ISAE 3000 | SOC 2 en ISO 27001
ISAE 3402 | SOC 2
ISAE 3000 | SOC 2 is de internationale standaard voor beveiliging en andere niet-financiële informatie. ISAE 3402 wordt toegepast wanneer er sprake is van uitbesteding waarbij financiële informatie wordt verwerkt door de serviceorganisatie. Als dit niet het geval is, kan SOC 2 worden gebruikt, bijvoorbeeld als alleen de General IT Controls (GITC’s) zijn opgenomen in de scope van het SOC-rapport. De SOC 2-standaard bevat geen bepalingen voor interne controle, zoals het COSO-raamwerk. Deze onderdelen zijn daarom niet verplicht in een SOC 2-rapport. In de Verenigde Staten zijn de standaarden voor SOC 2-rapporten de Trust Services Criteria en SSAE 18, die specifieke vereisten bevatten voor GITC’s bij dienstverlenende organisaties. Als een SOC 2-rapport wordt opgesteld volgens de Trust Service Criteria, dan zijn deze onderdelen verplicht.
ISO 27001
Informatiebeveiliging is belangrijk voor elk bedrijf. De ISO 27001 standaard is een internationaal normenkader voor informatiebeveiliging. ISO 27001 kan worden gebruikt om informatiebeveiliging tot stand te brengen. Risklane heeft meer dan 10 jaar ervaring in het opzetten van risicomanagementstructuren, informatiebeveiliging en procesverbetering. Informatiebeveiliging moet altijd toegevoegde waarde hebben, waardoor de organisatie beter beheersbaar wordt, en ISO 27001 biedt kansen voor nieuwe klanten.
Welke is het meest geschikt voor jou?
Beide standaarden zijn bedoeld om uw klanten zekerheid te bieden. Er zijn drie belangrijke overwegingen voor wat het beste bij je klanten past:
- Heeft uw klant(en) specifiek om een van de twee standaarden gevraagd of deze verplicht gesteld?
- Waar bevinden uw klanten zich?
- In welke sectoren zijn uw klanten actief?
Klanten geven de voorkeur aan de standaard waarmee ze meer vertrouwd zijn. Europese klanten geven de voorkeur aan ISO 27001, terwijl SOC 2 in de VS de voorkeur geniet. De financiële dienstverleningssector geeft de voorkeur aan SOC 2, in overeenstemming met hun focus op operationele effectiviteit en voortvloeiend uit de boekhoudkundige praktijk die van toepassing is op hun bedrijf en de wettelijke vereisten in het algemeen.
Het is het beste om de aanpak te bespreken met bestaande klanten en/of potentiële klanten. Zo word je niet verrast en kun je een weloverwogen keuze maken.