SOC 1 & SOC 2
Den primära och allmänt använda termen för serviceorganisationer som rapporterar om tredjepartsrisker till användarorganisationer är Systems and Organization Control Report, ofta kallad SOC-rapporten. Denna term introducerades av American Institute of Certified Public Accountants (AICPA) som en ersättning för SAS70-ramverket.
Tidigare kallades dessa för Service Organization Control-rapporter. SOC omfattar en rad rapporter som har sitt ursprung i USA. ISAE 3402 är anpassad till den amerikanska standarden Statement on Standards for Attestation Engagements (SSAE) 18. En ISAE 3402-rapport ger en försäkran om en serviceorganisations systembeskrivning och lämpligheten av dess kontrolldesign och operativa effektivitet som presenteras i en servicerevisionsrapport.
ISAE 3402 | SOC 1: I en ISAE 3402 | SOC 1-rapport fastställer organisationer sina egna kontrollmål och kontroller och anpassar dem till kundkrav. Omfattningen av en ISAE 3402-rapport inkluderar vanligtvis alla operativa och finansiella kontroller som påverkar de finansiella rapporterna, liksom allmänna IT-kontroller (t.ex. säkerhetshantering, fysisk och logisk säkerhet, ändringshantering, incidenthantering och systemövervakning). Om en organisation är värd för finansiell information som kan påverka kundens finansiella rapportering är en ISAE 3402 | SOC 1-revisionsrapport det mest logiska valet och efterfrågas ofta. ITGC:er, operativa kontroller och finansiella kontroller omfattas av en ISAE 3402 | SOC 1-revision.
SOC 1: I en SOC 1-revision krävs kontrollmål som är väsentliga för att korrekt återge den interna kontrollen över den finansiella rapporteringen (ICOFR). Organisationer som är föremål för SEC-filing i USA inkluderar vanligtvis dessa mål.
Med tanke på hur viktiga leverantörer av IT-tjänster, molntjänster och datacenter/housing är som nyckelleverantörer till finansinstitut har standarder som SAS70, SSAE 18 SOC 1 och ISAE 3402 fått en framträdande roll inom IT-branschen. De har blivit de mest omfattande och transparenta standarderna för effektiv IT-outsourcing och riskhantering. Organisationer som söker en ISAE 3402 | SOC 1-rapport överväger ofta ISAE 3000 | SOC 2-rapporter.
ISAE 3000 | SOC 2: I ISAE 3000 | SOC 2-rapporter tillämpas Trust Services Principles and Criteria (TSP). Dessa TSP:er består av specifika krav som utvecklats av AICPA och Canadian Institute of Chartered Accountants (CICA) för att ge försäkran om säkerhet, tillgänglighet, konfidentialitet, processintegritet och integritet. En organisation kan välja de specifika aspekter som överensstämmer med kundernas behov. En ISAE 3000- eller SOC 2-rapport kan omfatta en eller flera principer. När en organisation hanterar olika typer av information för kunder som inte påverkar den finansiella rapporteringen är en ISAE 3000- eller SOC 2-rapport mer relevant. I sådana fall är kunderna i första hand angelägna om att deras uppgifter hanteras på ett säkert sätt och är tillgängliga i enlighet med vad som anges i deras avtal. En SOC 2-rapport, precis som en SOC 1-rapport, utvärderar interna kontroller, policyer och rutiner.
SOC 1 eller SOC 2: Organisationer som hanterar, bearbetar eller är värd för system eller information som påverkar den finansiella rapporteringen bör alltid tillhandahålla en ISAE 3402 | SOC 1-rapport. ISAE 3000 | SOC 2 är lämplig när alla system och processer inte är relaterade till finansiell rapportering. Leverantörer av datacenter, IaaS-leverantörer (Infrastructure as a Service) och PaaS-leverantörer (Platform as a Service) utfärdar ofta hybridrapporter, som innehåller både en ISAE 3402 | SOC 1 för finansrelaterade processer och system och en ISAE 3000 | SOC 2 för icke-relaterade processer och system. Innehållet i de båda rapporterna är vanligtvis identiskt.