Vad passar bäst?
En
SOC 1 eller en SOC 2?
Den allmänna termen för tredjepartsriskrapportering från serviceorganisationer till användarorganisationer är Systems and Organization Control Report eller SOC-rapport. Denna term kommer från American Institute of Certified Public Accountants (AICPA) som en ersättning för SAS70-ramverket.
Dessa kallades tidigare för Service Organization Control-rapporter. SOC är en serie rapporter som har sitt ursprung i USA. ISAE 3402 är anpassad till den amerikanska standarden Statement on Standards for Attestation Engagements (SSAE) 18. En ISAE 3402-rapport ger en försäkran om beskrivningen av en serviceorganisations system och lämpligheten i utformningen och driften av dess interna kontrollåtgärder genom en servicerevisionsrapport.
ISAE 3402 | SOC 1
I en ISAE 3402 | SOC 1-rapport definierar organisationer sina egna kontrollmål och kontroller och anpassar dem till kundernas behov. Omfattningen av en ISAE 3402 inkluderar vanligtvis alla operativa och finansiella kontroller som påverkar de finansiella rapporterna och allmänna IT-kontroller (t.ex. säkerhetshantering, fysisk och logisk säkerhet, ändringshantering, incidenthantering och systemövervakning). Med andra ord, om en organisation är värd för finansiell information som kan påverka kundens finansiella rapportering, är en ISAE 3402 | SOC 1-revisionsrapport det mest logiska för en organisation att sträva efter och kommer sannolikt att begäras. ITGC:er, operativa kontroller och finansiella kontroller granskas enligt ISAE 3402 | SOC 1-ramverket.
I en SOC 1-revision måste kontroller, som används för att korrekt representera intern kontroll över finansiell rapportering (ICOFR), inkluderas om organisationen är föremål för SEC-registreringar i USA.
Eftersom de viktigaste leverantörerna till finansinstitut var IT-tjänsteleverantörer och, i ett senare skede, leverantörer av molntjänster och leverantörer av datacenter/hosting har vunnit mark i IT-branschen, har SAS70, SSAE 18 SOC 1 och ISAE 3402 blivit den mest omfattande och transparenta standarden för IT-outsourcing och riskkompetens. Organisationer som kräver en ISAE 3402 | SOC 1-rapport överväger ofta ISAE 3000 | SOC 2-rapporter.
ISAE 3000 | SOC 2
ISAE 3000 och SOC 2-rapporter tillämpar principerna och kriterierna för förtroendetjänster (TSP). TSP:erna är en uppsättning specifika krav som utvecklats av AICPA och Canadian Institute of Chartered Accountants (CICA) för att ge försäkran om säkerhet, tillgänglighet, konfidentialitet, processintegritet och sekretess. En organisation kan välja de olika aspekter som är relevanta för kundens behov. En ISAE 3000- eller SOC 2-rapport kan omfatta en eller flera principer. Om din organisation är värd för eller behandlar andra typer av information för dina kunder som inte påverkar deras finansiella rapportering, är en ISAE 3000 | SOC 2 mer relevant. I det här fallet är dina kunder sannolikt oroliga för om du hanterar deras uppgifter på ett säkert sätt och om de är tillgängliga för dem enligt överenskommelse. En SOC 2-rapport utvärderar, i likhet med en SOC 1-rapport, interna kontroller, policyer och rutiner.
SOC 1 ELLER SOC 2?
Organisationer som bearbetar, hostar eller hanterar system eller information som påverkar den finansiella rapporteringen måste alltid tillhandahålla en ISAE 3402 | SOC 1. ISAE 3000 | SOC 2 gäller när alla system och processer inte är relaterade till finansiell rapportering. Leverantörer av datacenter, IaaS, PaaS rapporterar vanligtvis hybrid, med både ISAE 3402 | SOC 1 för finansiella processer och system och ISAE 3000 | SOC 2 för icke-relaterade processer och system. Innehållet i de båda rapporterna kommer att vara identiskt.
