Hoe behaal je een SOC 2 certificaat?

Hoek en Blok.IT

Hoek en Blok.IT SOC 2 stappenplan

Steeds vaker worden bedrijfsprocessen van bedrijven uitbesteed aan leveranciers. Dit geldt ook voor IT diensten, denk aan het afnemen van een SaaS cloud applicatie. Bedrijven zijn steeds kritischer in hun selectie van leveranciers, immers worden belangrijke bedrijfs- en persoonsgegevens in de handen van derden gelegd.

Een beveiligde IT-omgeving en goede privacybeheersing is dan ook steeds vaker doorslaggevend in de keuze voor een IT-leverancier. Aan jou als IT-leverancier de taak om aantoonbaar te maken dat jij ‘in control’ bent. Met SOC 2 (Service Organization Control) kun je je kwaliteit aantonen op basis van een standaard die internationaal is erkend. Hiermee overtuig je jouw klant.

SOC 2 certificaat behalen

Zijn SOC 2 en ISAE 3402 hetzelfde?

Wellicht dat de omschrijving van SOC 2 je doet denken aan de welbekende ISAE 3402 standaard. Hoewel beide rapportages erg op elkaar lijken, is er toch een duidelijk verschil. Beide rapportages geven inzicht in hoe een serviceorganisatie omgaat met de risico’s van de aan hen uitbestede processen en hoe deze risico’s worden beheerst. De ISAE 3402 rapportage wordt toegepast als het gaat om uitbesteding van bedrijfsprocessen of IT systemen die relevant zijn voor de financiële verslaggeving van de klant, ook wel de gebruikende entiteit genoemd. Een SOC 2 rapport richt zich echter primair op informatiebeveiliging, in mindere mate op financieel relevante processen. De informatiebeveiliging-eisen binnen SOC 2 zijn gebaseerd op de Trust Service Criteria en zijn dus voorgeschreven. Dit maakt SOC 2 een herkenbare standaard, waarvan de gebruiker weet welke eisen zijn gesteld aan de serviceorganisatie. Dit is één van de redenen waarom SOC 2 door bedrijven steeds vaker aan leveranciers wordt gevraagd.

Onze aanpak

Wij houden van no-nonsense. Dat vind je ook terug in onze aanpak, waar we ook graag transparant over zijn. De wijze waarop we jouw bedrijf stap-voor-stap begeleiden om tot de komen tot een SOC assurance verklaring, in de praktijk ook vaak een SOC 2 certificaat genoemd, vind je onderstaand.

Hoek en Blok.IT hanteert hiervoor de volgende 3 fasen:

  1. Uitvoering nulmeting en identificatie implementatie-acties
  2. Uitvoeren implementatieacties, inrichten maatregelen en start 2e lijns monitoring
  3. Structurele uitvoering van maatregelen en SOC 2 type II audit

Fase 1 – uitvoering nulmeting en identificatie implementatieacties
In de eerste fase analyseren we de dienstverlening, wordt de organisatorische scope vastgesteld en identificeren we de relevante IT-architectuur. Vervolgens brengen we de verantwoordelijkheden in kaart, zowel op organisatorisch als technisch. Door het uitvoeren van een nulmeting krijg je inzicht in welke eisen vanuit SOC 2 aan jouw organisatie worden gesteld en identificeren we de ontbrekende maatregelen. Hieruit volgen de implementatieacties die nodig zijn om de SOC 2 implementatie te realiseren.

Fase 2 – uitvoeren implementatieacties, inrichten maatregelen start 2e lijns monitoring
De tweede fase staat in het teken van het uitvoeren van het actieplan, hierbij gaat het om het uitvoeren van de eenmalige implementatieacties én het starten met structureel uitvoeren van de SOC 2 maatregelen. Deze maatregelen worden expliciet beschreven in een controls framework, waarbij per maatregelen wordt aangegeven wie verantwoordelijk is. Hiermee start de structurele uitvoering van de maatregelen en wordt intern gemonitord op tijdige en adequate uitvoering. Op deze wijze komt jouw organisatie aantoonbaar in control. Na afronding van deze fase kan de optionele type I audit worden uitgveoerd.

Fase 3 – structurele uitvoering van de maatregelen en SOC 2 type II audit
In de derde fase voert Hoek en Blok.IT de SOC 2 type II audit uit. Gedurende deze audit wordt beoordeeld of de maatregelen zoals opgenomen in het controls framework voldoende zijn om aan de Trust Services Criteria van SOC 2 te voldoen en of de maatregelen structureel zijn uitgevoerd. Na afronding van de audit ontvang je de Assurance verklaring van de onafhankelijk auditor. Deze verklaring wordt opgenomen in het SOC 2 assurance rapport en kan aan klanten worden verstrekt. Hiermee krijgen klanten zekerheid dat aan de SOC 2 eisen is voldaan en de kwaliteit van jouw dienstverlening van hoog niveau is.

Lees meer over SOC 2

Kies voor de aanpak van Hoek en Blok IT

Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE of SOC  Assurance rapportages af om beheersing voor jouw klanten aan te tonen.

Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.

Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.

Meer informatie? Vul het formulier in en je ontvangt de ISAE assurance whitepaper.

  • Professionele begeleiding

  • Overtuig jouw klanten

  • Efficiënt en scherpe prijs

    NEEM CONTACT OP

    We begrijpen dat privacy belangrijk voor je is, daarom gebruiken we je gegevens uitsluitend om met je te communiceren. Zie onze privacyverklaring om te zien hoe wij met je gegevens omgaan.