Skip to main content
ISAE 3402

Wat past beter? Een SOC 1 of een SOC 2?

De algemene en meest voorkomende term voor rapportage over risico's van derden door serviceorganisaties aan gebruikersorganisaties is Systems and Organization Control Report of SOC-rapport. Deze term is afkomstig van het American Institute of Certified Public Accountants (AICPA) als vervanging voor het SAS70-framework.

 

Deze werden voorheen Service Organization Control-rapporten genoemd. SOC is een reeks rapporten die zijn oorsprong vindt in de VS. ISAE 3402 sluit aan bij de Amerikaanse Statement on Standards for Attestation Engagements (SSAE) 18 Amerikaanse norm. Een ISAE 3402-rapport verschaft zekerheid over de beschrijving van een serviceorganisatie van haar systeem en de geschiktheid van de opzet en werking van haar interne beheersingsmaatregelen door middel van een Service Auditor's Report.

 

ISAE 3402 | SOC 1

In een ISAE 3402 | SOC 1-rapport definiëren organisaties hun eigen controledoelstellingen en controles en stemmen deze af op de behoeften van de klant. De reikwijdte van een ISAE 3402 omvat doorgaans alle operationele en financiële controles die van invloed zijn op de financiële overzichten en de algemene IT-controles (bijvoorbeeld beveiligingsbeheer, fysieke en logische beveiliging, wijzigingsbeheer, incidentbeheer en systeembewaking en. woorden, als een organisatie financiële informatie host die van invloed kan zijn op de financiële rapportage van uw klant, dan is een ISAE 3402 | SOC 1-auditrapport het meest logisch voor een organisatie om na te streven, en zal waarschijnlijk worden aangevraagd. De ITGC's, operationele controles en financiële controles zijn in het kader van de ISAE 3402 | SOC 1-audit.

 

In een SOC 1 auditcontrole moeten doelstellingen, die worden gebruikt om de interne controle over financiële rapportage (ICOFR) nauwkeurig weer te geven, worden opgenomen als de organisatie onderworpen is aan SEC-deponeringen in de VS.

 

Sinds de meest importleveranciers aan financiële instellingen waar IT-serviceproviders en in een later stadium Cloud Service-providers en datacenter- / huisvestingsproviders de SAS70, SSAE 18 SOC 1 en ISAE 3402 terrein hebben gewonnen in de IT-industrie en de meest uitgebreide en transparante standaard IT-outsourcing en risico-excellentie. Organisaties die een ISAE 3402 | SOC 1-rapportage nodig hebben, overwegen vaak ISAE 3000 | SOC 2-rapporten.

 

ISAE 3000 | SOC 2

In ISAE 3000 | SOC 2-rapporten worden de Trust Services Principles and Criteria (TSP's) toegepast. De TSP's zijn een reeks specifieke vereisten die zijn ontwikkeld door de AICPA en Canadian Institute of Chartered Accountants (CICA) om zekerheid te bieden over beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy. Een organisatie kan de verschillende aspecten kiezen die relevant zijn voor de behoeften van hun klant. Een ISAE 3000 | SOC 2-rapportage kan betrekking hebben op een of meer principes. Als uw organisatie andere soorten informatie voor uw klanten host of verwerkt die geen invloed hebben op hun financiële rapportage, dan is een ISAE 3000 | SOC 2 relevanter. In dit geval maken uw klanten zich waarschijnlijk zorgen of u hun gegevens op een veilige manier behandelt en of deze voor hen beschikbaar zijn op de manier die u hebt afgesproken. Een SOC 2-rapport, vergelijkbaar met een SOC 1-rapport, evalueert interne controles, beleid en procedures.

 

SOC 1 OF SOC 2?

Organisaties die systemen of informatie die van invloed zijn op financiële rapportage verwerken, hosten of beheren, moeten altijd een ISAE 3402 | SOC 1 verstrekken. ISAE 3000 | SOC 2 is van toepassing als alle systemen en processen geen verband houden met financiële rapportage. Datacenter-, IaaS-, Paas-providers rapporteren doorgaans hybride, met zowel een ISAE 3402 | SOC 1 voor financiële processen en systemen als ISAE 3000 | SOC 2 voor niet-gerelateerde processen en systemen. De inhoud van beide rapporten zal identiek zijn.