Wat heb je aan een ISAE/SOC assurance verklaring?
Wat is een assurance verklaring?
Stel: je maakt als organisatie gebruik van een applicatie voor het registreren van verzuimgegevens. Deze applicatie wordt geleverd als Software as a Service (SaaS) door een externe partij. De externe partij maakt tevens gebruik van drie verschillende datacenters. Als organisatie wil je natuurlijk wel weten of alle verzuimgegevens veilig worden geregistreerd en bewaard in de applicatie. Hierbij komen al snel vraagstukken met betrekking tot IT security, compliance en wet- en regelgeving kijken. In zo’n geval kun je als bedrijf een zogeheten assurance verklaring opvragen bij de externe partij. Hiermee vraag je dus eigenlijk om aantoonbare zekerheid over je uitbestede proces.
Wat is ISAE en welke vormen zijn er?
ISAE staat voor ”International Standard on Assurance Engagements” en betreft een standaard voor het aantoonbaar maken van de beheersing van uitbestede processen. Als we het over ISAE hebben, zijn er twee verschillende vormen:
ISAE 3000
ISAE 3000 is een internationale audit standaard waarmee een serviceorganisatie (leverancier) de betrouwbaarheid van de dienstverlening kan aantonen. Deze standaard is bij uitstek geschikt om zekerheid te verschaffen over beveiliging en privacy voor IT managed services en cloud services.
Het is een oordeel van een onafhankelijke en gekwalificeerde auditor. In de audit wordt beoordeelt in hoeverre risico’s op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid zijn beheerst. Het rapport kan worden verstrekt aan klanten en geeft hen zekerheid dat processen op orde zijn.
ISAE 3402
ISAE 3402 is een internationaal herkende standaard voor het verlenen van zekerheid over de beheersing van uitbestede bedrijfsprocessen die relevant zijn voor de jaarrekening van de klant. Hierbij komt in tegenstelling tot een ISAE 3000 dus ook de impact op financiële verslaggeving kijken. Het is geschikt voor leveranciers om aan hun klanten aan te tonen dat de dienst betrouwbaar is.
Wat is SOC en welke vormen zijn er?
SOC staat voor “Service Organization Controls”. Er zijn drie verschillende SOC-verklaringen: SOC 1, SOC 2 en SOC 3.
SOC 1
Een SOC 1 verklaringen is gericht op de financiële verslaggeving bij serviceorganisaties en wordt gebruikt om aan te tonen dat de interne beheersingssysteem bij de serviceorganisatie geschikt is om de financiële rapportage van een klant organisatie te ondersteunen.
SOC 2
Een SOC 2 verklaringen richt zich op de beschikbaarheid, integriteit en vertrouwelijkheid van de systemen van een serviceorganisatie. Deze verklaring wordt gebruikt om aan te tonen dat een organisatie voldoet aan bepaalde normen voor het beheer van haar systemen en dat ze goede zorgvuldigheid hebben betracht in de manier waarop ze de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens van hun klanten behandelen.
SOC 3
Een SOC 3 verklaringen is vergelijkbaar met SOC 2 verklaring, maar is bedoeld voor een breder publiek en bevat geen gedetailleerde informatie over de beveiliging en controles van de serviceorganisatie. In plaats daarvan bevatten ze een algemene verklaring dat de organisatie voldoet aan de relevante normen voor beveiliging, beschikbaarheid, integriteit en vertrouwelijkheid.
SOC 2 verklaring behalen?
Ben je op zoek naar een SOC 2 verklaring? Dit kan alleen gegeven worden door een onafhankelijke deskundige. Bij Hoek en Blok IT bieden we professionele begeleiding om je hierbij te helpen. Onze team van experts heeft de nodige ervaring om je door het hele proces te leiden, zodat jij je kan concentreren op de belangrijke zaken.
Met ons stappenplan zorgen we ervoor dat je volledig voldoet aan de eisen voor een SOC 2 verklaring. Wil je meer weten over onze stappenplan? Download dan onze whitepaper.
Lees meer over IT-assurance verklaringen
Kies voor de aanpak van Hoek en Blok IT
Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven SOC 2 Assurance rapportages af om beheersing voor jouw klanten aan te tonen.
Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.
Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.
Meer informatie? Vul het formulier in en we nemen contact met je op.