Skip to the content

SOC 2

SOC 2 audit

Steeds meer bedrijven maken gebruik van IT-service organisaties voor hun geautomatiseerde gegevensverwerking. Gezien het toenemende belang van informatiebeveiliging gaan steeds meer bedrijven aan diezelfde serviceorganisaties vormen van assurance vragen. Hierdoor ontstaat een groeiende behoefte aan een rapportageformat specifiek voor IT-serviceorganisaties.

SOC 2 rapportage

De afkorting SOC staat voor Service Organization Control (report). Een SOC 2-rapport is een assurance rapport over interne beheersing bij IT-service organisaties, bedoeld voor de klanten van de serviceorganisatie en hun toezichthouders.

Een SOC 2 rapportage bestaat in 2 varianten:

  1. Bij de SOC 2 type 1 Assurance wordt gekeken naar de manier waarop de organisatie van plan is haar processen en controles te laten verlopen en vormt een momentopname.
  2. De SOC 2 Type 2 Assurance is een jaarlijks terugkerende controle waarbij gekeken wordt of voldaan is aan de afgesproken processen en controles en heeft betrekking op een periode.      
                                                                                                          

Een SOC 2-rapport bevat de volgende elementen: 

  • Sectie I: Vermelding van het management
  • Sectie II: Assurance-rapport van de onafhankelijke auditor
  • Sectie III: Beschrijving van het systeem door de serviceorganisatie
  • Sectie IV: Gehanteerde beginselen en criteria en de door de auditor gevoerde testwerkzaamheden inclusief de uitkomst daarvan (optioneel bij een type I rapport)
  • Sectie V: Overige informatie verschaft door de serviceorganisatie die niet is onderzocht door de auditor (optioneel)

 

SOC 2 vs. ISAE 3402

Voor een ISAE 3402 rapportage is de jaarrekening het uitgangspunt. Voor een SOC 2-rapportage is niet de jaarrekening, maar de Trust Service Principles (TSP) het uitgangspunt. Dit is regelgeving uit de Verenigde Staten op het gebied van beveiliging, beschikbaarheid, integriteit van processen, vertrouwelijkheid en privacy.

Uiteindelijk is de vraag van de opdrachtgever (de gebruikersorganisatie) doorslaggevend voor welke rapportage gekozen wordt. Wat vraagt de opdrachtgever en waar wil de klant zekerheid over en met welk doel. Een assurance rapportage is nooit een verplichting, maar kan leiden tot een effectievere samenwerking en meer vertrouwen tussen leverancier en klant.

Wat kan 2-Control voor u betekenen?

Wilt u een SOC-audit laten uitvoeren of informatie over deze verklaring? Onze geaccrediteerde IT-auditors komen graag met u in contact. Laat uw gegevens achter in het contactformulier hiernaast en wij nemen contact met u op.

Contact

Vragen over IT beveiliging, privacy, AVG, autorisaties in Dynamics NAV of iets anders? Wij helpen u graag.