088-2028700
info@auditvision.nl
SOC 2 is de afgelopen jaren van nice-to-have uitgegroeid tot must-have. De vraag naar een SOC 2 rapportage neemt sterk toe. ISO 27001 biedt wel een basis, maar geen zekerheid. Bij een audit wordt slechts kort beoordeeld of de PDCA-cyclus wordt gevolgd, zonder garantie dat maatregelen in de praktijk werken. Daarmee kunt u klanten geen bewijs leveren dat beveiliging effectief is toegepast.
Dit betekent dat u snel inzicht moet krijgen in SOC 2 en uw organisatie door het proces moet leiden. Online is er veel informatie, maar vaak complex en verwarrend. Wij helpen u door de essentie eruit te filteren: duidelijke uitleg van de basisterminologie, een overzicht van het proces, praktische tips om tijd te besparen en focus op wat echt belangrijk is.
Waarom kiezen voor AudITvision?
- Transparantie: Onze audits starten vanaf €5000 en we communiceren transparant over de benodigde uren.
- Bewezen track record: Meer dan 800 audits uitgevoerd voor onder andere Gemeente Apeldoorn en de Belastingdienst.
- Officiële NOREA-auditors: Dé beroepsorganisatie voor IT-auditors in Nederland.
Vraag direct een vrijblijvende offerte aan.
Of ontdek in ons whitepaper hoe u eenvoudig kunt starten, wat het traject kost, hoelang het duurt en waar u rekening mee moet houden.
OVER SOC 2
Wat is SOC 2 voor veilige data?
De kern van een assurance opdracht als de SOC 2 en de ISAE 3402 is dat een organisatie (gebruikers-organisatie) bepaalde diensten uitbesteedt aan een andere organisatie (de serviceorganisatie). Doordat diensten worden uitbesteed wil de gebruikersorganisatie wel zeker weten dat de dienst voldoet aan de eisen zoals informatiebeveiliging, juistheid, betrouwbaarheid, etc. Voor een rapportage over de informatiebeveiliging, integriteit, vertrouwelijkheid, beschikbaarheid of privacy is een SOC 2 het aangewezen instrument.
Systems and Organization Controls 2 (SOC 2) is een auditproces dat de prestaties van uw organisatie evalueert. Door het ondergaan van een SOC 2-audit, toont uw organisatie aan dat het in staat is om te voldoen aan de veiligheidscriteria die klanten eisen om vol vertrouwen hun data (en vaak ook die van hun klanten) met u te delen.
Wie beheert SOC 2?
SOC 2 wordt ontwikkeld en beheerd door de Amerikaans Instituut van Gecertificeerde Openbare Accountants (AICPA). Opdrachten die worden uitgevoerd buiten de VS vallen niet onder de Amerikaanse wet- en regelgeving.
Om duidelijk te maken dat rapporten buiten de VS worden uitgevaardigd dient uit het assurance rapport van de auditor te blijken dat de opdracht is uitgevoerd onder ISAE 3000 / System and Organization Controls.nHet is toegestaan om op het rapport (bijvoorbeeld hetvoorblad) de aanduiding SOC 2® of SOC 3® te hanteren.
Het verschil tussen Type 1 en type II-certificering
Een Type 1 kijkt naar controles op het gebied van gegevensbeveiliging en privacy op het moment van de audit (momentopname). Dit type rapport is minder arbeidsintensief en is de basis voor toekomstige audits. Het is vaak het eerste type rapport dat een organisatie krijgt, omdat deze het minst complex is en een mooie start is voor een organisatie. Houd er echter rekening mee dat dat de meeste klanten uiteindelijk willen zien uw bedrijf zich voortdurend inzet om de beveiliging en privacy op orde te hebben. Hiervoor is een Type 2 bedoeld.
Een Type 2 kijkt naar dezelfde set maatregelen als bij de Type 1, maar rapporteert over de effectiviteit van de maatregelen gedurende een periode van 6-12 maanden en bij voorkeur een boekjaar.
