SOC 2
ISAE 3000 | SOC 2
ISAE 3000 | SOC 2 is de internationale standaard voor security en overige niet-financiële informatie. ISAE 3402 wordt toegepast als er sprake is van outsourcing waarbij financiële informatie wordt verwerkt door de serviceorganisatie. Indien dit niet het geval is, dan kan een SOC 2 worden gebruikt, bijvoorbeeld wanneer uitsluitend de General IT Controls (GITC's) in de reikwijdte van de SOC rapportage zijn opgenomen. In de SOC 2 standaard zijn geen voorschriften opgenomen voor de interne beheersing; bijvoorbeeld het COSO framework. Deze onderdelen zijn dan ook niet verplicht opgenomen in een SOC 2 rapportage. In de Verenigde Staten zijn de standaarden voor SOC 2 rapportages de Trust Services Criteria en SSAE 18, hierin zijn specifieke vereisten opgenomen voor GITC's bij service organisaties. Indien een SOC 2 rapport volgens de Trust Service Criteria is opgesteld, dan zijn deze onderdelen wel verplicht opgenomen.
In de SOC 2 rapportages die door Risklane zijn opgesteld is het risicobeheersingsysteem opgenomen wat betrekking heeft op informatiebeveiliging, beschikbaarheid van systemen, systeemintegriteit, vertrouwelijkheid en privacy. Bijvoorbeeld een SaaS provider levert een CRM applicatie. De gebruikersorganisatie wil weten of er voldoende security maatregelen zijn ingericht op het gebied van human resources, het operating systeem en fysieke beveiliging. De SaaS provider kan dan een SOC 2 rapportage gebruiken om hierover te rapporteren. Er wordt wel vertrouwelijke informatie verwerkt, maar geen informatie die uiteindelijk in de jaarrekening wordt opgenomen. Het rapport zal voornamelijk betrekking hebben op de General IT Controls.
De General IT Controls zijn de algemene maatregelen die van belang zijn om de betrouwbaarheid van de geautomatiseerde gegevensverwerking te kunnen waarborgen. De maatregelen hebben o.a. betrekking op de continuïteit, beveiliging, capaciteitsplanning, beschikbaarheid en privacy. Voor de inrichting van de General IT Controls wordt veelal gebruikgemaakt van de indeling van het CobiT 5 framework. Binnen CobiT wordt naast security in het algemeen, IT operations, business continuity, incidentmanagement, change management en probleemmanagement onderscheiden. Indien de primaire scope de General IT Controls zijn, maar bijvoorbeeld in het datacenter financiële informatie wordt verwerkt, dan is ISAE 3402 van toepassing.
Indien de processen die geoutsourcet zijn wel invloed hebben op de jaarrekening van de gebruikersorganisatie dan is ISAE 3402 van toepassing. Dit kan bijvoorbeeld het geval zijn indien een boekhoud applicatie wordt gehost of doordat processen in de productiesystemen uiteindelijk leiden tot een verkooptransactie in de jaarrekening. In dat geval zullen naast de General IT Controls ook de financiële controls zoals functiescheidingen beschreven moeten worden. Meer lezen over ISAE 3402.
SOC 2 kent net als ISAE 3402 twee soorten rapportages; een type I rapportage en een type II rapportage.
In de type I rapportage zijn de interne beheersingsmaatregelen opgenomen die op een bepaald moment aanwezig zijn. De accountant toetst bij een SOC 2 type I audit of deze maatregelen toereikend zijn voor het gestelde doel; de criteria die opgenomen zijn. Een type II rapport is identiek aan een SOC 2 type I rapportage, de audit is alleen uitgebreider.
Bij een type II audit wordt ook de effectieve werking van beheersmaatregelen getoetst. Dat betekent dat niet alleen getoetst wordt of maatregelen aanwezig zijn, maar ook of maatregelen gedurende een periode de doelstellingen zijn behaald. Dat betekent dat de auditor twee à drie keer per jaar deelwaarnemingen verricht om vast te stellen dat het systeem heeft gewerkt.
Een SOC 2 is uitgebreider en intensiever dan een ISO 27001 audit. Om die reden wordt SOC 2 gezien als een gedegen certificering voor security. SOC 2 is internationaal erkend en ook erkend door accountantsorganisatie. SOC 2 wordt door accountants van gebruikersorganisaties vaak geëist. Deze vraag komt mede voor een belangrijk deel voort uit technologische ontwikkeling. Organisaties steunen meer en meer op technologie en hebben vaak ook het bewaren van vertrouwelijke elektronische gegevens uitbesteed aan leveranciers. SOC 2 kent daarnaast een toetsingskader; de relevante norm voor de betreffende certificering.
VOORDELEN ISAE 3000 | SOC 2
- Internationaal erkend
- Gedegen standaard voor informatiebeveiliging
- Erkend door accountants
- Ondersteunt de organisatie bij professionalisering
SOC 2 schrijft specifieke eisen voor de auditor voor. Deze eisen betreffen onder andere ethische vereisten, kwaliteitseisen voor de uitvoering van de audit en formele procedures die gevolg moeten worden door de auditor. Het toetsingskader voor SOC 2 wordt bepaald door de relevante criteria, zoals bijvoorbeeld de Web Trust Principles. Indien een SOC 2 rapportage geen betrekking heeft op security, maar bijvoorbeeld op social responsibility of specifieke wetgeving, dan is bijvoorbeeld SA8000 of de AIFM van toepassing. SOC 2 eist dat de criteria die van toepassing zijn beschreven worden en dat het management verklaart dat zij deze eisen heeft toegepast.
