ISAE 3402 / 3000
De laatste jaren besteden veel organisaties activiteiten uit aan gespecialiseerde serviceorganisaties. Daarmee worden deze organisaties ontzorgt. Het vraagt wel wederzijds vertrouwen en transparantie. U verwacht natuurlijk ook dat serviceorganisaties gemaakte afspraken naleven. Ook toezichthouders eisen hierover bepaalde zekerheden. Een zogenaamde Service Organisatie Control (SOC)-rapportage biedt deze zekerheden.
Er zijn twee vormen van SOC-rapportages:
- De ISAE 3402: deze is van toepassing als een serviceorganisatie financiële informatie van uw organisatie verwerkt.
- De ISAE 3000: deze is van toepassing als er een internationale standaard nodig is voor de beveiliging van gegevens (ook niet-financiële informatie).
SOC 1
De Service Organisation Control (SOC) 1 is een assurance report (controleverslag) voor organisaties die diensten aanbieden en heeft betrekking op de interne controle van financiële verslagen. De SOC 1 kent de variant Type I en Type II. Het verschil is dat Type I een momentopname betreft en Type II de ‘werking’ vaststelt van de controles over een periode van minimaal 6 tot maximaal 12 maanden.
De geldigheid van de assurance report(s): één jaar
SOC 2
De SOC 2 is een assurance report waarin de informatiesystemen worden geëvalueerd op het gebied van beveiliging, beschikbaarheid, integriteit van de verwerking en vertrouwelijkheid. Bij een SOC 2 rapportage wordt het toetsingskader niet gevormd door de uitbesteding zelf, maar juist door informatiebeveiliging. SOC 2 rapportages richten zich dus niet op financiële processen, maar juist op Trust Services Criteria als security, availability, confidentiality, processing integrity en privacy in een serviceorganisatie. Bij een SOC 2 rapport wordt de scope dan ook bepaald door deze vooraf gedefinieerde beheersdoelstellingen (Trust Service Criteria).
De geldigheid van de assurance report(s): één jaar