Kategori: Cybersäkerhet

Vilka är kraven för en SOC 1-rapport?

Vilka är kraven

för en SOC 1-rapport?

För certifiering behöver er organisation en rapport som beskriver dess riskhantering och interna kontroll. Denna rapport kallas också Service Organization Control Report (SOC), en terminologi som härstammar från USA (AICPA). Om en SOC-rapport gäller outsourcad verksamhet kallas den SOC 1 (US) eller ISAE 3402-rapport. Om rapporten avser certifiering enligt en specifik standard (t.ex. Trust Service Principles) kallas den SOC 2- eller ISAE 3000-rapport. En ISAE 3000-rapport kan också utarbetas för efterlevnad av den allmänna dataskyddsförordningen (GDPR).

Kraven framgår av standarden, som kan laddas ner från IFAC:s webbplats.

I stort sett består standarden av följande delar.

För att bli ”certifierad” enligt ISAE 3402 måste en organisation ha en kontrollrapport för serviceorganisationer (SOC). En SOC är formfri, vilket innebär att standarden inte föreskriver något specifikt innehåll. Olika ”praxis” har dock vuxit fram. Det finns också krav på rapporter från enheter som De Nederlandsche Bank, branschinstitut eller serviceorganisationerna själva. En SOC-rapport är vanligtvis uppdelad i två delar: en allmän del med en beskrivning av organisationen, riskhanterings- och internkontrollsystemet samt en ”kontrollmatris”. Kontrollmatrisen innehåller kontrollmålen och en beskrivning av de kontrollåtgärder som säkerställer dessa mål. Det yttersta ramverket för ISAE 3402-rapporten är den finansiella rapporten. Alla processer som väsentligt påverkar de finansiella processerna måste inkluderas. I allmänhet är dessa alla operativa, finansiella processer och de allmänna IT-kontrollerna.

ISAE 3402 Type I eller Type II?

Det finns två typer av rapporter: en Type I- och en Type II-rapport. En Type I-rapport ger en ögonblicksbild av kontrollorganisationen vid en enda tidpunkt. Under revisionen bedömer revisorn kontrollåtgärderna endast utifrån deras utformning och förekomst. Detta innebär att revisorn granskar hela rapporten (SOC) och går igenom processerna en gång. I en Type II-rapport testar revisorn, förutom utformning och existens, även att kontrollåtgärderna fungerar på ett effektivt sätt. På grund av ISAE 3402:s inverkan på en organisation väljs det vanligtvis att börja med en Type I-rapport och implementera en Type II under den efterföljande perioden.

24

Värdet av ISAE 3000 | SOC 2 Assurance

Värdet av ISAE 3000 | SOC 2 Assurance

Vem kan förvänta sig värde från ISAE 3000 | SOC 2 Assurance?

ISAE 3000 | SOC 2 är särskilt utformad för tjänsteleverantörer som lagrar kunddata i molnet. Detta innebär att ISAE 3000 | SOC 2-försäkran kan ge mervärde till nästan alla SaaS-företag, liksom till alla organisationer som använder molnet för att lagra kundinformation.

ISAE 3000 | SOC 2 kräver att tjänsteleverantörer upprättar och följer strikta policyer och rutiner för informationssäkerhet, inklusive säkerhet, tillgänglighet, bearbetning, integritet och sekretess för kunddata. ISAE 3000 | SOC 2 säkerställer att en tjänsteleverantörs informationssäkerhetsåtgärder överensstämmer med gällande molnregler. I takt med att företag i allt högre grad använder molnet för att lagra kunddata blir efterlevnad av ISAE 3000 | SOC 2 en nödvändighet för ett stort antal organisationer som tillhandahåller molntjänster. ISAE 3000 | SOC 2-rapporten kan ge transparens och försäkran till olika intressenter.

ISAE 3000 | SOC 2-rapporten är unik

ISAE 3000 | SOC 2-kraven ger en tjänsteleverantör en viss grad av flexibilitet när det gäller att besluta hur man ska uppfylla Trust Services-kriterierna. Därför är ISAE 3000- och SOC 2-rapporter unika för varje enskild organisation. I grund och botten tittar tjänsteleverantören på ISAE 3000- och SOC 2-kraven, bestämmer vilka som är relevanta för deras organisation och definierar sedan sina egna kontroller för att uppfylla dessa krav. Tjänsteleverantören kan definiera ytterligare kontroller om det behövs och ignorera andra om de inte är relevanta för kärnverksamheten. ISAE 3000 | SOC 2-revisionen är revisorns bedömning av hur tjänsteleverantörens kontrollåtgärder uppfyller kraven.

ISAE 3000 | SOC 2 och ISO 27001

ISAE 3000 | SOC 2 och ISO 27001

ISAE 3402 | SOC 2

ISAE 3000 | SOC 2 är den internationella standarden för säkerhet och annan icke-finansiell information. ISAE 3402 tillämpas när det finns outsourcing som omfattar finansiell information som behandlas av serviceorganisationen. Om detta inte är fallet kan SOC 2 användas, till exempel när endast de allmänna IT-kontrollerna (GITC) ingår i SOC-rapportens omfattning. SOC 2-standarden innehåller inte bestämmelser om intern kontroll, till exempel COSO-ramverket. Därför är dessa komponenter inte obligatoriska i en SOC 2-rapport. I USA är standarderna för SOC 2-rapporter Trust Services Criteria och SSAE 18, som innehåller specifika krav för GITC i serviceorganisationer. Om en SOC 2-rapport upprättas i enlighet med Trust Services Criteria är dessa komponenter obligatoriska.

ISO 27001

Informationssäkerhet är viktigt för alla företag. ISO 27001-standarden är ett internationellt ramverk för informationssäkerhet. ISO 27001 kan användas för att fastställa informationssäkerhet. Risklane har över 10 års erfarenhet av att bygga upp strukturer för riskhantering, informationssäkerhet och processförbättring. Informationssäkerhet måste alltid ha ett mervärde som gör organisationen mer lätthanterlig, och ISO 27001 ger möjligheter till nya kunder.

Vilken passar bäst för er?

Båda standarderna är avsedda att ge era kunder trygghet. Det finns tre viktiga faktorer att ta hänsyn till när det gäller vad som passar era kunder bäst:

  • Har era kunder specifikt begärt eller gett mandat för en av de två standarderna?
  • Var finns era kunder?
  • Inom vilka sektorer är era kunder aktiva?

Kunderna föredrar den standard som de är mer bekanta med. Europeiska kunder tenderar att föredra ISO 27001, medan SOC 2 föredras i USA. Sektorn för finansiella tjänster föredrar SOC 2, vilket ligger i linje med deras fokus på operativ effektivitet och härrör från den redovisningspraxis som är tillämplig på deras verksamhet och rättsliga krav i vidare bemärkelse.

Det är bäst att diskutera tillvägagångssättet med befintliga kunder och/eller eventuella potentiella kunder. På så sätt blir ni inte överraskade och kan göra ett välgrundat val.

COSO 2013-ramverket

COSO 2013-ramverket

Den 15 december 2014 avslutades övergångsperioden för att anta ramverket COSO 2013. Vilka är de möjligheter och risker som uppstår i samband med denna övergång? COSO Internal Control Integrated Framework (ICIF) 2013 är en omfattande uppdatering av COSO ICIF 1992-modellen.