ISAE 3000/ SOC 2

Wanneer u diensten uitbesteed aan externe partijen, komt daar veel informatie bij kijken. Informatie waarvan u wilt dat deze goed beveiligd wordt. Doordat de zaken uitbesteed zijn, is er niet altijd direct goed inzicht in de processen en is er geen directe invloed op de werkzaamheden. Om dit inzicht toch te verkrijgen en zekerheid te hebben over de juistheid van de processen, kunt u een ISAE rapport laten opstellen. Voor diensten met een financieel aspect is er de ISAE 3402/ SOC 1 standaard, voor security en overige niet financiële informatie is er de ISAE 3000/SOC 2* standaard.

*ISAE 3000 en SOC 2 zijn vergelijkbaar met elkaar. Een dergelijk rapport wordt in Europa ISAE 3000 genoemd en in de Verenigde Staten SOC 2.

Wat houdt de ISAE 3000/SOC 2 in?

De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. Deze standaard is de leidraad voor het uitvoeren van de audit en deze audit is bedoeld om aan te tonen dat de interne beheersprocessen van een organisatie ook daadwerkelijk worden uitgevoerd zoals ze zijn beschreven. Alleen auditoren aangesloten bij de International Federation of Accountants (IFAC) mogen een ISAE verklaring afgeven.

De onafhankelijke beoordeling van de auditor wordt verwerkt in een rapport en dit rapport kan als ‘bewijsstuk’ dienen voor de kwaliteit van de dienstverlening. Het is echter wel zo dat er altijd een rapport wordt afgegeven, ook als er afwijkingen zijn geconstateerd. Het is aan de lezer van het rapport te beoordelen of de beheersmaatregelen naar zijn of haar maatstaf voldoende worden uitgevoerd.

Net als bij een ISAE 3402 rapport heeft een ISAE 3000 rapportage twee typen: Type I en Type II. Deze twee rapportages lijken veel op elkaar, enkel is de audit bij ISAE 3000 Type 2 veel uitgebreider dan bij Type I. Type I geeft namelijk een beeld van een bepaald moment en de interne beheersingssysteem en beheersmaatregelen worden getoetst. Bij Type II wordt gedurende een vooraf aangegeven periode van minimaal zes maanden de werking van maatregelen getoetst. Vaak kiest men voor een Type II rapportage, tenzij er op korte termijn gerapporteerd moet worden of wanneer een organisatie dit zelf wil uit commercieel oogpunt, dan kiest men voor Type I.

ISAE 3000/ SOC 2 gaat net als ISO 27001 over informatiebeveiliging. ISAE 3000 is echter uitgebreider en intensiever dan ISO 27001. ISO 27001 is meer een momentopname en ISAE 3000/ SOC 2 beschrijft een hele periode. Door de toetsing van de effectieve werking en de daarvoor te nemen steekproeven, wordt de audit intensiever. ISAE wordt door accountants van gebruikersorganisaties steeds vaker geëist. Met name omdat organisaties steeds meer afhankelijk zijn van technologie en het dus belangrijk is om informatieprocessen goed in te richten. 

Voor wie is ISAE 3000/SOC 2 geschikt?

In het ISAE 3000/ SOC 2 worden twee soorten bedrijven onderscheiden. De gebruikersorganisatie (opdrachtgever van de serviceorganisatie) en de serviceorganisatie (de partij die uitbestede processen uitvoert). Om de gebruikersorganisatie te verzekeren dat er voldoende beheersmaatregelen zijn op het gebied van security, kan de service organisatie ervoor kiezen een ISAE audit uit te laten voeren. Ook kan het zijn dat een service organisatie verplicht is verantwoording af te leggen (bijv. toezicht DNB) of het vanuit commercieel oogpunt kiest om via ISAE processen beter te structureren. De standaard is ontworpen voor het groeiende aantal technologiebedrijven die Cloud diensten aanbieden. Denk aan organisaties die werkplekbeheer doen, of de webservers beheren.

Waarom ISAE 3000/ SOC 2?

ISAE 3000/ SOC 2 is een internationaal erkende standaard, waarmee u een ISAE rapport daarom ook kunt overleggen aan internationale partners. Naast ISO 27001 is het een gedegen standaard voor informatiebeveiliging die zich richt op het outsourcen van dienstverlening. Met een ISAE 3000/ SOC 2 rapport kunt u aantonen dat u uw dienstverlening in control heeft en uw beheersmaatregelen naar behoren uitvoert. Met het verkregen inzicht in de risico’s, maakt u meteen een professionaliseringsslag.

Combinatie met ISAE 3000/ SOC 2 met ISO 27001

Omdat de ISO 27001 en ISAE 3000/ SOC 2 op veel vlakken vergelijkbaar zijn is het logisch deze te combineren en tegelijk uit te laten voeren. Dit heeft onder andere als voordeel dat u als klant efficiënter de audits ondergaat, maar één keer de diverse onderdelen hoeft toe te lichten en daardoor in totaal minder tijd kwijt bent.

ISAE 3000/SOC 2 via TÜV NORD

Via TÜV NORD kunt u een ISAE 3000/ SOC 2 audit laten uitvoeren. Met onze ervaring met betrekking tot informatieprocessen, kunnen wij u een gedegen rapport overhandigen. Alleen auditoren aangesloten bij de International Federation of Accountants (IFAC) mogen een ISAE-verklaring afgeven. Door middel van een partnership met Conclude Accountants hebben wij deze verklaring in huis. Daarnaast is er een eventuele combinatie met ISO 27001 certificering te maken. Bepaalde aspecten uit de ISO 27001 norm, komen terug in de ISAE 3000/ SOC 2 standaard waardoor er een efficiëntieslag gemaakt kan worden door ze beide te combineren. En omdat TÜV NORD de planning voor zijn rekening neemt voor beide trajecten, heeft u ook nog eens één aanspreekpunt.