Op dit moment werken meer mensen thuis dan ooit tevoren, wat veel risico’s met zich meebrengt voor de beveiliging van organisaties. Wereldwijde datalekken nemen toe en kunnen grote gevolgen hebben voor bedrijven. Door de beveiliging onder controle te houden, kunnen organisaties niet alleen het vertrouwen van de klant behouden, maar ook financiële verliezen beperken.

Omdat organisaties ernaar streven om voortdurend te voldoen aan de eisen van klanten en aan wettelijke vereisten, is er een toenemende behoefte om meerdere ISO-certificeringen te behalen en te behouden. Een veelgebruikte combinatie die steeds populairder wordt, is ISO 9001 en ISO 27001.

Om duidelijk te maken welke SOC-typen jouw organisatie nodig heeft, volgt hier de essentiële informatie.

Op 15 december 2014 eindigde de overgangsperiode voor de implementatie van het COSO-raamwerk 2013. Wat zijn de kansen en risico’s die voortvloeien uit deze overgang? Het COSO Internal Control Integrated Framework (ICIF) 2013 is een uitgebreide update van het COSO ICIF 1992 model.

Wie kan waarde verwachten van ISAE 3000 | SOC 2 Assurance?

ISAE 3000 | SOC 2 is speciaal ontworpen voor dienstverleners die klantgegevens opslaan in de cloud. Dit betekent dat ISAE 3000 | SOC 2 assurance waarde kan toevoegen aan bijna elk SaaS-bedrijf, evenals aan elke organisatie die de cloud gebruikt om klantgegevens op te slaan.

Om een ISAE 3402-certificering te verkrijgen, heb je een beschrijving nodig van je interne controle, ook wel een Service Organization Control Report (SOC) genoemd.

Voor certificering heeft je organisatie een rapport nodig waarin het risicomanagement en de interne controle worden beschreven. Dit rapport staat ook bekend als een Service Organization Control Report (SOC), terminologie die afkomstig is uit de Verenigde Staten (AICPA). Als een SOC-rapport betrekking heeft op uitbestede activiteiten, wordt het een SOC 1-rapport (VS) of ISAE 3402-rapport genoemd.

Van volledige uitbesteding van complexe functies zoals IaaS, PaaS-diensten of de productie van componenten tot kleine contracten met lokale serviceproviders en leveranciers, organisaties in verschillende sectoren en groottes vertrouwen sterk op externe serviceorganisaties.

De SSAE18-standaard (AICPA) uit de Verenigde Staten omvat twee soorten rapporten; een Service Organization Control Report 1 (SOC 1) en een Service Organization Control Report 2 (SOC 2). Deze terminologie wordt steeds vaker internationaal gebruikt. Een ISAE 3402 -rapport is binnen deze terminologie een SOC 1-rapport, een ISAE 3000-rapport is een SOC 2-rapport.

DeISAE 3402 standaard is een internationaal erkende controlestandaard, uitgegeven door de International Auditing and Assurance Standards Board (IAASB). Het onderzoek door de auditor van een serviceorganisatie wordt algemeen geaccepteerd, omdat het een grondige beoordeling is van de interne controledoelstellingen en -activiteiten van een serviceorganisatie. Het auditraamwerk en de bijbehorende controlemaatregelen worden gedetailleerd beschreven in het System and Organization Report (SOC).