SOC 2 eller SOC 1 Type 2
En ISAE Type 2-rapport
En ISAE 3402 | SOC 1-rapport är en assurance-rapport som utfärdas till en organisation. En ISAE 3402 | SOC 1 Type 2-rapport behandlar hur tjänsteleverantören hanterar risker relaterade till outsourcade processer. Bedömningsramen utgörs av själva outsourcingen och de finansiella processerna (finns det ett samband med årsredovisningen?). Särskilt inom finansvärlden är det vanligt att kunna uppvisa ett ISAE 3402 | SOC 1 assurance-rapport. Till exempel kommer en finansiell institution alltid att kräva en ISAE 3402 | SOC 1-rapport från leverantörer innan leverantören får tillhandahålla tjänsterna.
ISAE 3402 | SOC 1 baseras på kravet att målen måste relatera till behoven på kontot för den organisation som köper tjänsten. Med andra ord: kontrollramverket (kontrollmål och åtgärder) kan fastställas av ISAE självt. Tanken bakom detta är att riskerna med att lägga ut verksamhet på entreprenad beror på situationen. De förvaltningsmål och åtgärder som baseras på detta är därför en del av ett anpassat arbete.
En ISAE 3000- eller SOC 2-rapport
I en ISAE 3000 | SOC 2-rapport utgörs bedömningsramen inte av outsourcingen i sig, utan snarare av informationssäkerheten. ISAE 3000 | SOC 2-rapporter fokuserar därför inte på finansiella processer, utan på Trust Services Criteria som säkerhet, tillgänglighet, konfidentialitet, behandlingsintegritet och sekretess i en serviceorganisation. I en ISAE 3000- eller SOC 2-rapport bestäms omfattningen därför av dessa fördefinierade förvaltningsmål (Trust Services Criteria).
ISAE 3000 | SOC 2 handlar huvudsakligen om att säkerställa att de uppgifter som behandlas eller lagras inte har någon inverkan på kundernas finansiella rapporter. Dessa kunder är särskilt intresserade av att informationssäkerhet och sekretess hanteras på ett korrekt sätt. I en ISAE 3000| SOC 2-rapport kan man till exempel tänka sig att få garantier för externa molntjänster.
