Skip to the content

SOC 2 voor IT-service organisaties

SOC 2 audit

Wat is SOC 2?

Steeds meer bedrijven maken gebruik van IT-service organisaties voor hun geautomatiseerde gegevensverwerking. Om het vertrouwen van klanten te behouden in een veilige en betrouwbare verwerking is het voor IT-service organisaties van toegevoegde waarde om een onafhankelijk oordeel over deze kwaliteit te kunnen overleggen.Voor IT-service organisaties zijn hiervoor de internationaal erkende Service Organisatie Control (SOC 2) richtlijnen opgesteld. De SOC 2 norm is een vorm van assurance, specifiek voor IT-service organisaties en geeft richtlijnen en uitgangspunten voor het bepalen, in stellen en handhaven van maatregelen die IT-service organisaties normatief zouden moeten treffen ter beveiliging van de informatievoorziening.

SOC 2 biedt een service provider een uniforme mogelijkheid om klanten en de auditors van klanten inzicht te geven in de, op de service van toepassing zijnde, controlemaatregelen en -processen. In een SOC 2-onderzoek beoordeelt een onafhankelijke audit-organisatie de beheerdoelstellingen en -maatregelen van de service organisatie. In een formeel rapport wordt een verklaring van de auditor opgenomen. Hiermee geeft u bestaande en potentiële klanten inzicht in de kwaliteit van de IT-services die u biedt aan uw gebruikers.

De SOC 2 Assurancerapportage verschilt van andere, traditionele certificeringen omdat de SOC 2 Assurancerapportage uitgebreider is en deze jaarlijks wordt uitgevoerd door middel van een audit. Er bestaan twee type SOC 2 rapportages. Lees hier meer over SOC2 Type 1 en Type 2.

Onze SOC 2-audit ondersteuning 

2-Control biedt specialisten die u op korte termijn kunnen helpen met een SOC2 verklaring. Wij hebben jarenlange ervaring met het succesvol implementeren van SOC 2 trajecten bij IT-service organisaties. Onze organisatie bestaat uit een enthousiast team van geregistreerde IT-auditors (RE) die u graag zekerheid bieden over de inzet en kwaliteit van uw IT. 

Voordelen

  • De kwaliteit van uitbestede processen is gewaarborgd aan uw klanten.
  • U krijgt van een externe partij bevestigt dat uw organisatie goed beheerst wordt.
  • De accountant van een gebruikersorganisatie kan steunen op deze rapportage voor de audit van een jaarrekening.
  • Het is niet langer noodzakelijk dat opdrachtgevers auditors bij u langs stuurt.
  • Uw organisatie is 'in control' en dit draagt u uit naar (potentiële) klanten.

Onze aanpak 

Onze doelstelling is te komen tot een assurance verklaring over beveiliging, beschikbaarheid en privacy, zoals uiteengezet in de richtlijnen “SOC 2® Reporting on an Examination of Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy”, uitgegeven door het Assurance Services Executive Committee (ASEC) van de AICPA.

Om aan deze doelstelling te kunnen voldoen doorlopen wij met u de volgende fasen:

  1. Nulmeting:
    a. Afstemming van scope;
    b. Afstemming van normen:

  2. Beoordeling van beschrijving en opzet van beheersmaatregelen:
    a. Controleren van getrouw beeld van de beschrijving van het systeem;
    b. Vaststellen van opzet van beheersmaatregelen door o.a. interviews, bestuderen documentatie en maatregelen, waarneming, testen en steekproeven;
    c. Vergelijken werkelijkheid met normen;
    d. Kwaliteitsbeoordeling en rapporteren over opzet (SOC type 1 verklaring).

  3. Beoordeling van effectieve werking van beheersmaatregelen:
    a. Periodiek vaststellen van werking van beheersmaatregelen door o.a. interviews, waarneming, testen en steekproeven;
    b. Vergelijken werkelijkheid met normen;
    c. Kwaliteitsbeoordeling en rapporteren (SOC type 2 verklaring).

Verschillen SOC2 en ISO 27001

  • ISO 27001 is een security standaard, in deze standaard zijn richtlijnen opgenomen voor informatiebeveiliging van een organisatie. SOC2 is een audit standaard over uitbestede IT-processen. ISO 27001 heeft om die reden een beperkte toegevoegde waarde voor een accountant.
  • ISO 27001 kent ook geen toetsingskader, zoals SOC2 dat kent.
  • Een ISO audit leidt uiteindelijk tot een certificaat en SOC2 tot een assurance rapport.

Verschillen SOC2 en ISAE 3401

  • Het grote verschil is dat SOC2 toegespitst is op de uitbestede IT-processen van IT-service providers, terwijl ISAE 3402 gericht is op alle uitbestede processen van service organisaties. Dus niet alleen IT-processen, maar ook bijvoorbeeld financiële dienstverlening, zoals de uitvoering van een pensioenregeling.
  •  Verder kent SOC2 vast gedefinieerde beheersdoelstellingen m.b.t security, beschikbaarheid, vertrouwelijkheid, privacy en procesintegriteit. Bij ISAE 3402 worden de beheersdoelstellingen en -maatregelen gespecificeerd door de service organisatie zelf en is redelijk vormvrij; de standaard geeft richtlijnen en een redelijk generiek toetsingskader. 

Uiteindelijk is vaak de vraag van de opdrachtgever (de gebruikersorganisatie) doorslaggevend voor welke rapportage gekozen wordt. Wat vraagt de opdrachtgever en waar wil de klant zekerheid over en met welk doel? Een assurance rapportage is nooit een verplichting, maar kan leiden tot een effectievere samenwerking en meer vertrouwen tussen leverancier en klant.


Voor meer informatie over deze SOC 2 trajecten kunt u contact met ons opnemen via het telefoonnummer 076-50 194 70 of u kunt uw gegevens in onderstaand contactformulier invullen. Wij nemen dan zo spoedig mogelijk contact met u op.

Kom in contact met onze SOC 2 specialist!

Wij nemen uw privacy serieus (zie onze privacyverklaring). De gegevens die u hier achterlaat gebruiken wij enkel om contact met u op te nemen, tenzij u expliciet aangeeft dat u zich ook inschrijft voor de nieuwsbrief. 

'Voornaam' is een verplicht veld
'Achternaam' is een verplicht veld
Vul een geldig e-mailadres in

Contact

Vragen over IT beveiliging, privacy, AVG, autorisaties in Dynamics NAV of iets anders? Wij helpen u graag.