SOC 2 (System and Organization Controls 2) is een rapportageframework dat door de American Institute of Certified Public Accountants (AICPA) is ontwikkeld. Het biedt inzicht in de interne controles van een serviceorganisatie met betrekking tot informatiebeveiliging, beschikbaarheid, integriteit van verwerking, vertrouwelijkheid, en privacy.
Met een SOC 2-verklaring toon je aan ‘’in control’’ te zijn. SOC 2-rapporten zijn waardevol voor serviceorganisaties omdat ze aantonen dat de organisatie sterke interne controles heeft om klantgegevens te beschermen. Dit is vooral belangrijk voor organisaties die cloud computing, software-as-a-service (SaaS), of andere diensten aanbieden waarbij klantgegevens worden verwerkt.
Voorbeelden van organisaties waar een SOC 2 rapportage waardevol kan zijn:
TEKST NOG AANPASSEN
Zowel een SOC 2 rapport als een ISO 27001 certificering tonen een onafhankelijke beoordeling van beheersmaatregelen aan. Echter is de wijze van controle, rapportage en het eindproduct verschillend. Het grootste verschil is dat ISO 27001:2022 een standaard is dat zich richt op het vaststellen, implementeren, onderhouden en continu verbeteren van een gedocumenteerd systeem voor informatiebeveiliging binnen een organisatie. SOC 2 rapportages zijn rapportages die uiteenzetten hoe jij als organisatie staat tegenover de Trusted Services Criteria.
Bij een SOC 2 rapport komt de onafhankelijke Register Auditor (RE) of Register Accountant (RA) onderzoeken of de door jou opgestelde controls resulteren in het behalen van de Trusted Services Criteria. De Trusted Services Criteria (TSC) zijn een set van criteria die zijn ontwikkeld door de American Institute of Certified Public Accountants (AICPA) voor gebruik in SOC 2-rapporten. Deze criteria zijn ontworpen om de veiligheid, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van de systemen en gegevens van serviceorganisaties te evalueren en te waarborgen. De vijf categorieën van de Trusted Services Criteria zijn:
Een SOC 2 rapportage bevat een systeembeschrijving waarin jij beschrijft wat het object van onderzoek is. Hierin kan je jullie dienst beschrijven, welke processen en procedures er zijn ten behoeve van informatiebeveiliging, cybersecurity en privacy en hoe je organisatie is opgebouwd in termen van infrastructuur, software, procedures, mensen en data.
Nulmeting
We zullen gezamenlijk onderzoeken welk type assurance verklaring passend is bij jouw situatie. Tijdens de nulmeting kijken we naar welke maatregelen op het gebied van informatiebeveiliging, cybersecurity en privacy al geïmplementeerd en beschreven zijn. Vanuit daar stellen we het eigen beheersdoelstellingen en beheersmaatregelen kader op voor de Assurance verklaring. Ontbreken er nog bepaalde maatregelen? Dan wordt er ook nog een plan van aanpak opgesteld om dit te implementeren. We stellen een concreet projectplan op met daarin een heldere planning en rolverdeling. Zo weet je als organisatie precies waar je aan toe bent.
Implementatie
Tijdens de implementatie helpen wij jou met het beschrijven van de systeembeschrijving en controls. Tevens helpen wij met het opvullen van de bestaande gaps.
Type 1
We begeleiden je tijdens de Type 1 controle waarin een EDP-auditor (RE) de documentatiebeoordeling uitvoert. Dit noemen we ook wel de “opzet en bestaan” van de controls. De bevindingen uit de beoordeling lossen we samen met je op. De SOC 2 type 1 verklaring wordt vervolgens uitgereikt.
Bewijslast
Bij een SOC 2 Type 2 verklaring is het nodig om gedurende minimaal 6 maanden controles uit te voeren en registraties op te bouwen. Wij helpen je bij dit proces, waarbij we planmatig alle noodzakelijke registraties verzorgen.
Type 2
We ondersteunen je tijdens de Type 2 beoordeling, waarin de EDP-auditor haar beoordeling van de werking van de controls. De bevindingen uit deze beoordeling lossen samen met je op. De SOC 2 type 2 verklaring wordt vervolgens uitgereikt.
Schakel binnen 24 uur met onze consultants.
