Wat past beter bij mijn organisatie? SOC 2 of ISO 27001?
Indien uw organisatie business-to-business IT of financiele diensten levert, dan is de kans groot dat uw opdrachtgevers vragen om een SOC 2 of ISO 27001 certificering of verklaring. Het proces kan een hoop resources en tijd van uw organisatie vragen. In dit artikel wordt uitgelegd wat de overeenkomsten en verschillen zijn tussen beide certificeringen. Een SOC 2 verklaring en een ISO 27001 certificaat kunnen worden vergeleken met nauwe verwanten. En er zijn mogelijkheden voor efficiëntie doordat als het ene certificaat behaald is, het enorm veel tijd zal schelen om het andere certificaat te behalen.
1. Reikwijdte
Er is een grote overeenkomst want zowel SOC 2 als ISO 27001 zijn vergelijkbaar ontworpen zodat zij hun klanten het gevoel kunnen geven dat de gegevens beschermd zijn. De opdrachtgevers hebben overeenkomsten, ze hebben allemaal betrekking op belangrijke aspecten van het beveiligen van informatie, zoals vertrouwelijkheid, integriteit en beschikbaarheid. Beide frameworks zijn algemeen erkende certificeringen die klanten bewijzen dat uw bedrijf de beveiliging serieus neemt.
Een groot verschil tussen deze certificaten is dat het SOC 2 certificaat voornamelijk gefocust is op het aantonen dat beveiligingsmaatregelen die klantgegevens beschermen, effectief zijn geïmplementeerd. ISO 27001 vraagt uitsluitend dat een organisatie een Information Security Management System (ISMS) heeft; een voorgeschreven set van beveiligingsmaatregelen.
2. Bruikbaarheid in de markt
Een grote overeenkomst is dat beide certificeringen erg bekende informatie beveiligingsnormen zijn die algemeen worden geaccepteerd om aan te tonen dat een organisatie over de juiste beveiliging beschikt. Vooral in de Verenigde Staten worden deze certificeringen door zowel kleine organisaties als grote corporates geaccepteerd. Beide worden in de meeste branches volledig geaccepteerd en zorgen ervoor dat een organisatie wordt ervaren als een solide leverancier die zijn informatiebeveiliging op orde heeft.
3. De externe partij
Beide certificeringen worden getoetst door derden partijen, door ISO 27001 auditor of (register) accountants. Het belangrijkste verschil is dat een door de Nederlande Beroepsorganisatie van Accountants (NBA)-erkende bedrijf een SOC 2 verklaring afgeeft; terwijl een erkende ISO 27001-geaccrediteerde auditor ISO 27001 certificeert. Securance heeft zowel erkende accountants als erkende ISO27001 auditoren in dienst die kunnen adviseren over de uitvoering van een audit.
4. De kosten
Beide certificeringen hebben vergelijkbare operationele kosten. Deze kosten zijn de interne kosten voor het team dat de beheersmaatregelen implementeert en ook bewijs verzamelt dat vereist is om conformiteit met SOC 2 of ISO 27001 te bewijzen.
De prijzen van de twee soorten certificeringen kunnen erg verschillen. Doorgaans zijn de kosten van een SOC 2 certificering wat hoger dan de kosten van een ISO 27001 certificering. Dit wordt voornamelijk veroorzaakt doordat SOC2 redelijk veel documentatie vereisten kent voor de auditors die een SOC 2 audit uitvoeren.
5. Doorlooptijd
De projectaanpak voor beide certificering is gelijk en bestaat uit globaal over overeenkomstig fasen. Omdat de SOC 2 en de ISO 27001 redelijk dezelfde beheersmaatregelen kennen, is ook de doorlooptijd van de implementatie fasen redelijk overeenkomstig. Een SOC2 audit kan echter door de eerder genoemde documentatievereisten meer interne en externe (auditors) tijd kosten.
Na afloop van de auditperiode moeten de SOC 2 en de ISO 27001 certificeringen periodiek worden vernieuwd om daadwerkelijk ook bruikbaar te zijn voor gebruikersorganisaties. ISO 27001 omvat bij de meeste opdrachten een cyclus van drie jaar waarbij u in het eerste jaar een audit op een bepaald moment hebt en daarna ieder jaar wordt verlengd.
Over ons
Onze missie drijft ons ertoe om meer te doen dan alleen de groei en het succes van onze klanten te bevorderen. We zijn toegewijd aan het exploreren van mogelijkheden, het mogelijk maken van excellence, het stimuleren van groei, het aantrekken van nieuwe klanten en het verbeteren van interne processen. Om deze missie te verwezenlijken moeten we innovaties op het gebied van Risk Management ontwikkelen, de efficiëntie optimaliseren door middel van automatisering, een divers wereldwijd team cultiveren en een positieve bijdrage leveren aan de gemeenschappen waarin we actief zijn. Daarnaast zijn we vastberaden om te fungeren als toegangspoort voor bedrijven om duurzamer en transparanter te worden en zo een duidelijke en waardevolle bijdrage te leveren aan de maatschappij. Ons standvastig streven naar de hoogste kwaliteit zorgt ervoor dat we geslaagd zijn wanneer aan alle doelstellingen van de klant is voldaan en onze klanten 100% tevreden zijn.