TOEGEVOEGDE WAARDE
De methode van Risklane is gericht op minimale verstoring van de activiteiten van opdrachtgevers en het leveren van toegevoegde waarde. Daarnaast streven wij naar een zo effectief mogelijk aanpak (doelstellingen bereiken) tegen zo laag mogelijke kosten voor u (efficiëntie).
FASERING
Het proces van een SOC 2 implementatie is globaal onderverdeeld in zes fasen. In Fase 1: de impact analyse en planning brengen wij relevante risico's in kaart, bepalen wij samen met u de reikwijdte van de rapportage en uw interne beheersingssysteem. Na de impactanalyse zullen wij medewerkers van uw organisatie interviewen en het informatiebeveiliging framework gaan beschrijven volgens de SOC 2 standaard en de laatste standaarden op het gebied van security (CobiT 5) en risicobeheersing (COSO 2013). Indien noodzakelijk implementeren wij in Fase 3 beheersmaatregelen of maatregelen naar aanleiding van eventueel gesignaleerde deficiënties in uw organisatie.
PRE-AUDIT
Nadat het framework is ingericht en beschreven in de rapportage voeren wij meestal een pre-audit of readiness assessment uit, daarbij stellen wij vast of de beschreven maatregelen ook daadwerkelijk geïmplementeerd zijn in de organisatie en of ze effectief werken. Door de uitvoering van een pre-audit voorkomen we dat er onvolkomenheden ontstaan tijdens de daadwerkelijk audit. Na deze pre-audit voeren wij herstelmaatregelen door in Fase 5 van onze opdracht.
PROACTIEF ADVISEREN
Wij adviseren u over hoe u processen of beheersmaatregelen kunt aanpassen zodat u de uiteindelijke audit in fase 6 zonder bevindingen behaalt en uw organisatie SOC 2 gecertificeerd kan worden.
Naast Cobit 5 kan ook ISO 27001 een kader zijn voor de SOC 2 audit. Dit heeft tot gevolg dat ISO 27001 getoetst wordt volgens een stringenter kader dan de ISO standaard vereist, dit betekent dat er bijvoorbeeld meer steekproeven verricht moeten worden. Het is daarom raadzaam om ISO 27001 certificering te laten verrichten en geen SOC 2 audit volgens ISO 27001.
Indien een organisatie rapporteert over duurzaamheid, dan zal deze rapportage geen financiële informatie bevatten. Als deze rapportage opgenomen is in de jaarrekening van de organisatie dan zal de organisatie deze jaarrekening waarschijnlijk laten controleren door een accountant, inclusief de duurzaamheidsrapportage. Op deze duurzaamheidsrapportage is dan SOC 2 van toepassing. In de SOC 2 richtlijn zijn de procedures opgenomen die accountant moet doorlopen voor zijn controle. Als toetsingskader kunnen vele social responsibiliy normen van toepassing zijn, zoals bijvoorbeeld SA 6000 of ISO 14001.
In het geval van uitbesteding waarbij uitsluitend IT gerelateerde processen van toepassing zijn en geen financiële informatie wordt verwerkt, dan is SOC 2 van toepassingen. SOC 2 is de overkoepelende standaard voor ISAE 3402, dus alle IT maatregelen zullen altijd, zowel bij een ISAE 3402 als SOC 2 audit gecontroleerd worden volgens de ISAE 3000 | SOC 2 standaard. In het algemeen zijn de volgende processen binnen de scope van een dergelijke audit:
- Securitybeleid
- Servicelevel management
- Incident management
- Change management
- Logische toegangsbeveiliging
- General IT controls
Een organisatie is echter vrij in haar keuze voor het uiteindelijke toetsingskader.
ADVISERING
Risklane kan u ondersteunen bij de inrichting van het informatiebeveiliging framework en het schrijven van het SOC 2 rapport. Een belangrijk onderdeel daarvan is het risicobeheersing framework. Wij ondersteunen uw organisatie bij het identificeren en in kaart brengen van risico’s op het gebied van strategie, operatie en financiën. Eventuele tekortkomingen (GAP’s) brengen wij in kaart en wij adviseren over mogelijke oplossingen.
FRAMEWORK EN RAPPORTAGE
Een organisatie kan SOC 2 rapport ook zelf opstellen. Wij kunnen u dan adviseren over de inrichting van het rapport. Het is wel verstandig om te bedenken dat het rapport professioneel beschreven dient te worden en vooral ook door specialisten op het gebied van risicomanagement herkend moet worden. Het beste resultaat wordt in het algemeen bereikt indien wij gezamenlijk met uw organisatie het project aansturen en doorlopen. Voor meer informatie hierover kunt u contact opnemen met Koen van der Aa (030-2800888).