Wat past beter?
Een
SOC 1 of een SOC 2?
De algemene term voor risicorapportage door serviceorganisaties aan gebruikersorganisaties is het Systems and Organization Control Report of SOC-rapport. Deze term is afkomstig van het American Institute of Certified Public Accountants (AICPA) als vervanging voor het SAS70-raamwerk.
Deze werden voorheen Service Organization Control-rapporten genoemd. SOC is een serie rapporten afkomstig uit de VS. ISAE 3402 komt overeen met de Amerikaanse standaard Statement on Standards for Attestation Engagements (SSAE) 18. Een ISAE 3402-rapport geeft zekerheid over de beschrijving van het systeem van een serviceorganisatie en de geschiktheid van het ontwerp en de werking van haar interne controlemaatregelen door middel van een Service Auditor’s Report.
ISAE 3402 | SOC 1
In een ISAE 3402 | SOC 1-rapport definiëren organisaties hun eigen controledoelstellingen en controles en stemmen deze af op de behoeften van de klant. De reikwijdte van een ISAE 3402 omvat doorgaans alle operationele en financiële controles die van invloed zijn op financiële overzichten en algemene IT-controles (bijv. beveiligingsbeheer, fysieke en logische beveiliging, wijzigingsbeheer, incidentbeheer en systeembewaking). Met andere woorden, als een organisatie financiële informatie host die van invloed kan zijn op de financiële verslaglegging van uw klant, dan is een ISAE 3402 | SOC 1 auditrapport het meest logische voor een organisatie om na te streven en zal het waarschijnlijk worden aangevraagd. De ITGC’s, operationele controles en financiële controles worden gecontroleerd volgens het ISAE 3402 SOC 1-raamwerk.
In een SOC 1-audit moeten controles, die worden gebruikt om de interne controle over de financiële verslaglegging (ICOFR) nauwkeurig weer te geven, worden opgenomen als de organisatie onderworpen is aan SEC-dossiers in de VS.
Aangezien de belangrijkste leveranciers van financiële instellingen IT-serviceproviders waren en, in een later stadium, Cloud Service Providers en datacenter/hosting providers terrein hebben gewonnen in de IT-industrie, zijn SAS70, SSAE 18 SOC 1 en ISAE 3402 de meest uitgebreide en transparante standaard geworden voor IT-outsourcing en risk excellence. Organisaties die een ISAE 3402 | SOC 1-rapport nodig hebben, overwegen vaak ISAE 3000 | SOC 2-rapporten.
ISAE 3000 | SOC 2
ISAE 3000 | SOC 2-rapporten passen de Trust Services Principles and Criteria (TSP’s) toe. De TSP’s zijn een set specifieke vereisten ontwikkeld door de AICPA en het Canadian Institute of Chartered Accountants (CICA) om zekerheid te bieden over beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy. Een organisatie kan de verschillende aspecten kiezen die relevant zijn voor de behoeften van de klant. Een ISAE 3000 | SOC 2-rapport kan betrekking hebben op een of meer principes. Als uw organisatie andere soorten informatie voor uw klanten host of verwerkt die geen invloed hebben op hun financiële verslaglegging, dan is een ISAE 3000 | SOC 2 relevanter. In dit geval maken uw klanten zich waarschijnlijk zorgen of u wel veilig met hun gegevens omgaat en of ze er wel over kunnen beschikken zoals afgesproken. Een SOC 2-rapport, vergelijkbaar met een SOC 1-rapport, evalueert interne controles, beleidsregels en procedures.
SOC 1 OF SOC 2?
Organisaties die systemen of informatie verwerken, hosten of beheren die van invloed zijn op de financiële verslaggeving moeten altijd een ISAE 3402 | SOC 1 overleggen. ISAE 3000 | SOC 2 is van toepassing als alle systemen en processen geen verband houden met financiële verslaggeving. Leveranciers van datacenters, IaaS en PaaS rapporteren meestal hybride, met zowel een ISAE 3402 | SOC 1 voor financiële processen en systemen als een ISAE 3000 | SOC 2 voor niet-gerelateerde processen en systemen. De inhoud van beide rapporten zal identiek zijn.