Wat is het verschil tussen SOC 2 en ISAE 3402?

Hoek en Blok.IT

ISAE-3402-en-soc-2

Organisaties kunnen gebruik maken van verschillende verklaringen en certificaten om aan hun klanten aan te tonen dat hun diensten betrouwbaar en integer zijn.

Twee soorten hiervan zijn een ISAE 3402 verklaring en een SOC 2 verklaring, alleen lijken die toch wel veel overeenkomsten te hebben. Maar waar zit dan precies het verschil? Dat vertellen wij hier.

Wat is SOC 2?

SOC staat voor Service Organization Control. SOC 2 is een Amerikaanse standaard en is onderdeel van de Amerikaanse assurance standaard AT-C 205. Deze standaard is dan ook vooral belangrijk voor de Amerikaanse markt, toch wordt er in Nederland steeds vaker naar gevraagd bij IT service organisaties. Met SOC 2 toont een IT service organisatie adequate beheersing van informatiebeveiliging en privacy aan.

SOC 2 is een assurance verklaring vergelijkbaar met ISAE 3402, alleen is deze niet gebonden aan de financiële verslaggeving van de klant. De inhoud van SOC 2 wordt bepaald door de Trust Services Criteria, een verplichte set aan beheersdoelstellingen. Door deze verplichte set gaat SOC 2 een stap verder dan ISAE 3000. Deze ISAE 3000 wordt in Nederland veel gehanteerd voor het verlenen van assurance over uitbestede IT / data processen.

Wat is ISAE 3402?

ISAE verklaringen zijn er voor serviceorganisaties (leveranciers) die diensten leveren aan hun gebruikersorganisaties (klanten). ISAE 3402 is een internationaal herkende standaard voor het verlenen van zekerheid over de beheersing van uitbestede bedrijfsprocessen die relevant zijn voor de jaarrekening van de klant. Het belangrijke hierbij is dat ISAE 3402 bedoeld is voor de dienstverlening met financiële aspecten, zoals bijvoorbeeld de uitbesteding van salarisverwerking. De reden dat een ISAE 3402 van belang is, is dat leveranciers aan hun klanten en hun accountants kunnen tonen dat hun diensten betrouwbaar zijn.

Wat is het verschil tussen SOC 2 en ISAE 3402?

Een SOC 2 rapport en een ISAE 3402 rapport lijken erg veel op elkaar, maar zijn toch verschillend. Een ISAE 3402 rapport is een verklaring wat aan een organisatie wordt afgegeven en gaat in op hoe een serviceorganisatie omgaat met de risico’s van uitbestede processen en deze beheerst. De scope is primair gericht op het verlenen van zekerheid over de kwaliteit van uitbestede processen relevant voor de financiële verslaggeving.

Bij een SOC 2 rapport wordt de scope niet gevormd door de uitbesteding van financieel relevante diensten, maar door informatiebeveiliging. SOC 2 is gebaseerd op de Trust Service Criteria en de scope wordt vooraf bepaald door deze criteria. Deze criteria zijn gericht op kwaliteitsapecten: beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en privacy. Het verschil in ISAE 3402 en SOC 2 zit hem dus vooral in de scope, financieel versus informatiebeveiliging en privacy. Een SOC 2 rapport wordt gevormd door vooraf vastgestelde beheersdoelstellingen, terwijl dit bij een ISAE 3402 rapport door de organisatie zelf kan worden bepaald.

Wat voor jouw organisatie en klanten het meest passend is, daar denken wij graag in mee.

Lees meer over ISAE 3000, ISAE 3402 en SOC 2

Kies voor de aanpak van Hoek en Blok IT

Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE of SOC  Assurance rapportages af om beheersing voor jouw klanten aan te tonen.

Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.

Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.

Meer informatie? Vul het formulier in en je ontvangt de ISAE assurance whitepaper.

  • Professionele begeleiding

  • Overtuig jouw klanten

  • Efficiënt en scherpe prijs

    NEEM CONTACT OP

    We begrijpen dat privacy belangrijk voor je is, daarom gebruiken we je gegevens uitsluitend om met je te communiceren. Zie onze privacyverklaring om te zien hoe wij met je gegevens omgaan.