SOC 2

Maak IT en privacy beheersing aantoonbaar volgens Amerikaanse standaard

OVERTUIG JOUW KLANT MET EEN SOC 2 VERKLARING

Een SOC 2 verklaring is erop gericht om zekerheid te verschaffen over de kwaliteit van uitbestede IT diensten en de structuur van een SOC 2 rapport is gelijk aan de ISAE 3402. Voor een SOC 2 verklaring geldt echter geen verplichte relatie met de financiële verslaggeving van de klant. De inhoud van een SOC 2 verklaring wordt bepaald aan de hand van de Trust Services Criteria. Een SOC 2 verklaring hanteert een verplichte set aan beheersingsdoelstellingen en gaat hiermee een stap verder dan ISAE 3000, waarin de service organisatie meer vrijheid heeft in het bepalen van de reikwijdte.

Vergelijking met andere standaarden

Hoe verhoudt SOC 2 zich tot andere standaarden?

Bij het kiezen van een compliance- of assurance-raamwerk krijgen organisaties vaak de vraag: moeten we SOC 2 doen, of voldoet ISO 27001, ISAE 3402, NIS2 of DORA? Deze standaarden overlappen soms, maar hebben ieder een eigen doel, scope en publiek. Een goede keuze voorkomt dubbel werk en zorgt dat je aan de juiste eisen voldoet.

ISO 27001 → SOC 2 geeft een auditorverklaring over de werking van controles, terwijl ISO 27001 een certificaat voor een managementsysteem is.
ISAE 3402 → ISAE 3402 richt zich vooral op financiële processen bij serviceorganisaties, SOC 2 op IT-beveiliging en dataprotectie.
ISAE 3000 → ISAE 3000 is breed inzetbaar voor allerlei niet-financiële processen (bijv. privacy, duurzaamheid), SOC 2 is specifiek ontwikkeld voor IT-diensten.

ONZE AANPAK

Onze register IT auditors ondersteunen je om efficiënt en pragmatisch de kwaliteit van je dienstverlening aan te tonen. Voor het assurance project hanteren we 4 fasen:

Fase 1
Scope vaststellen
Hierin bepalen we voor welke dienstverlening je aan klanten zekerheid wilt verschaffen. Dit bepaalt welke processen en systemen in scope zijn voor het assurance project.
Fase 2
Nulmeting en ontwerp maatregelen
We brengen de huidige situatie in kaart en stellen de knelpunten vast. Op basis van standaarden worden de maatregelen beschreven en implementatieacties geïdentificeerd.
Fase 3
Inrichten maatregelen
We voeren de benodigde acties voor implementatie van de maatregelen uit en de structurele uitvoering van maatregelen wordt gestart. Optioneel voeren we een tussentijdse meting of type I audit uit.
Fase 4
Opstellen rapportage en verklaring
Aansluitend voeren we de type II audit uit. We stellen de assurance rapportage en afhankelijke auditor verklaring op, waarmee de kwaliteit van jouw dienst wordt aangetoond.

Vorige Volgende

NOREA

In control op privacy en security

Om invulling te kunnen geven aan de privacy criteria in SOC 2, kan het NOREA Privacy Control Framework (PCF) gebruikt worden. Het PCF bevat beheersmaatregelen die de volgende privacy principes afdekken:

Transparantie;
Doelbeperking;
Gegevensbeperking;
Juistheid;
Bewaarbeperking;
Integriteit en vertrouwelijkheid;
Verantwoording.

Trust Services Criteria

De reikwijdte en doelstellingen van een SOC 2 verklaring worden bepaald aan de hand van 5 categorieën (beginselen). De 5 categorieën zijn:

Beveiliging
Het systeem is beveiligd tegen ongeautoriseerde toegang, gebruik of aanpassing
Beschikbaarheid
Het systeem is beschikbaar voor gebruik zoals aangegeven door de serviceorganisatie of zoals overeengekomen
Integriteit
De processen in het systeem zijn volledig, valide, accuraat, tijdig en geautoriseerd
Vertrouwelijkheid
De informatie is vertrouwelijk zoals overeengekomen
Privacy
Het verzamelen, gebruiken, opslaan, verstrekken en vernietigen van persoonlijke informatie is in overeenstemming met het privacybeleid van de gebruikende entiteit en met andere criteria

De 5 categorieën bestaan ieder uit een gemeenschappelijke verzameling van 33 algemene beheersdoelstellingen. Per categorie zijn er daarnaast ook specifieke beheersdoelstellingen. Per doelstelling moet de serviceorganisatie de onderliggende beheersmaatregelen zelf definiëren.

