Wat heb ik nodig voor SOC 2?

Hoek en Blok.IT

Checklist

Met een SOC 2-verklaring toon je aan dat informatie beschermd en beveiligd is. Hiermee bevestig je niet alleen dat je bepaalde normen voor gegevensbescherming strikt naleeft, het vergroot ook het vertrouwen van klanten. Nieuwe, en bestaande klanten krijgen met SOC 2 namelijk het bewijs dat hun gegevens veilig zijn in jouw handen. Niet voor niets is SOC 2 dan ook een beproefde strategie om meer klanten aan te trekken en daarmee je winst te vergroten.

SOC 2 gebaseerd op vijf categorieën

Wil jij een SOC 2 rapport laten opstellen voor jouw organisatie? Dan is het goed om te weten dat SOC 2 gebaseerd is op vijf categorieën vanuit het AICPA in Amerika. Deze zijn afgeleid van de in TSP Section 100 opgenomen Trust Services Criteria voor Security, Beschikbaarheid, Processing Integriteit, Vertrouwelijkheid en Privacy. De vijf categorieën zijn:

  1. Beveiliging

Klanten willen erop vertrouwen dat jouw systemen goed beveiligd zijn tegen ongeautoriseerde toegang. In de SOC-rapportage vinden ze hierover meer informatie in de categorie beveiliging. Hier staat bijvoorbeeld hoe je met toegangscontroles mogelijk systeemmisbruik, diefstal of ongeoorloofde verwijdering van gegevens, misbruik van software en ongeoorloofde wijziging of openbaarmaking van informatie voorkomt.

  1. Beschikbaarheid

In een service level agreement (SLA) leg je de toegankelijkheid van jouw systemen, producten of diensten vast. In de SOC 2-rapportage is er aandacht voor de veiligheidsgerelateerde normen die de toegankelijkheid kunnen beïnvloeden.

  1. Verwerkingsintegriteit

De categorie verwerkingsintegriteit geeft antwoord op de vraag of het systeem het doel vervult (denk aan het verstrekken van de juiste gegevens tegen de juiste prijs en op het juiste moment). Daarom moet de gegevensverwerking volledig, geldig, nauwkeurig, tijdig en geautoriseerd zijn.

  1. Vertrouwelijkheid

Informatie wordt als vertrouwelijk beschouwd als de toegang en openbaarmaking ervan beperkt is tot een specifieke groep individuen of organisaties. Voorbeelden zijn gegevens die alleen bedoeld zijn voor medewerkers, maar ook bedrijfsplannen, intellectueel eigendom, interne prijslijsten en andere soorten gevoelige financiële informatie. In de SOC 2-rapportage vind je deze informatie terug in de categorie vertrouwelijkheid.

  1. Privacy

De privacy categorie heeft betrekking op het verzamelen, gebruiken, bewaren, openbaar maken en verwijderen van persoonlijke informatie door het systeem in overeenstemming met de normen van de privacyverklaring van een organisatie en de algemeen aanvaarde privacy principes (GAPP) van de AICPA. Sommige persoonsgegevens met betrekking tot gezondheid, seksualiteit en religie worden als gevoelig beschouwd en vereisen vaak aanvullende bescherming.

De SOC 2 Checklist

Als de IT-adviseurs van Hoek en Blok.IT een SOC 2-audit uitvoeren, brengen we eerst de organisatie in kaart door te kijken naar de IT-omgeving en wie waarvoor verantwoordelijk is. Vervolgens analyseren we welke IT-beheersingsmaatregelen beschreven zijn en of ze ook juist worden uitgevoerd. Om goed voorbereid te zijn op een SOC 2-audit kan de volgende checklist gebruikt worden. Met behulp hiervan krijg je inzicht in welke mate jouw organisatie voldoet aan de SOC 2-richtlijnen.

  1. Is de organisatiestructuur vastgelegd en beschreven?
  2. Zijn er medewerkers aangewezen voor het opstellen van beleid?
  3. Is er een screeningsprocedure bij indiensttreding?
  4. Hebben jullie een personeelshandboek met richtlijnen?
  5. Worden systeemwijzigingen tijdig gemeld bij de daarvoor aangewezen personen?
  6. Heb je een risk assesment uitgevoerd dat antwoord geeft op de volgende vragen:
    1. Heb je potentiële bedreigingen aan systemen ontdekt?
    2. Heb je de risico’s van deze bedreigingen geanalyseerd?
    3. Heb je maatregelen genomen?
  7. Is er een leveranciers assessment uitgevoerd?
  8. Is er een beleid opgesteld en zijn er procedures voor alle maatregelen?
  1. Worden periodieke reviews op beleid en procedures uitgevoerd?
  2. Hebben jullie fysieke en logische toegangsmaatregelen ingeregeld?
  3. Is toegang tot data, software en applicaties beperkt tot geautoriseerde personen?
  4. Is fysieke toegang tot serverruimtes voor ongeautoriseerde personen beperkt?
  5. Zijn er toegangscontrolesystemen ingericht om inlog pogingen te monitoren?
  6. Is er een incidentresponseprocedure opgesteld en wordt deze getest?
  7. Wordt software, hardware en infrastructuur regelmatig geüpdatet indien nodig?
  8. Is er een change management proces in opzet beschreven?
  9. Wat is jullie beleid betreffende back-up en recovery?
  10. Is jullie disaster recovery plan beschreven en ook getest?
  11. Hebben jullie een beleid voor het bewaren van gegevens?

Wat is het verschil tussen SOC 2 en ISAE 3402?

Een SOC 2 rapport en een ISAE 3402 rapport lijken erg veel op elkaar, maar zijn toch verschillend. Een ISAE 3402 rapport is een verklaring die aan een organisatie wordt afgegeven en gaat in op hoe een serviceorganisatie omgaat met de risico’s van uitbestede processen en hoe deze worden beheerst. De scope is primair gericht op het verlenen van zekerheid over de kwaliteit van uitbestede processen relevant voor de financiële verslaggeving.

Bij een SOC 2 rapport wordt de scope niet gevormd door de uitbesteding van financieel relevante diensten, maar door informatiebeveiliging. SOC 2 is gebaseerd op de Trust Services Criteria en de scope wordt vooraf bepaald door deze criteria. Deze criteria zijn gericht op de volgende kwaliteitsapecten: beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en privacy. Het verschil in ISAE 3402 en SOC 2 zit hem dus vooral in de scope, financieel versus informatiebeveiliging en privacy. Een SOC 2 rapport wordt gevormd door vooraf vastgestelde beheersdoelstellingen, terwijl dit bij een ISAE 3402 rapport door de organisatie zelf kan worden bepaald.

Wat voor jouw organisatie en klanten het meest passend is, daar denken wij graag in mee.

Lees meer over SOC 2

SOC 2 certificaat behalen
SOC 2

Kies voor de aanpak van Hoek en Blok IT

Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE of SOC  Assurance rapportages af om beheersing voor jouw klanten aan te tonen.

Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.

Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.

Meer informatie? Vul het formulier in en we nemen contact met je op.

  • Professionele begeleiding

  • Overtuig jouw klanten

  • Efficiënt en scherpe prijs

    NEEM CONTACT OP

    We begrijpen dat privacy belangrijk voor je is, daarom gebruiken we je gegevens uitsluitend om met je te communiceren. Zie onze privacyverklaring om te zien hoe wij met je gegevens omgaan.