1. IT Audit & Assurance
  2. SOC2 Audit

SOC2 Audit

Een SOC2 rapport is waardevol voor een serviceorganisatie en haar klanten die assurance willen verkrijgen die laat zien dat de interne beheersing van de geleverde diensten voldoet aan de internationale SOC2 standaard.

Het SOC2 rapport geef inzicht in de interne beheersing van de dienstverlening en richt zich in de basis op informatiebeveiliging. De reikwijdte kan uitgebreid worden op het gebied van beschikbaarheid, integriteit, vertrouwelijkheid en privacy.

Interesse in het aantoonbaar laten auditen van uw interne beheersing? Neem dan contact op met ons. Eén van onze IT-auditors gaat graag vrijblijvend met u in gesprek om de mogelijkheden door te spreken.

SOC2 Audit

Veel (gebruikers)organisaties besteden delen van hun activiteiten uit aan serviceorganisaties. Het betreft steeds vaker activiteiten die bij verstoring een grote impact kunnen hebben op de gebruikersorganisatie. Daarom is het continue goed functioneren van de serviceorganisatie van essentieel belang voor de gebruikersorganisatie. Afspraken over de dienstverlening in een Service Level Agreement (SLA) bieden echter niet voldoende zekerheid over de kwaliteit van de dienstverlening van de serviceorganisatie. Met het onafhankelijk laten toetsen door een Register EDP-auditor (RE) toont de serviceorganisatie aan in hoeverre zij voldoet aan de kwaliteitseisen van de gebruikersorganisatie. De SOC2-verklaring is van belang voor de gebruikersorganisatie om vast te stellen in hoeverre zij in control zijn over de uitbestede activiteiten.

SOC2 betekenis

Voor het leveren van ICT diensten is vanaf 2016 een ‘nieuwe’ standaard beschikbaar gesteld door de NOREA. Het betreft de Richtlijn (ISAE) 3000 / Service Organisatie Control Rapporten voor IT Service Organisaties (‘SOC2’ als gebruikte aanduiding). De criteria voor het SOC2 onderzoek ligt vast in het AICPA SOC 2® model en de ‘Trust Services Principles and Criteria’.

De Trust Service Principles onderkennen vijf categorieën; Beveiliging, Beschikbaarheid, Integriteit, Vertrouwelijkheid en Privacy. De categorie beveiliging is verplicht te hanteren, de overige categorieën zijn optioneel.

Daarnaast maken 7  algemene principe categorieën integraal onderdeel uit van de SOC2-rapportage; Organisatie en management, Communicatie, Risicomanagement en het ontwerp en de implementatie van beheersingsmaatregelen, Monitoring van beheersingsmaatregelen, Logische- en fysieke toegangsbeveiliging, Systeem operatie en Change management.

SOC2 Implementatie

Avensus kan ondersteunen in het tot stand komen van de SOC2 rapportage. Onderdeel hiervan is het uitvoeren van een risicoanalyse op de Trust Service Criteria. De risicoanalyse is benodigd om de juiste reikwijdte vast te stellen voor het rapport.

SOC2 Kosten

De kosten voor de uitvoering van een SOC2 onderzoek zijn sterk afhankelijk van de omvang van de rapportage, de hoeveelheid te toetsen beheersingsmaatregelen, alsook de gevraagde ondersteuning in het traject.

Wij gaan graag met u in gesprek zodat we een passende prijsopgave kunnen opstellen.

Wat kunnen wij voor u betekenen?

ENSIA

De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen.

ISAE 3402

Rapporteert op basis van vastgestelde principes welke een relatie hebben met de opzet, bestaan en werking van operational IT-controls met betrekking tot uitbestede processen. Een SOC-rapport is opgesteld volgens de SOC-rapportagenormen.

ISAE 3000

De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. De ISAE 3000 wordt ook wel dé internationale opvolger van de Amerikaanse SAS 70-certificering genoemd. In tegenstelling tot SAS 70, is ISAE 3000 een internationale standaard.

DigiD

Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren. De DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties.

Het Team

Avensus is een organisatie waar meedenken met de klant voorop staat. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om u deskundig te ondersteunen. Avensus helpt u graag op een breed vakgebied om “in control” te blijven met betrekking tot uw ICT activiteiten vandaag en in de toekomst.

De auditors en consultants van het Avensus, IT Audit & Assurance team kunnen zich snel in uw bedrijfsprocessen inleven en kunnen daardoor in een kort tijdsbestek een deskundig, onpartijdig een betaalbaar traject uitvoeren. Onze IT-auditors hebben kennis van diverse branches zoals retail, overheid, bancair, verzekering en de ICT-branche (hosting, datacenters, etc.). Wij voeren diverse soorten IT-audits uit zoals Third Party Memorandum, ISAE 3000, ISAE 3402, SOC2 BIO, VIPP, DigiD, SURF en nog veel meer.

Nieuws & Blog

Menu