Etikett: ISAE 3000

Home / isae-3000-sv
nov12023

SOC 1 & SOC 2

SOC 1 & SOC 2

Den primära och allmänt använda termen för serviceorganisationer som rapporterar om tredjepartsrisker till användarorganisationer är Systems and Organization Control Report, ofta kallad SOC-rapporten. Denna term introducerades av American Institute of Certified Public Accountants (AICPA) som en ersättning för SAS70-ramverket.

Tidigare kallades dessa för Service Organization Control-rapporter. SOC omfattar en rad rapporter som har sitt ursprung i USA. ISAE 3402 är anpassad till den amerikanska standarden Statement on Standards for Attestation Engagements (SSAE) 18. En ISAE 3402-rapport ger en försäkran om en serviceorganisations systembeskrivning och lämpligheten av dess kontrolldesign och operativa effektivitet som presenteras i en servicerevisionsrapport.

ISAE 3402 | SOC 1: I en ISAE 3402 | SOC 1-rapport fastställer organisationer sina egna kontrollmål och kontroller och anpassar dem till kundkrav. Omfattningen av en ISAE 3402-rapport inkluderar vanligtvis alla operativa och finansiella kontroller som påverkar de finansiella rapporterna, liksom allmänna IT-kontroller (t.ex. säkerhetshantering, fysisk och logisk säkerhet, ändringshantering, incidenthantering och systemövervakning). Om en organisation är värd för finansiell information som kan påverka kundens finansiella rapportering är en ISAE 3402 | SOC 1-revisionsrapport det mest logiska valet och efterfrågas ofta. ITGC:er, operativa kontroller och finansiella kontroller omfattas av en ISAE 3402 | SOC 1-revision.

SOC 1: I en SOC 1-revision krävs kontrollmål som är väsentliga för att korrekt återge den interna kontrollen över den finansiella rapporteringen (ICOFR). Organisationer som är föremål för SEC-filing i USA inkluderar vanligtvis dessa mål.

Med tanke på hur viktiga leverantörer av IT-tjänster, molntjänster och datacenter/housing är som nyckelleverantörer till finansinstitut har standarder som SAS70, SSAE 18 SOC 1 och ISAE 3402 fått en framträdande roll inom IT-branschen. De har blivit de mest omfattande och transparenta standarderna för effektiv IT-outsourcing och riskhantering. Organisationer som söker en ISAE 3402 | SOC 1-rapport överväger ofta ISAE 3000 | SOC 2-rapporter.

ISAE 3000 | SOC 2: I ISAE 3000 | SOC 2-rapporter tillämpas Trust Services Principles and Criteria (TSP). Dessa TSP:er består av specifika krav som utvecklats av AICPA och Canadian Institute of Chartered Accountants (CICA) för att ge försäkran om säkerhet, tillgänglighet, konfidentialitet, processintegritet och integritet. En organisation kan välja de specifika aspekter som överensstämmer med kundernas behov. En ISAE 3000- eller SOC 2-rapport kan omfatta en eller flera principer. När en organisation hanterar olika typer av information för kunder som inte påverkar den finansiella rapporteringen är en ISAE 3000- eller SOC 2-rapport mer relevant. I sådana fall är kunderna i första hand angelägna om att deras uppgifter hanteras på ett säkert sätt och är tillgängliga i enlighet med vad som anges i deras avtal. En SOC 2-rapport, precis som en SOC 1-rapport, utvärderar interna kontroller, policyer och rutiner.

