SOC2 Audit
Veel (gebruikers)organisaties besteden delen van hun activiteiten uit aan serviceorganisaties. Het betreft steeds vaker activiteiten die bij verstoring een grote impact kunnen hebben op de gebruikersorganisatie. Daarom is het continue goed functioneren van de serviceorganisatie van essentieel belang voor de gebruikersorganisatie. Afspraken over de dienstverlening in een Service Level Agreement (SLA) bieden echter niet voldoende zekerheid over de kwaliteit van de dienstverlening van de serviceorganisatie. Met het onafhankelijk laten toetsen door een Register EDP-auditor (RE) toont de serviceorganisatie aan in hoeverre zij voldoet aan de kwaliteitseisen van de gebruikersorganisatie. De SOC2-verklaring is van belang voor de gebruikersorganisatie om vast te stellen in hoeverre zij in control zijn over de uitbestede activiteiten.
SOC2 betekenis
Voor het leveren van ICT diensten is vanaf 2016 een ‘nieuwe’ standaard beschikbaar gesteld door de NOREA. Het betreft de Richtlijn (ISAE) 3000 / Service Organisatie Control Rapporten voor IT Service Organisaties (‘SOC2’ als gebruikte aanduiding). De criteria voor het SOC2 onderzoek ligt vast in het AICPA SOC 2® model en de ‘Trust Services Principles and Criteria’.
De Trust Service Principles onderkennen vijf categorieën; Beveiliging, Beschikbaarheid, Integriteit, Vertrouwelijkheid en Privacy. De categorie beveiliging is verplicht te hanteren, de overige categorieën zijn optioneel.
Daarnaast maken 7 algemene principe categorieën integraal onderdeel uit van de SOC2-rapportage; Organisatie en management, Communicatie, Risicomanagement en het ontwerp en de implementatie van beheersingsmaatregelen, Monitoring van beheersingsmaatregelen, Logische- en fysieke toegangsbeveiliging, Systeem operatie en Change management.
SOC2 Implementatie
Avensus kan ondersteunen in het tot stand komen van de SOC2 rapportage. Onderdeel hiervan is het uitvoeren van een risicoanalyse op de Trust Service Criteria. De risicoanalyse is benodigd om de juiste reikwijdte vast te stellen voor het rapport.
SOC2 Kosten
De kosten voor de uitvoering van een SOC2 onderzoek zijn sterk afhankelijk van de omvang van de rapportage, de hoeveelheid te toetsen beheersingsmaatregelen, alsook de gevraagde ondersteuning in het traject.
Wij gaan graag met u in gesprek zodat we een passende prijsopgave kunnen opstellen.