SOC 2 vs. SOC 1 type 2
Een ISAE type 2 rapport
Een ISAE 3402 | SOC 1-rapport is een assurantieverklaring die aan een organisatie wordt afgegeven. Een ISAE 3402 | SOC 1 type 2-rapport bespreekt hoe de serviceprovider risico’s beheert met betrekking tot uitbestede processen. Het beoordelingskader wordt gevormd door de uitbesteding zelf en de financiële processen (is er een relatie met de jaarrekening?). Het is vooral gebruikelijk in de financiële wereld om een ISAE 3402 | SOC 1-verklaring te kunnen aantonen. Een financiële instelling zal bijvoorbeeld altijd een ISAE 3402 | SOC 1-rapport van leveranciers vereisen voordat de leverancier de diensten mag leveren.
ISAE 3402 | SOC 1 is gebaseerd op de eis dat de doelstellingen moeten aansluiten bij de behoeften van de jaarrekening van de organisatie die de dienst afneemt. Met andere woorden: het controlekader (controle-doelstellingen en maatregelen) kan door ISAE zelf worden samengesteld. Het idee hierachter is dat de risico’s van uitbestedingsactiviteiten afhankelijk zijn van de situatie. De managementdoelstellingen en maatregelen die hierop gebaseerd zijn, zijn dus maatwerk.
Een ISAE 3000 | SOC 2 rapport
In een ISAE 3000 | SOC 2-rapport wordt het beoordelingskader niet gevormd door de uitbesteding zelf, maar door informatiebeveiliging. ISAE 3000 | SOC 2-rapporten richten zich daarom niet op financiële processen, maar op Trust Services Criteria zoals beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy in een serviceorganisatie. In een ISAE 3000 | SOC 2-rapport wordt de scope dus bepaald door deze vooraf gedefinieerde managementdoelstellingen (Trust Service Criteria).
ISAE 3000| SOC 2 gaat voornamelijk over de garantie dat de gegevens die worden verwerkt of gehost geen invloed hebben op de jaarrekening van klanten. Deze cliënten zijn vooral geïnteresseerd in de juiste omgang met informatiebeveiliging en privacy. Bijvoorbeeld, in een ISAE 3000 | SOC 2-rapport kan men denken aan het verkrijgen van zekerheid over externe gegevensverwerking en hosting.