effectiviteit van beheersmaatregelen van de organisatie. Er zijn echter ook belangrijke verschillen.

Een SOC2-onderzoek beoordeelt de opzet en bestaan (Type I) of opzet en werking (Type II) van de informatiesystemen specifiek op de getroffen maatregelen voor security, beschikbaarheid, de integriteit van dataverwerking en ten slotte vertrouwelijkheid en privacy.

SOC2 certificering, SOC2 audit, SOC2 toetsing
SOC2 certificering, SOC2 audit, SOC2 toetsing, Assurance, ISAE3402
  • Bij de SOC2 audit liggen de beheersingsdoelstellingen van het toetskader grotendeels vast en zijn richtinggevend voor de beheersingsmaatregelen. Anders gezegd, voor een SOC2 verklaring moet gebruik maken van het toetsingskader of control framework vanuit AICPA. De beheersingsmaatregelen kunnen wel worden gekozen, maar moeten voorzien in de beheersingsdoelstellingen.
  • Een ISAE3402-verklaring is daarin duidelijk anders: Bij deze verklaring bepalen de auditor en de auditee in goed overleg welke beheersingsdoelstellingen worden opgesteld en welke beheersingsmaatregelen worden getoetst, dus het toetsingskader in het geheel; rekeninghoudende met de risico’s van de klanten. Bij de ISAE3402-verklaring is er tevens een directe relatie naar de jaarrekening van de klanten van de dienstverlening.

Een ISAE3000 is de internationale standaard voor informatiebeveiliging en overige niet-financiële informatie conform de richtlijn 3000 van NOREA. Het gaat hier om aantoonbaarheid van  het goed uitvoeren van de uitbesteedde interne processen door digitale dienstverleners. Een SOC2 wordt uitgevoerd via deze standaard.

Contact opnemen

Heeft u vragen over een SOC2-verklaring, of hebben uw klanten om een assurance verklaring gevraagd? Of wilt u eens van gedachten wisselen over de mogelijkheden om de beheersing van uw eigen processen te verbeteren? Wij wisselen graag met u van gedachten over de mogelijkheden.

Doelgroep SOC2 verklaring

Een SOC2 verklaring is met name geschikt voor organisaties die diensten aanbieden op het vlak van:

  • Digitale gegevensverwerking in de vorm van een Software as a Service (SaaS) model
  • IT-diensten leveren, zoals Managed hosting, datacenterfaciliteiten of andere clouddiensten.

Als klant van een IT dienstleverancier is een SOC2-verklaring van grote waarde. De assurance verklaring biedt inzicht in de mate van risicobeheersing in relatie tot de uitbestede dienstverlening aan IT dienstverleners. Daarmee hebben klanten inzicht in de effectieve risicobeheersing in de IT-keten. Vanuit wetgeving als de NIS2 is dit inzicht ook nodig.

SOC2 certificering, SOC2 audit, SOC2 toetsing
SOC2 certificering, SOC2 audit, SOC2 toetsing

Aanpak van een SOC2 audit

Het proces van een SOC2 toetsing start met het toetsingskader: Welke beheersingsdoelstellingen naast de basisdoelstellingen (de common criteria) zijn relevant? De service organisatie bepaalt (samen met de auditor) welke aanvullende beheersingsdoelstellingen en beheersingsmaatregelen van toepassing zijn op uw organisatie en voldoende vertrouwen geven in bij uw klanten. Dit gaat via de volgende stappen:

  • Bepalen van de scope van de dienstverlening: gegeven de dienst, bepaalt u welke controls relevant zijn en welke niet. We kijken daarbij ook naar de wensen en eisen van uw klanten
  • Opstellen en doorlopen systeembeschrijving: In een beschrijving geeft u een toelichting op uw processen die zorgen dat de dienstverlening veilig en goed verloopt, zoals u ook heeft beloofd naar uw klanten;

Bewijslijst: Opstellen van een lijst van bewijs dat u kunt voorbereiden op basis van uw maatregelen, zodat de audit efficiënt en effectief kan worden uitgevoerd met minimale impact op de dagelijkse gang van zaken;

Auditwerkzaamheden: het houden van de interviews voor de beoordeling van de opzet, bestaan en werking (toetsing) van de documenten, systeeminstellingen, logs etc. Daarbij kijken wij in hoeverre u voldoet aan de eigen beheersingsmaatregelen;

Rapportage en afrondende nazorg: Na de auditwerkzaamheden stellen wij een conceptrapportage op. In dit concept leggen wij de bevindingen en ons oordeel vast. Vervolgens bespreken we de rapportage met u, zodat u inzicht heeft in wat er komen gaat.

Interne kwaliteitscontrole: Uiteraard volgen wij de kwaliteitsrichtlijnen van NOREA. Wij borgen de kwaliteit via dossiercontrole door een onpartijdige derde die geen onderdeel vormt van het auditteam. Deze controle door de externe reviewer garandeert dat de auditrapportage voldoet aan alle vereisten van NOREA.

SOC2, Audit, ISAE, Data protection