Scope

Type 1 of type 2 audit

SOC 2 type I audit: geeft de opzet en het bestaan van beheersmaatregelen weer en is gericht op één meetmoment. Er wordt geen oordeel gegeven of de maatregelen structureel gedurende een langere periode zijn uitgevoerd.
SOC 2 type II audit: geeft naast de opzet ook een oordeel over de werking van de beheersmaatregelen. De auditor beoordeelt of de beheersmaatregelen gedurende een periode van bijvoorbeeld 6 maanden of 1 jaar hebben gewerkt.

Onze expertise

SOC 2 voor SaaS, Cloud en MSPs

Voor een succesvolle SOC 2 implementatie is actieve betrokkenheid vanuit de eigen organisatie essentieel, zowel vanuit management als operatie. Op basis van onze ervaring, beschikbare modellen en studierapporten zorgen wij ervoor dat de juiste stappen worden gezet. Tussentijds beoordelen wij (deel)producten; een kostenefficiënte en resultaatgerichte aanpak.

Wij zijn gespecialiseerd in het verstrekken van assurance verklaringen aan IT (cloud) service providers. Hierdoor kennen wij de diversiteit van de dienstverlening, begrijpen het complexe IT landschap en weten welke processen en maatregelen de risico’s voor klanten afdekken. Effectief in control en tegelijkertijd wendbaar en pragmatisch.

Gespecialiseerd in SaaS en MSP

Concrete aanpak in 4 fasen

Kwaliteit staat voorop

Betaalbaar

De voordelen

Waarom een SOC 2 verklaring

Een succesvol afgerond SOC 2 project levert de volgende voordelen op voor je organisatie:

Professionele uitstraling door gebruik van de SOC 2 criteria
Optimale beheersing van IT en AVG risico’s
Brengt uniformiteit en structuur aan in processen
Het antwoord op checklists van klanten
Een belangrijke criterium bij selectietrajecten
Volwassen uitstraling naar klanten
Toont een veilige IT dienstverlening aan

Kosten en tijdsplanning

Wat kost een SOC 2 verklaring en hoe lang duurt het traject?

De investering in een SOC 2 verklaring hangt af van de omvang van jouw organisatie, het type dienstverlening en de gekozen scope. Voor kleinere bedrijven starten de kosten vaak rond de €15.000 – €20.000, terwijl middelgrote organisaties meestal rekenen op €20.000 – €40.000. De uiteindelijke kosten zijn daarnaast afhankelijk van de mate waarin processen en documentatie al op orde zijn.

Ook de doorlooptijd varieert. Voor een SOC 2 Type I traject moet je rekening houden met een een totaal van 3 tot 5 maanden. Een Type II rapportage vraagt meer inspanning, omdat de werking van jouw controles over een langere periode moet worden aangetoond. Hiervoor wordt een totaal van 8 tot 15 maanden geschat.

Onze ervaring leert dat organisaties die tijdig starten met voorbereiden, minder verrassingen en lagere kosten ervaren.

Tips & valkuilen

Hoe bespaar je kosten bij een SOC 2 traject?

Een SOC 2 traject vraagt tijd en investering, maar er zijn slimme manieren om kosten te beperken. Met de juiste voorbereiding voorkom je onnodige vertragingen en onverwachte uitgaven.

Praktische tips

Begin op tijd
Start minimaal 6 maanden van tevoren met voorbereiden. Zo heb je ruimte om documentatie en processen op orde te brengen voordat de audit begint.
Maak gebruik van bestaande documentatie
Vaak heb je al beleid, procedures of beveiligingsmaatregelen vastgelegd. Door die goed te structureren bespaar je kostbare audituren.
Betrek de juiste mensen
Zorg dat IT, security en compliance samen optrekken. Dit voorkomt dubbel werk en onduidelijkheden.
Voorkom verborgen kosten
Denk aan remediatie (het oplossen van bevindingen), een heraudit of extra licentiekosten voor tools.

Valkuilen

Te laat beginnen, waardoor er verassingen of tijdrovende acties uitgevoerd moeten worden.
Alleen focussen op uitvoering, terwijl vastlegging en documentatie net zo belangrijk zijn.
Onderschatten van de tijd die medewerkers kwijt zijn aan het beantwoorden van vragen.

