Kategori: Cybersäkerhet

Home / Cybersäkerhet
maj82019

Vad passar bäst? An SOC 1 or an SOC 2?

Vad passar bäst?

En SOC 1 eller en SOC 2?

Den allmänna termen för tredjepartsriskrapportering från serviceorganisationer till användarorganisationer är Systems and Organization Control Report eller SOC-rapport. Denna term kommer från American Institute of Certified Public Accountants (AICPA) som en ersättning för SAS70-ramverket.

Dessa kallades tidigare för Service Organization Control-rapporter. SOC är en serie rapporter som har sitt ursprung i USA. ISAE 3402 är anpassad till den amerikanska standarden Statement on Standards for Attestation Engagements (SSAE) 18. En ISAE 3402-rapport ger en försäkran om beskrivningen av en serviceorganisations system och lämpligheten i utformningen och driften av dess interna kontrollåtgärder genom en servicerevisionsrapport.

ISAE 3402 | SOC 1

I en ISAE 3402 | SOC 1-rapport definierar organisationer sina egna kontrollmål och kontroller och anpassar dem till kundernas behov. Omfattningen av en ISAE 3402 inkluderar vanligtvis alla operativa och finansiella kontroller som påverkar de finansiella rapporterna och allmänna IT-kontroller (t.ex. säkerhetshantering, fysisk och logisk säkerhet, ändringshantering, incidenthantering och systemövervakning). Med andra ord, om en organisation är värd för finansiell information som kan påverka kundens finansiella rapportering, är en ISAE 3402 | SOC 1-revisionsrapport det mest logiska för en organisation att sträva efter och kommer sannolikt att begäras. ITGC:er, operativa kontroller och finansiella kontroller granskas enligt ISAE 3402 | SOC 1-ramverket.

I en SOC 1-revision måste kontroller, som används för att korrekt representera intern kontroll över finansiell rapportering (ICOFR), inkluderas om organisationen är föremål för SEC-registreringar i USA.

Eftersom de viktigaste leverantörerna till finansinstitut var IT-tjänsteleverantörer och, i ett senare skede, leverantörer av molntjänster och leverantörer av datacenter/hosting har vunnit mark i IT-branschen, har SAS70, SSAE 18 SOC 1 och ISAE 3402 blivit den mest omfattande och transparenta standarden för IT-outsourcing och riskkompetens. Organisationer som kräver en ISAE 3402 | SOC 1-rapport överväger ofta ISAE 3000 | SOC 2-rapporter.

ISAE 3000 | SOC 2

ISAE 3000 och SOC 2-rapporter tillämpar principerna och kriterierna för förtroendetjänster (TSP). TSP:erna är en uppsättning specifika krav som utvecklats av AICPA och Canadian Institute of Chartered Accountants (CICA) för att ge försäkran om säkerhet, tillgänglighet, konfidentialitet, processintegritet och sekretess. En organisation kan välja de olika aspekter som är relevanta för kundens behov. En ISAE 3000- eller SOC 2-rapport kan omfatta en eller flera principer. Om din organisation är värd för eller behandlar andra typer av information för dina kunder som inte påverkar deras finansiella rapportering, är en ISAE 3000 | SOC 2 mer relevant. I det här fallet är dina kunder sannolikt oroliga för om du hanterar deras uppgifter på ett säkert sätt och om de är tillgängliga för dem enligt överenskommelse. En SOC 2-rapport utvärderar, i likhet med en SOC 1-rapport, interna kontroller, policyer och rutiner.

SOC 1 ELLER SOC 2?

Organisationer som bearbetar, hostar eller hanterar system eller information som påverkar den finansiella rapporteringen måste alltid tillhandahålla en ISAE 3402 | SOC 1. ISAE 3000 | SOC 2 gäller när alla system och processer inte är relaterade till finansiell rapportering. Leverantörer av datacenter, IaaS, PaaS rapporterar vanligtvis hybrid, med både ISAE 3402 | SOC 1 för finansiella processer och system och ISAE 3000 | SOC 2 för icke-relaterade processer och system. Innehållet i de båda rapporterna kommer att vara identiskt.

apr252019

Expansion erhåller ISAE 3402 typ II-utlåtande

Vid expansion erhålls

ISAE 3402 Typ II Uttalande

Utrecht, 25 april 2019 – DMS-leverantören Expansion erhöll ISAE 3402 Type II-utlåtandet i januari 2019. Med hjälp av Securance får Expansions kunder en objektiv bekräftelse på att deras serviceprocesser är tillförlitliga. Avsluta Revisorer har utfört revisionen.

Digital arkivering och dokumenthantering

Expansion är en ledande leverantör av lösningar för digital arkivering och dokumenthantering. De erbjuder i allt högre grad sina lösningar i molnet. Expansion gör det möjligt för organisationer att helt lägga ut hanteringen av sin kritiska affärsinformation på entreprenad. För att försäkra kunderna och deras revisorer om att vi uppfyller de högsta standarderna för informationssäkerhet beslutade Expansion att skaffa ett ISAE 3402 Type II-utlåtande.

Implementering & revision

Securance och Conclude Accountants stödde Expansion under andra halvåret 2018 med implementeringen av ISAE 3402-rapporten och granskade olika aspekter: Är serviceorganisationens beskrivning korrekt? Är de definierade kontrollåtgärderna tillräckligt utformade? Uppnår kontrollåtgärderna Expansions mål på ett effektivt sätt? Slutsats Revisorerna fick bekräftelse på dessa aspekter under revisionen, vilket möjliggjorde utfärdandet av ISAE 3402 typ II-uttalandet.

