SOC 2 (System and Organization Controls 2) is een rapportageframework dat door de American Institute of Certified Public Accountants (AICPA) is ontwikkeld. Het biedt inzicht in de interne controles van een serviceorganisatie met betrekking tot informatiebeveiliging, beschikbaarheid, integriteit van verwerking, vertrouwelijkheid, en privacy.
Met een SOC 2-verklaring toon je aan ‘’in control’’ te zijn. SOC 2-rapporten zijn waardevol voor serviceorganisaties omdat ze aantonen dat de organisatie sterke interne controles heeft om klantgegevens te beschermen. Dit is vooral belangrijk voor organisaties die cloud computing, software-as-a-service (SaaS), of andere diensten aanbieden waarbij klantgegevens worden verwerkt.
Voorbeelden van organisaties waar een SOC 2 rapportage waardevol kan zijn:
SOC 2 en ISO 27001 beoordelen beide informatiebeveiliging, maar vanuit een andere invalshoek. ISO 27001 kijkt naar het totale ISMS, terwijl SOC 2 ingaat op de werking van specifieke controls met betrekking tot beveiliging, beschikbaarheid, en privacy. Een SOC 2 rapport volgt de Trusted Services Criteria van de AICPA, waarbij de nadruk ligt Security, Availability, Processing Integrity, Confidentiality en Privacy.
Bij een SOC 2 rapport komt de onafhankelijke Register Auditor (RE) of Register Accountant (RA) onderzoeken of de door jou opgestelde controls resulteren in het behalen van de Trusted Services Criteria. De Trusted Services Criteria (TSC) zijn een set van criteria die zijn ontwikkeld door de American Institute of Certified Public Accountants (AICPA) voor gebruik in SOC 2-rapporten. Deze criteria zijn ontworpen om de veiligheid, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van de systemen en gegevens van serviceorganisaties te evalueren en te waarborgen. De vijf categorieën van de Trusted Services Criteria zijn:
Een SOC 2 rapportage bevat een systeembeschrijving waarin jij beschrijft wat het object van onderzoek is. Hierin kan je jullie dienst beschrijven, welke processen en procedures er zijn ten behoeve van informatiebeveiliging, cybersecurity en privacy en hoe je organisatie is opgebouwd in termen van infrastructuur, software, procedures, mensen en data.
Nulmeting
We zullen gezamenlijk onderzoeken welk type assurance (SOC 2 of ISAE) verklaring passend is bij jouw situatie. Past een SOC 2 verklaring het beste bij jouw organisatie, dan starten we met een nulmeting waarin we jouw huidige beveiligingsmaatregelen toetsen aan de vijf Trusted Services Criteria: security, availability, processing integrity, confidentiality, en privacy. We identificeren eventuele tekortkomingen en stellen een stappenplan op om deze te verhelpen. Dit plan omvat onder andere het formaliseren van beveiligingsprocedures, het versterken van toegangscontroles en het verbeteren van audit-trails.
Implementatie
Tijdens de implementatie helpen wij jou met het beschrijven van de systeembeschrijving en controls. Tevens helpen wij met het opvullen van de bestaande gaps.
Type 1
We begeleiden je tijdens de Type 1 controle waarin een EDP-auditor (RE) de documentatiebeoordeling uitvoert. Dit noemen we ook wel de “opzet en bestaan” van de controls. De bevindingen uit de beoordeling lossen we samen met je op. De SOC 2 type 1 verklaring wordt vervolgens uitgereikt.
Bewijslast
Bij een SOC 2 Type 2 verklaring is het nodig om gedurende minimaal 6 maanden controles uit te voeren en registraties op te bouwen. Wij helpen je bij dit proces, waarbij we planmatig alle noodzakelijke registraties verzorgen.
Type 2
We ondersteunen je tijdens de Type 2 beoordeling, waarin de EDP-auditor haar beoordeling van de werking van de controls. De bevindingen uit deze beoordeling lossen samen met je op. De SOC 2 type 2 verklaring wordt vervolgens uitgereikt.
Schakel binnen 24 uur met onze consultants.
