1. IT Audit & Assurance
  2. SOC2 Audit

SOC2 Audit

De SOC2-verklaring is van belang voor de gebruikersorganisatie om vast te stellen in hoeverre zij in control zijn over de uitbestede activiteiten.

SOC2 Audit

Veel (gebruikers)organisaties besteden delen van hun activiteiten uit aan serviceorganisaties. Het betreft steeds vaker activiteiten die bij verstoring een grote impact kunnen hebben op de gebruikersorganisatie. Daarom is het continue goed functioneren van de serviceorganisatie van essentieel belang voor de gebruikersorganisatie. Afspraken over de dienstverlening in een Service Level Agreement (SLA) bieden echter niet voldoende zekerheid over de kwaliteit van de dienstverlening van de serviceorganisatie. Met het onafhankelijk laten toetsen door een Register EDP-auditors (RE) toont de serviceorganisatie aan in hoeverre zij voldoet aan de kwaliteitseisen van de gebruikersorganisatie. De SOC2-verklaring is van belang voor de gebruikersorganisatie om vast te stellen in hoeverre zij in control zijn over de uitbestede activiteiten.

SOC2 betekenis

Voor het leveren van ICT diensten is vanaf 2016 een ‘nieuwe’ standaard beschikbaar gesteld door de NOREA. Het betreft de Richtlijn (ISAE) 3000 / Service Organisatie Control Rapporten voor IT Service Organisaties (‘SOC2’ als gebruikte aanduiding).

Bij een SOC2-onderzoek wordt een risicoanalyse uitgevoerd op een vaste set van beheersdoelstellingen en -maatregelen. Deze beheersdoelstellingen en -maatregelen zijn beschreven in het AICPA SOC 2® model en de ‘Trust Services Principles and Criteria’ (TCP).

De vaste set onderkent 5 categorieën; Beveiliging, Beschikbaarheid, Integriteit, Vertrouwelijkheid en Privacy. De categorie beveiliging is verplicht te hanteren, de overige categorieën zijn optioneel. Binnen de categorieën zijn beheersdoelstellingen en -maatregelen opgesteld De organisatie voert een risicoanalyse uit, om zo te bepalen welke van de gegeven categorieën, beheersdoelstellingen en -maatregelen nodig zijn.

Daarnaast maken 7  algemene principe categorieën integraal onderdeel uit van de SOC2-rapportage; Organisatie en management, Communicatie, Risicomanagement en het ontwerp en de implementatie van beheersingsmaatregelen, Monitoring van beheersingsmaatregelen, Logische- en fysieke toegangsbeveiliging, Systeem operatie en Change management.

SOC rapportage

Een SOC-rapportage is dé optie om volgens de nieuwste, internationaal geaccepteerde standaarden uitbestede diensten te laten auditen. Vooral voor organisaties met internationale aspiraties wordt de SOC rapportagestandaard gezien als een aanwinst.

SOC2 verklaring

De SOC2-verklaring is een internationale standaard die door de nationale beroepsorganisatie, zoals de Nederlandse Beroepsorganisatie voor Accountants (NBA) en Nederlandse Organisatie Register EDP-auditors (NOREA), is opgenomen in hun body of standards. Hierdoor mogen Register accountants (RA) en Register EDP-auditors (RE) de verklaring afgeven.

Avensus biedt binnen het IT Audit & Assurance-team experts die op professionele wijze een SOC2 Audit kunnen uitvoeren. Wij zijn aangesloten bij de Nederlandse Organisatie van Register EDP-auditors (NOREA).

De scope van het rapport komt tot stand middels de (verplichte) richtlijnen vanuit de beroepsvereniging NOREA en een risicoanalyse.

Tegenwoordig is het al dan niet kunnen overleggen van een geldende SOC2-verklaring in veel aanbestedingstrajecten een ‘knock-out’-criteria.

SOC2 rapport

De SOC2-rapport kent twee typen rapportages, het type I-rapport betreft een momentopname. Hierin wordt beschreven hoe een het proces en de beheersingsmaatregelen zoals deze op een bepaald moment zijn geïmplementeerd. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen om de gestelde beheersingsdoelstelling te bereiken en stelt de implementatie ervan vast. Een type I-rapport moet worden gezien als informatief rapport. Het ontbreken van zekerheid over de werking betekent dat het rapport geen direct bewijs levert voor de oordeelsvorming over de uitkomsten van het proces.

