Tag: SOC 2

Home / soc-2-nl
nov12023

SOC 1 & SOC 2

SOC 1 & SOC 2

De primaire en veelgebruikte term voor serviceorganisaties die rapporteren over risico’s van derden voor gebruikersorganisaties is het Systems and Organization Control Report, vaak het SOC-rapport genoemd. Deze term is geïntroduceerd door het American Institute of Certified Public Accountants (AICPA) als vervanging voor het SAS70-raamwerk.

Voorheen stonden deze bekend als Service Organization Control-rapporten. SOC omvat een reeks rapporten die hun oorsprong vinden in de Verenigde Staten. ISAE 3402 is afgestemd op de Amerikaanse standaard Statement on Standards for Attestation Engagements (SSAE) 18. Een ISAE 3402-rapport geeft zekerheid over de systeembeschrijving van een serviceorganisatie en de geschiktheid van het controleontwerp en de operationele effectiviteit zoals gepresenteerd in een Service Auditor’s Report.

ISAE 3402 | SOC 1: In een ISAE 3402 | SOC 1-rapport stellen organisaties hun eigen controledoelstellingen en controles vast en stemmen deze af op de eisen van de klant. De reikwijdte van een ISAE 3402-rapport omvat doorgaans alle operationele en financiële controles die van invloed zijn op financiële overzichten, evenals IT General Controls (bijv. beveiligingsbeheer, fysieke en logische beveiliging, wijzigingsbeheer, incidentbeheer en systeembewaking). Als een organisatie financiële informatie host die van invloed kan zijn op de financiële verslaglegging van de klant, is een ISAE 3402 | SOC 1 auditrapport de meest logische keuze. ITGC’s, operationele controles en financiële controles vallen binnen het bereik van een ISAE 3402 SOC 1-audit.

SOC 1: Bij een SOC 1-audit zijn controledoelstellingen vereist die essentieel zijn voor een nauwkeurige weergave van de interne controle over de financiële verslaglegging (ICOFR). Organisaties die in de Verenigde Staten bij de SEC gedeponeerd moeten worden, hebben meestal deze doelstellingen.

Gezien het belang van IT-serviceproviders, cloud-serviceproviders en datacenter/housing providers als belangrijke leveranciers aan financiële instellingen, hebben standaarden als SAS70, SSAE 18 SOC 1 en ISAE 3402 aan belang gewonnen in de IT-industrie. Ze zijn uitgegroeid tot de meest uitgebreide en transparante standaarden voor effectieve IT-uitbesteding en risicobeheer. Organisaties die op zoek zijn naar een ISAE 3402 | SOC 1-rapport overwegen vaak ISAE 3000 | SOC 2-rapporten.

ISAE 3000 | SOC 2: In ISAE 3000 | SOC 2-rapporten worden de Trust Services Principles and Criteria (TSP’s) toegepast. Deze TSP’s bestaan uit specifieke vereisten die zijn ontwikkeld door de AICPA en het Canadian Institute of Chartered Accountants (CICA) om zekerheid te bieden met betrekking tot beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy. Een organisatie kan de specifieke aspecten selecteren die aansluiten bij de behoeften van hun klanten. Een ISAE 3000 | SOC 2-rapport kan een of meer principes omvatten. Als een organisatie verschillende soorten informatie voor klanten verwerkt die geen invloed hebben op de financiële verslaglegging, is een ISAE 3000 SOC 2-rapport relevanter. In dergelijke gevallen zijn klanten vooral bezorgd over de veilige omgang met en beschikbaarheid van hun gegevens, zoals vastgelegd in hun overeenkomsten. Een SOC 2-rapport evalueert, net als een SOC 1-rapport, interne controles, beleidsregels en procedures.