Wat klanten vertellen over onze assurance verklaring:

De persoonlijke betrokkenheid vanuit Hoek en Blok.IT is heel fijn. Dat je steeds dezelfde gezichten ziet bij de audits en belangrijke meetings, zorgt ervoor dat er effectief en efficiënt samengewerkt kan worden.

ISPnextSecurity Officer

Door het ISAE 3402 traject zijn we in staat om onze processen aantoonbaar continu te evalueren en te verbeteren, waardoor we de kwaliteit van onze dienstverlening blijven verhogen!

Verzuimdata 200x200 r25 - Hoek en Blok.IT

VerzuimdataDirectie

Het ISAE 3402 project heeft het mogelijk gemaakt om gebruik te maken van ons bestaande kwaliteitsmanagementsysteem waarbij wij onze bestaande doelstellingen – waar nodig – hebben gedetailleerd om additionele waarborging te geven dat onze gestelde maatregelen structureel aantoonbaar zijn voor zowel onze ISAE verklaring als onze NEN/ISO certificaten, mooi resultaat!

Arcus ITSecurity consultant

Vorige Volgende

SOC 2

Aantoonbare IT- en privacy beheersing is voor je (potentiële) klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. Onze IT specialisten adviseren je bij het inrichten van IT-, privacy- en bedrijfsprocessen en geven ISAE 3000/SOC 2 Assurance rapportages af om de beheersing aan je klanten aan te tonen.

Aantoonbare kwaliteit van bedrijfsprocessen
Onderscheiden van concurrentie
Bedrijfsprocessen in control

Frequently Asked Questions

Hoe krijg je een SOC 2 verklaring?

Een SOC 2 verklaring krijg je door een onafhankelijke auditor te laten beoordelen of jouw organisatie voldoet aan de vijf Trust Service Criteria: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.

Wie heeft een SOC 2 nodig?

Bedrijven die diensten leveren waarbij klantgegevens worden verwerkt of opgeslagen in de cloud, zoals IT-dienstverleners en SaaS-bedrijven, hebben vaak een SOC 2 nodig om hun betrouwbaarheid aan te tonen.

Waarom vragen klanten om een SOC 2 verklaring?

Klanten vragen om een SOC 2 verklaring omdat het een onafhankelijke bevestiging geeft dat jouw organisatie de juiste processen en controles heeft om klantgegevens veilig en betrouwbaar te beheren. Het rapport geeft vertrouwen en helpt bij het voldoen aan eisen van klanten en leveranciers.

Hoe vaak moet een SOC 2 audit worden herhaald?

Een SOC 2 audit wordt meestal jaarlijks uitgevoerd, zodat klanten continu zekerheid hebben over de betrouwbaarheid van jouw processen. De frequentie kan echter variëren, afhankelijk van de afspraken met klanten en de risico’s binnen jouw organisatie.

Wat kost een SOC 2 audit?

De kosten voor een SOC 2 audit zijn afhankelijk van de scope van de rapportage, de complexiteit van de dienstverlening en het aantal interne beheersingsmaatregelen wat beoordeeld wordt. Voor een type II audit, waarbij de werking van de maatregelen over een langere periode wordt getoetst, geldt een bandbreedte van €15.000 – €40.000

SOC 2

OVERTUIG JOUW KLANT MET EEN SOC 2 VERKLARING

Hoe verhoudt SOC 2 zich tot andere standaarden?

ONZE AANPAK

Fase 1

Scope vaststellen

Fase 2

Nulmeting en ontwerp maatregelen

Fase 3

Inrichten maatregelen

Fase 4

Opstellen rapportage en verklaring

In control op privacy en security

Trust Services Criteria

Type 1 of type 2 audit

SOC 2 voor SaaS, Cloud en MSPs

Waarom een SOC 2 verklaring

Wat kost een SOC 2 verklaring en hoe lang duurt het traject?

Hoe bespaar je kosten bij een SOC 2 traject?

Begin op tijd

Maak gebruik van bestaande documentatie

Betrek de juiste mensen

Voorkom verborgen kosten

SOC 2

Aantoonbare kwaliteit van bedrijfsprocessen

Onderscheiden van concurrentie

Bedrijfsprocessen in control

Frequently Asked Questions

Diensten

Contactgegevens