NORMENKADER
Opbouw van het normenkader
Een auditor heeft een normenkader nodig om te onderzoeken. Dit normenkader is ingewikkeld om op te stellen voor een SOC 2. Op het eerste gezicht lijkt het echter eenvoudig. In TSC sectie 100, een lijvig rapport met controls, zijn alle normen opgenomen. Maar niet alles is nodig, een goede keuze moet gemaakt worden om te zorgen dat alleen relevante normen worden onderzocht.
Hieronder staat een overzicht op welke wijze de normen die moeten worden onderzocht tot stand komen. Samenvattend moet als eerste een of meerdere van de beginselen (Trust Service Criteria) worden gekozen. Aan ieder gekozen beginsel hangen weer criteria om het beginsel verder te operationaliseren. En aan ieder criteria hangen vervolgens weer Points of Focus om de criteria verder uit te werken. Dat klinkt eenvoudig, maar op basis van onze ervaringen met honderden SOC 2 audits blijkt het best complex en tijdrovend te zijn. Dit moet in 1 keer goed gaan anders loopt het hele traject niet efficiënt en worden niet de juiste zaken onderzocht en sluit het auditrapport niet aan op de behoefte van uw klanten. We gaan de juiste aanpak in de volgende paragrafen verder toelichten.
Ontvang onze gratis whitepaper
Vraag onze gratis SOC 2 whitepaper aan en ontdek hoe u eenvoudig kunt starten, wat het traject kost, hoelang het duurt en waar u rekening mee moet houden.
De 5 Trust Service Criteria voor SOC 2 compliance
De AICPA Assurance Services Executive Committee (ASEC) heeft een set categorieën en criteria ontwikkeld (Trust Services Criteria) voor het beoordelen van beheersingsmaatregelen op het gebied van beveiliging, Beschikbaarheid, Integriteit van processen van systemen, vertrouwelijkheid en privacy. Deze categorieën en criteria worden van tijd tot tijd herzien. De laatste herziening was in 2022.
1
Beveiliging: Het systeem is beveiligd tegen ongeautoriseerde toegang, gebruik of aanpassing.
2
Beschikbaarheid: Het systeem is beschikbaar voor gebruik zoals aangegeven door de serviceorganisatie of zoals overeengekomen.
3
Integriteit van processen: De processen in het systeem zijn volledig, valide, accuraat, tijdig en geautoriseerd.
4
Vertrouwelijkheid: De informatie is vertrouwelijk zoals overeengekomen.
5
Privacy: Het verzamelen, gebruiken, opslaan en verstrekken en vernietigen van persoonlijke informatie is in overeenstemming met het privacybeleid van de gebruikende entiteit en met andere criteria zoals de AVG.
De SOC 2 Criteria
Een groot aantal van de criteria die worden gebruikt om een systeem te beoordelen zijn van toepassing op alle Trust Service beginselen. De criteria zijn georganiseerd in algemene (common) criteria die van toepassing zijn op alle beginselen en in aanvullende criteria die specifiek gelden voor één beginsel. De algemene criteria vormen een complete set voor het beginsel Beveiliging. Voor de andere beginselen is sprake van een combinatie van algemene en aanvullende criteria. Voor de categorie Beschikbaarheid gelden drie aanvullende criteria, voor de categorieën Integriteit van processen, Vertrouwelijkheid en Privacy gaat het om respectievelijk 5, 2 en 18 aanvullende criteria. Meer informatie over de algemene en aanvullende criteria is te vinden op de AICPA website. TSC sectie 100 is onderhavig aan updates en het is dan ook aanbevolen om vast te stellen dat gebruik wordt gemaakt van de actuele versie.
1
Control environment. Deze 5 criteria gaan over hoe de organisatie is gestructureerd en hoe een set aan normen, structuren en processen de basis vormen voor het uitvoeren van interne controle binnen de entiteit. De criteria gaan onder meer over verantwoordelijkheden, integriteit, ethiek, en de kwalificaties van de medewerkers en hun werkomgeving.