Het type II-rapport betreft een periode, meestal zes maanden tot een jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de gedefinieerde periode hebben gewerkt. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen voor het bereiken van de beheersingsdoelstelling en stelt vast dat de implementatie ervan gedurende de rapportageperiode in overeenstemming is met de beschrijving. Daarnaast wordt de effectiviteit (werking) van de beheersingsmaatregelen gedurende de rapportageperiode gecontroleerd. De SOC2-verklaring wordt in oordeel afgegeven middels ‘een beperkte mate van zekerheid’ of ‘een redelijke mate van zekerheid’.

SOC2 Implementatie

Avensus kan voorafgaand aan de ISAE3402 Audit ook ondersteunen in het tot stand komen van de risicoanalyse. De risicoanalyse is benodigd om de juiste scoping vast te stellen voor de ISAE3402-verklaring. Het betreft het hoofdstuk ‘Beschrijving van het systeem’ en ‘de te toetsen beheersingsmaatregelen’, alsook de overige verplichte onderdelen van het ISAE3402-rapport.

  • Kiezen van de Trust Service Categories.
  • Risicoanalyse uitvoeren op de ‘points to consider’ van de TSP 100.
  • Beheersingsmaatregelen en processen hoeven niet te worden ingericht voor lage risico’s.
  • Schrijven van een systeembeschrijving voor alle midden en hoge risico’s. (sectie 3)
  • Hoge risico’s mitigeren middels beheersingsmaatregelen.
  • Implementatie van nog niet ingerichte maatregelen en processen.

Pre-Audit

Daarnaast kunnen wij een Pre-audit voor u verzorgen. Met een pre-audit kunnen we in kaart brengen in hoeverre jouw organisatie voldoet aan de normen van een de SOC2-rapportage. In relatief beperkte tijd voeren we samen met je een analyse uit op de tot stand gekomen ‘Beschrijving Dienstverlening’ en ‘de te toetsen beheersingsmaatregelen’. De uitkomsten van onze pre-audit vormen de basis voor uw verbetertraject: ‘wat moet er nog gebeuren om te voldoen aan de gestelde norm’?

SOC2 Kosten

De kosten voor de uitvoering van een ISAE3402 onderzoek zijn sterk afhankelijk van de omvang van de rapportage, de hoeveelheid te toetsen normen; de ‘Beschrijving van systeem’ (de beschrijving van de beheersingsomgeving) en ‘de te toetsen beheersingsmaatregelen’.

Ter indicatie, de kosten van een ISAE3402 type 1 onderzoek bevinden zich tussen € 8.800,- en € 11.000,- ex btw. De kosten van een ISAE3402 type 2 onderzoek bevinden zich tussen € 11.000,- en € 16.500,- ex btw.

Wij gaan graag met in gesprek met je zodat we in op jouw situatie gebaseerde offerte kunnen opstellen.

Wat kunnen wij voor jou betekenen?

ENSIA

De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen.

ISAE 3402

Rapporteert op basis van vastgestelde principes welke een relatie hebben met de opzet, bestaan en werking van operational IT-controls met betrekking tot uitbestede processen. Een SOC-rapport is opgesteld volgens de SOC-rapportagenormen.

BIO

De Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van alle normen (BIWA, BIG, BIR en IBI) die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27002.

ISAE 3000

De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. De ISAE 3000 wordt ook wel dé internationale opvolger van de Amerikaanse SAS 70-certificering genoemd. In tegenstelling tot SAS 70, is ISAE 3000 een internationale standaard.

DigiD

Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren. De DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties.

Het Team

Avensus is een organisatie waar meedenken met de klant voorop staat. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om u deskundig te ondersteunen. Avensus helpt u graag op een breed vakgebied om “in control” te blijven met betrekking tot uw ICT activiteiten vandaag en in de toekomst.

De auditors en consultants van het Avensus, IT Audit & Assurance team kunnen zich snel in uw bedrijfsprocessen inleven en kunnen daardoor in een kort tijdsbestek een deskundig, onpartijdig een betaalbaar traject uitvoeren. Onze IT-auditors hebben kennis van diverse branches zoals retail, overheid, bancair, verzekering en de ICT-branche (hosting, datacenters, etc.). Wij voeren diverse soorten IT-audits uit zoals Third Party Memorandum, ISAE 3000, ISAE 3402, SOC2 BIO, VIPP, DigiD, SURF en nog veel meer.

Nieuws & Blog

Menu