SOC 1 eller SOC 2: Organisationer som hanterar, bearbetar eller är värd för system eller information som påverkar den finansiella rapporteringen bör alltid tillhandahålla en ISAE 3402 | SOC 1-rapport. ISAE 3000 | SOC 2 är lämplig när alla system och processer inte är relaterade till finansiell rapportering. Leverantörer av datacenter, IaaS-leverantörer (Infrastructure as a Service) och PaaS-leverantörer (Platform as a Service) utfärdar ofta hybridrapporter, som innehåller både en ISAE 3402 | SOC 1 för finansrelaterade processer och system och en ISAE 3000 | SOC 2 för icke-relaterade processer och system. Innehållet i de båda rapporterna är vanligtvis identiskt.

nov12023

Fördelar: Förbättrad riskkontroll och transparens

Fördelar: Förbättrad riskkontroll och transparens

Organisationer får ofta förfrågningar från (potentiella) kunder om säkerhetsstandarder, med frågor om skillnaderna mellan ISAE 3402 (SOC 1), ISAE 3000 (SOC 2) och ISO 27001-revisioner. De försöker avgöra vilken standard som är mest lämplig för deras företag och väger fördelar och nackdelar med ISAE kontra ISO 27001. ISAE 3402 | SOC 1 och ISO 27001 är i själva verket väsentligt olika standarder med skilda tillämpningar. De främsta skillnaderna gäller rapporteringsformatet och själva revisionens karaktär.

Anmärkningsvärda fördelar:

  • Kompetens inom riskhantering
  • Ökat förtroende för marknaden
  • Effektiviserade revisionsprocesser
  • Förbättrade kontrollåtgärder

ISAE och säkerhet: ISAE 3402 är ett intyg som utförs av en oberoende auktoriserad revisor eller ett företag som bedömer information om system- och organisationskontroller (SOC) mot definierade revisionsmål eller kriterier. I en ISAE 3402 | SOC 1-rapport ingår allmänna IT-kontroller (ITGC) och följaktligen säkerhetsaspekter, men det primära fokuset kretsar kring finansiella förfaranden och kontroller. Å andra sidan fokuserar en ISAE 3000 | SOC 2-rapport på Trust Service Principles, som omfattar säkerhet, tillgänglighet och integritet. Den har fler gemensamma nämnare med ISO 27001. En väsentlig skillnad är att ISAE 3402 (SOC 1) och ISAE 3000 (SOC 2) är intygsrapporter, medan ISO 27001 är en certifiering.

ISO 27001: ISO 27001 är däremot en riskbaserad standard som är utformad för att upprätta, implementera och förbättra en organisations säkerhetsramverk eller ledningssystem för informationssäkerhet (ISMS). Detta säkerhetsramverk följer ISO- och IEC-standarderna och är validerat av oberoende certifieringsorgan.

Organisationen måste ha de förfaranden och kontroller som beskrivs i bilaga A i ISO 27001-ramverket på plats. Dessa rutiner och kontroller minskar riskerna på ett effektivt sätt och stärker därmed informationssäkerheten. ISO 27001 tillhandahåller ett omfattande system för att säkerställa informationssäkerhet, och alla organisationer som antar ISO 27001 bör ha ett ledningssystem för informationssäkerhet i drift.

Att välja mellan ISO 27001 och ISAE 3402 | SOC 1: Landskapet har utvecklats. ISO 27001 har traditionellt fungerat som guldstandard för informationssäkerhet. Med tanke på de ständigt föränderliga informationssäkerhetsriskerna söker dock många organisationer nu en högre grad av säkerhet när det gäller informationssäkerhet. ISO 27001 föreskriver en fast uppsättning kontroller, medan standarderna ISAE 3402 och ISAE 3000 är principbaserade. Detta innebär att kontrollerna inte kan vara strikt föreskrivna utan måste fungera effektivt. En revisor kommer att kvalificera ISAE 3402 | SOC 1 bestyrkandet om så inte är fallet. En ISAE 3402/3000-revision innebär en omfattande granskning som fokuserar på riskramverkets effektivitet i hanteringen av risker. Om riskerna inte hanteras på ett adekvat sätt kommer ISAE 3402-rapporten att avslöja denna brist. Denna nivå av transparens är avgörande i den föränderliga globala ekonomin och den ständigt föränderliga hotbilden.