SOC 1 of SOC 2: Organisaties die systemen of informatie beheren, verwerken of hosten die van invloed zijn op de financiële verslaglegging moeten altijd een ISAE 3402 | SOC 1-rapport leveren. ISAE 3000 | SOC 2 is geschikt als alle systemen en processen geen verband houden met financiële verslaglegging. Leveranciers van datacenters, Infrastructure as a Service (IaaS) en Platform as a Service (PaaS) geven vaak hybride rapporten uit, met zowel een ISAE 3402 | SOC 1 voor financiële processen en systemen als een ISAE 3000 | SOC 2 voor niet-gerelateerde processen en systemen. De inhoud van beide rapporten is meestal identiek.

nov12023

Voordelen: Risicobeheersing en transparantie verbeteren

Voordelen: Risicobeheersing en transparantie verbeteren

Organisaties krijgen vaak vragen van (potentiële) klanten over beveiligingsstandaarden, met vragen over het onderscheid tussen ISAE 3402 | SOC 1, ISAE 3000 | SOC 2 en ISO 27001 audits. Ze proberen te bepalen welke standaard het meest geschikt is voor hun bedrijf en wegen de voor- en nadelen af van ISAE versus ISO 27001. ISAE 3402 | SOC 1 en ISO 27001 zijn in werkelijkheid sterk verschillende standaarden, met uiteenlopende toepassingen. De belangrijkste verschillen zitten in de rapportagevorm en de aard van de controle zelf.

Opmerkelijke voordelen:

  • Vaardigheid in risicobeheer
  • Meer vertrouwen in de markt
  • Gestroomlijnde auditprocessen
  • Verbeterde controlemaatregelen

ISAE en beveiliging: ISAE 3402 is een attestatie uitgevoerd door een onafhankelijke gecertificeerde accountant of firma die systeem- en organisatiecontroles (SOC) beoordeelt aan de hand van gedefinieerde auditdoelstellingen of -criteria. In een ISAE 3402 SOC 1-rapport worden algemene IT-controles (ITGC’s) en dus ook beveiligingsaspecten opgenomen, maar de primaire focus ligt op financiële procedures en controles. Aan de andere kant concentreert een ISAE 3000 SOC 2-rapport zich op de Trust Service Principles, die beveiliging, beschikbaarheid en privacy omvatten. Het heeft meer gemeen met ISO 27001. Een essentieel onderscheid is dat ISAE 3402 | SOC 1 en ISAE 3000 | SOC 2 rapporten vormen van attestering zijn, terwijl ISO 27001 een certificering is.

ISO 27001: ISO 27001 is daarentegen een op risico gebaseerde norm die is ontworpen om het beveiligingsraamwerk of Information Security Management System (ISMS) van een organisatie op te zetten, te implementeren en te verbeteren. Dit beveiligingsraamwerk voldoet aan de ISO- en IEC-normen en is gevalideerd door onafhankelijke certificeringsinstanties.

De organisatie moet beschikken over de procedures en controles die worden beschreven in Bijlage A van het ISO 27001-raamwerk. Deze procedures en controles beperken op effectieve wijze de risico’s en versterken zo de informatiebeveiliging. ISO 27001 biedt een uitgebreid systeem om informatiebeveiliging te garanderen en alle organisaties die ISO 27001 gebruiken, moeten een beheersysteem voor informatiebeveiliging hebben.

Kiezen tussen ISO 27001 en ISAE 3402 | SOC 1: Het landschap is veranderd. ISO 27001 is van oudsher de gouden standaard voor informatiebeveiliging. Gezien de steeds veranderende risico’s op het gebied van informatiebeveiliging zoeken veel organisaties nu echter naar een hoger niveau van zekerheid met betrekking tot informatiebeveiliging. ISO 27001 schrijft een vaste reeks controles voor, terwijl de ISAE 3402- en ISAE 3000-standaarden gebaseerd zijn op principes. Dit betekent dat de controles niet star mogen zijn, maar effectief moeten functioneren. Een auditor zal het ISAE 3402 | SOC 1 assurance-oordeel kwalificeren als dit niet het geval is. Een ISAE 3402/3000 audit houdt een uitgebreid onderzoek in waarbij de effectiviteit van het risicoraamwerk bij het beheren van risico’s centraal staat. Als risico’s niet adequaat worden beheerd, zal het ISAE 3402-rapport deze tekortkoming onthullen. Deze mate van transparantie is essentieel in de veranderende wereldeconomie en het steeds veranderende bedreigingslandschap.