Omfattande urval

Expansion valde Securance och Conclude Accountants för att leda processen, främst på grund av deras långa erfarenhet inom detta område.

Kontinuerlig process
Expansion upplevde samarbetet som mycket konstruktivt och bidrog till att lyfta företagets tjänster till ännu högre och mer konsekventa nivåer. Att erhålla ISAE 3402 Type II-utlåtandet är inte slutet för Expansion utan en del av en pågående förbättringsprocess, där Securance kommer att fortsätta att bidra. De första förberedelserna inför den kommande revisionen har redan gjorts.

Om expansion

Med standard DMS Xtendis är Expansion en av marknadsledarna i Nederländerna inom digital arkivering och dokumenthantering. Xtendis används allt oftare som en molntjänst. Xtendis används i Nederländerna av mer än 650 organisationer för olika tillämpningar, bland annat digitala personalakter, orderakter, fakturahantering, kundakter och posthantering. Xtendis låser upp totalt över 2,6 miljarder dokument för mer än 4 miljoner användare.

aug172018

COSO Enterprise Risk Management

COSO Enterprise Risk Management

När en organisation strävar efter att uppnå sina mål måste den ta itu med risker som hotar dessa mål och hantera dem. För detta ändamål har COSO definierat olika delar av ett internt kontrollsystem. COSO-modellen beskriver det direkta sambandet mellan:

  1. Organisatoriska mål;
  2. Kontrollkomponenter;
  3. De aktiviteter/avdelningar som kräver intern kontroll.
  4. COSO identifierar sambanden mellan företagets risker och det interna kontrollsystemet. COSO verkar med utgångspunkten att intern kontroll är en process som syftar till att säkerställa att mål inom följande kategorier uppnås:
  5. Uppnå strategiska mål (Strategi);
  6. Effektivitet och ändamålsenlighet i verksamhetsprocesserna (Verksamhet);
  7. Tillförlitligheten i den finansiella rapporteringen (Rapportering);
  8. Efterlevnad av relevanta lagar och förordningar (Compliance).

Vidare måste organisationer visa för investerare och andra intressenter att de hanterar osäkerheter på ett korrekt sätt (Code Tabaksblat och Sarbanes-Oxley Act). I Risklane-metoden för Enterprise Risk Management (ERM) identifieras risker och deras konsekvenser beskrivs i detalj. Risklane använder de senaste standarderna, metoderna och teknikerna inom riskhantering för detta ändamål.

aug62018

Vad passar min organisation bäst? SOC 1 or SOC 2?

Vad passar min organisation bäst?

SOC 1 eller SOC 2?

SSAE18-standarden (AICPA) från USA omfattar två typer av rapporter; en Service Organization Control Report 1 (SOC 1) och en Service Organization Control Report 2 (SOC 2). Denna terminologi används i allt större utsträckning internationellt. En ISAE 3402-rapport är inom denna terminologi en SOC 1-rapport, en ISAE 3000-rapport är en SOC 2-rapport.

En ISAE 3402-rapport är en rapport om hur tjänsteleverantören hanterar risker i de processer som är outsourcade. Outsourcing, och mer specifikt finansiella processer, utgör ramen för denna rapport. Ett alternativ till denna rapport är SOC 2-rapporten där outsourcing inte är det primära ramverket, utan snarare informationssäkerhet. Kriterierna för informationssäkerhet och integritet ingår i Trust Service Criteria. Kriterier relaterade till säkerhet, integritet, tillgänglighet och konfidentialitet. Dessutom finns en SOC 3-rapport.

Behöver jag en SOC 1?

En Service Organization Control 1 är en revision av interna kontroller med fokus på att säkra kunddata. SOC 1-revisioner utförs i enlighet med Statement on Standards for Attestation Engagements No. 16 (SSAE 16). En SOC 1 innehåller kontrollmål som används för intern kontroll över den finansiella rapporteringen. De finansiella rapporterna utgör således ramen för denna rapport. Detta innebär att alla processer är utformade för att säkerställa att alla uppgifter i de finansiella rapporterna är korrekta och fullständiga.

Med andra ord: om du behandlar eller är värd för data som är relaterade till en finansiell process, är SOC 1 tillämplig.

Behöver jag en SOC 2?

Om du behandlar eller är värd för data som inte påverkar dina kunders finansiella rapporter, är SOC 2 tillämpligt. I det här fallet är dina kunder främst intresserade av om du hanterar informationssäkerhet och integritet på rätt sätt.

I en SOC 2-rapport, som liknar en SOC 1-rapport, ingår åtgärder för intern kontroll.

Vilken typ av rapport är bäst för mig nu: SOC 1 eller SOC 2?

En viktig skillnad är att sekretess inte är obligatoriskt i en SOC 1 och i en SOC 2 baserat på Trust Service Criteria är det. Om du har kunder som faller inom båda kategorierna finns det en rimlig chans att du kommer att bli ombedd att tillhandahålla båda. Du kan avgöra om du behöver en SOC 1- eller SOC 2-rapport för att uppfylla behoven hos en mängd olika kunder. Risklane erbjuder ett unikt online-revisionsverktyg (ControlReports) som hjälper dig att integrera SOC 1- och SOC 2-revisionerna, vilket resulterar i två separata rapporter. Utan extra kostnad.

Om du vill ha mer information om effekterna av SOC 1 (ISAE 3402), SOC 2 (ISAE3000) för din organisation, vänligen kontakta Securance (+31) 030 2800888.