2
Communication and information. Deze 3 criteria gaan over hoe de organisatie communiceert over beleid, processen, procedures, afspraken en eisen aan geautoriseerde gebruikers en andere partijen en de verplichtingen die deze gebruikers en partijen hebben ten aanzien van een effectief gebruik van het systeem.
3
Risk assessment. Die 4 criteria gaan over hoe de organisatie potentiële risico’s identificeert die van invloed kunnen zijn op het bereiken van de doelstellingen en hoe zij deze risico’s analyseert.
6
Control activities. Deze 3 criteria gaan over hoe de organisatie maatregelen neemt om onvolkomenheden te adresseren en om de risico’s voor het behalen van de doelstellingen te beperken.
4
Monitoring activities. Deze 2 criteria gaan over hoe de organisatie communiceert over beleid, processen, procedures, afspraken en eisen aan geautoriseerde gebruikers en andere partijen en de verplichtingen die deze gebruikers en partijen hebben ten aanzien van een effectief gebruik van het systeem
5
Control activities. Deze 3 criteria gaan over hoe de organisatie maatregelen neemt om onvolkomenheden te adresseren en om de risico’s voor het behalen van de doelstellingen te beperken.
7
System operations. Deze 8 criteria gaan over hoe de organisatie het systeem uitvoert en daarbij detecteert waar er sprake is van bevindingen, waaronder inbreuken op logische en fysieke beveiliging, en daarmee voldoet aan de criteria in de overeenkomst.
8
Change management. Dit gaat over hoe de organisatie nagaat of er veranderingen in het systeem nodig zijn, hoe deze veranderingen volgens een beheerst change management-proces worden doorgevoerd en hoe ongeautoriseerde veranderingen in het systeem worden voorkomen om te voldoen aan de criteria waar de assuranceopdracht op gericht is.
9
Risk mitigation. Deze 2 criteria gaan over hoe de organisatie reageert op de geïdentificeerde risico’s, waaronder het ontwerp en de implementatie van beheersingsmaatregelen en andere maatregelen die het risico verlagen en voortdurend monitort hoe risico’s en het risicomanagement-proces zich ontwikkelen.
Points of focus voor SOC 2
In TSC sectie 100 zijn onder de doelstellingen (criteria) zogenaamde “Points of Focus” opgenomen. De Points of Focus geven voorbeelden van de aandachtsgebieden waar mogelijk invulling aan gegeven dient te worden middels beheersingsmaatregelen bij de service- organisatie. De Points of Focus geven details ten aanzien van de belangrijke en minimale karakteristieken van elke criteria en helpen de serviceorganisatie en de auditor om de belangrijkste elementen te adresseren bij het identificeren van beheersingsmaatregelen bij de serviceorganisatie en te zorgen voor een grotere consistentie tussen rapporten. De Point of Focus worden ook niet opgenomen in het rapport. De Points of Focus zijn echter nadrukkelijk geen checklist, dienen ook niet allen geadresseerd te worden en dienen derhalve uitsluitend als leidraad voor de serviceorganisatie en auditor.
HOE MOET IK STARTEN?
Een SOC 2-proces starten
Als je nog nooit door de SOC 2-proces bent gegaan, kan het een beetje ingewikkeld lijken. Waar begin je? Wat zijn de stappen? Wie doet wat? Het vinden van de antwoorden is niet eenvoudig, maar hier is het proces in een notendop.
Leer de basis (maar ga niet te diep in op de details!). Het doorbladeren van deze handleiding is een eerste stap voor het verkrijgen van een basiskennis van elke stap van het auditproces, het bepalen van uw auditscope, en het formuleren van je aanvalsplan.
