Skip to main content
SOC 2 vs. ISO 27001

Wat past beter bij mijn organisatie? SOC 2 of ISO 27001?

Indien uw organisatie business-to-business IT of financiele diensten levert, dan is de kans groot dat uw opdrachtgevers vragen om een SOC 2 of ISO 27001 certificering of verklaring. Het proces kan een hoop resources en tijd van uw organisatie vragen. In dit artikel wordt uitgelegd wat de overeenkomsten en verschillen zijn tussen beide certificeringen. Een SOC 2 verklaring en een ISO 27001 certificaat kunnen worden vergeleken met nauwe verwanten. En er zijn mogelijkheden voor efficiëntie doordat als het ene certificaat behaald is, het enorm veel tijd zal schelen om het andere certificaat te behalen.

 

1. Reikwijdte

Er is een grote overeenkomst want zowel SOC 2 als ISO 27001 zijn vergelijkbaar ontworpen zodat zij hun klanten het gevoel kunnen geven dat de gegevens beschermd zijn. De opdrachtgevers hebben overeenkomsten, ze hebben allemaal betrekking op belangrijke aspecten van het beveiligen van informatie, zoals vertrouwelijkheid, integriteit en beschikbaarheid. Beide frameworks zijn algemeen erkende certificeringen die klanten bewijzen dat uw bedrijf de beveiliging serieus neemt.

Een groot verschil tussen deze certificaten is dat het SOC 2 certificaat voornamelijk gefocust is op het aantonen dat beveiligingsmaatregelen die klantgegevens beschermen, effectief zijn geïmplementeerd. ISO 27001 vraagt uitsluitend dat een organisatie een Information Security Management System (ISMS) heeft; een voorgeschreven set van beveiligingsmaatregelen.

 

2. Bruikbaarheid in de markt

Een grote overeenkomst is dat beide certificeringen erg bekende informatie beveiligingsnormen zijn die algemeen worden geaccepteerd om aan te tonen dat een organisatie over de juiste beveiliging beschikt. Vooral in de Verenigde Staten worden deze certificeringen door zowel kleine organisaties als grote corporates geaccepteerd. Beide worden in de meeste branches volledig geaccepteerd en zorgen ervoor dat een organisatie wordt ervaren als een solide leverancier die zijn informatiebeveiliging op orde heeft.

 

3. De externe partij

Beide certificeringen worden getoetst door derden partijen, door ISO 27001 auditor of (register) accountants. Het belangrijkste verschil is dat een door de Nederlande Beroepsorganisatie van Accountants (NBA)-erkende bedrijf een SOC 2 verklaring afgeeft; terwijl een erkende ISO 27001-geaccrediteerde auditor ISO 27001 certificeert. Risklane heeft zowel erkende accountants als erkende ISO27001 auditoren in dienst die kunnen adviseren over de uitvoering van een audit.

 

4. De kosten

Beide certificeringen hebben vergelijkbare operationele kosten. Deze kosten zijn de interne kosten voor het team dat de beheersmaatregelen implementeert en ook bewijs verzamelt dat vereist is om conformiteit met SOC 2 of ISO 27001 te bewijzen.

De prijzen van de twee soorten certificeringen kunnen erg verschillen. Doorgaans zijn de kosten van een SOC 2 certificering  wat hoger dan de kosten van een ISO 27001 certificering.Dit wordt voornamelijk veroorzaakt doordat SOC2 redelijk veel documentatie vereisten kent voor de auditors die een SOC2 audit uitvoeren.

 

5. Doorlooptijd

De projectaanpak voor beide certificering is gelijk en bestaat uit globaal over overeenkomstig fasen. Omdat de SOC 2 en de ISO 27001 redelijk dezelfde beheersmaatregelen kennen, is ook de doorlooptijd van de implementatie fasen redelijk overeenkomstig. Een SOC2 audit kan echter door de eerder genoemde documentatievereisten meer interne en externe (auditors) tijd kosten.

Na afloop van de auditperiode moeten de SOC 2 en de ISO 27001 certificeringen periodiek worden vernieuwd om daadwerkelijk ook bruikbaar te zijn voor gebruikersorganisaties. ISO 27001 omvat bij de meeste opdrachten een cyclus van drie jaar waarbij u in het eerste jaar een audit op een bepaald moment hebt en daarna ieder jaar wordt verlengd.

Over Risklane

Risklane biedt diensten aan op het gebied van governance, risk en compliance. Sinds 2004 is Risklane marktleider in Nederland en de meest vooruitstrevende organisatie ten aanzien van ISAE 3402 implementatie en certificering. Wij bieden naast ISAE 3402 diensten aan op het gebied van ISAE 3000GDPR/AVGISO 27001ISO 9001 en COSO ERM.