ISAE 3000 | SOC 2 och ISO 27001
ISAE 3402 | SOC 2
ISAE 3000 | SOC 2 är den internationella standarden för säkerhet och annan icke-finansiell information. ISAE 3402 tillämpas när det finns outsourcing som omfattar finansiell information som behandlas av serviceorganisationen. Om detta inte är fallet kan SOC 2 användas, till exempel när endast de allmänna IT-kontrollerna (GITC) ingår i SOC-rapportens omfattning. SOC 2-standarden innehåller inte bestämmelser om intern kontroll, till exempel COSO-ramverket. Därför är dessa komponenter inte obligatoriska i en SOC 2-rapport. I USA är standarderna för SOC 2-rapporter Trust Services Criteria och SSAE 18, som innehåller specifika krav för GITC i serviceorganisationer. Om en SOC 2-rapport upprättas i enlighet med Trust Services Criteria är dessa komponenter obligatoriska.
ISO 27001
Informationssäkerhet är viktigt för alla företag. ISO 27001-standarden är ett internationellt ramverk för informationssäkerhet. ISO 27001 kan användas för att fastställa informationssäkerhet. Risklane har över 10 års erfarenhet av att bygga upp strukturer för riskhantering, informationssäkerhet och processförbättring. Informationssäkerhet måste alltid ha ett mervärde som gör organisationen mer lätthanterlig, och ISO 27001 ger möjligheter till nya kunder.
Vilken passar bäst för er?
Båda standarderna är avsedda att ge era kunder trygghet. Det finns tre viktiga faktorer att ta hänsyn till när det gäller vad som passar era kunder bäst:
- Har era kunder specifikt begärt eller gett mandat för en av de två standarderna?
- Var finns era kunder?
- Inom vilka sektorer är era kunder aktiva?
Kunderna föredrar den standard som de är mer bekanta med. Europeiska kunder tenderar att föredra ISO 27001, medan SOC 2 föredras i USA. Sektorn för finansiella tjänster föredrar SOC 2, vilket ligger i linje med deras fokus på operativ effektivitet och härrör från den redovisningspraxis som är tillämplig på deras verksamhet och rättsliga krav i vidare bemärkelse.
Det är bäst att diskutera tillvägagångssättet med befintliga kunder och/eller eventuella potentiella kunder. På så sätt blir ni inte överraskade och kan göra ett välgrundat val.