Tenzij je eerder ervaring hebt met SOC 2-audits heb je begeleiding nodig om er doorheen te komen. Wij als auditor kunnen je begeleiden, maar u kunt ook een consultant inhuren en/of investeren in SOC 2-auditworkflowsoftware die de workflow automatiseert en begeleidt. Wij hebben alles in huis en kunnen u van begin tot het eind ondersteunen, zodat de juiste stappen worden gezet en ook nog effectief en efficiënt.
Bepaal samen met ons de scope van de SOC2. Voor welke dienstverlening wilt u de verklaring hebben, welke locaties zitten er in de scope en welke technologieën?
Stel vast welke beginselen onderzocht moeten worden. Beveiliging is altijd een vereiste, maar welke andere criteria eist uw klant of past bij uw dienstverlening? Ook hierbij kunnen wij u ondersteunen om een goede keuze te maken.
Sectie 3 van het SOC 2 rapport is een beschrijving van het zogenaamde systeem. Onderdeel hiervan zijn onder andere de scope en de gekozen beginselen. Maar ook een toelichting van uw organisatie, de dienstverlening, de IT-componenten, de uitbestede diensten, het HR-beleid, de interne beheersing, etc. zijn onderdeel van deze beschrijving. Hiervoor maken wij gebruik van templates die door u gebruikt kunnen worden. Deze templates zijn gebaseerd op de richtlijnen van de AICPA.
Dit is een lastige stap. De criteria zijn namelijk vrij algemeen beschreven en het niet altijd duidelijk wat je precies moet doen om te voldoen aan de criteria. De Points of Focus geven hierbij richting. Maar pas op dat je niet te ver in de details gaat en alle Points of Focus van toepassing verklaart. We hebben ook de beschikking over een mapping naar de ISO27001. Hierdoor heeft u snel een overzicht van de criteria die al zijn geïmplementeerd. Onze auditor zal tijdens de audit ook steunen (in opzet) op de ISO 27001. We zijn allemaal Lead-auditor ISO27001 en kennen beide werelden. Voor de uitwerking van de criteria kunnen wij u goed ondersteunen en richting geven wat gedaan moet worden om te voldoen aan de eisen.
Nu het normenkader is opgesteld en de scope, beginselen en de beschrijving gemaakt zijn kan een gapanalyse worden uitgevoerd. Op basis van het opgestelde normenkader loopt u het normenkader eens door om vast te stellen op hoofdlijnen waar u al aan voldoet. Houd deze stap eenvoudig: Het doel is om hiaten vroegtijdig te identificeren, zodat u tijd heeft om ze vóór de audit af te ronden.
Op basis van de vorige stap kunt u de gaps oplossen zodat deze voor de audit zijn opgelost. De doorlooptijd ligt aan het aantal gaps en de complexiteit en omvang van de organisatie.
Een Type 1 is een tussenstap naar een Type 2. U kunt hiervoor kiezen om u klanten te laten zien dat u een eerste belangrijke stap heeft gezet naar een Type 2. Het is ook een mooie afronding van de voorgaande stappen. Daarnaast is het een goede voorbereiding naar de Type 2 doordat we u kunnen ondersteunen bij het benoemen welk bewijsmateriaal allemaal nodig is om de werking bij de Type 2 vast te stellen.
De komende periode zal met name de nadruk liggen om structureel bewijsmateriaal te verzamelen zodat u aan de auditor kan aantonen dat de controls de gehele meetperiode hebben gewerkt. Eventueel voeren we gedurende de voorbereiding nog een tussentoets uit om vast te stellen of u alles op de juiste manier uitvoert.
Nadat de meetperiode is afgerond kan de audit worden uitgevoerd. De auditor zal dan zowel de documentatie, processen en procedures (opzet) per norm controleren. Maar hij zal ook vaststellen tijdens de audit of er op de beschreven manier wordt gewerkt (bestaan) en of jullie gedurende de gehele meetperiode kunnen aantonen dat er op die manier is gewerkt (werking).
De laatste stap is het uitreiken van de rapportage en het verstrekken van de verklaring.
DE TIJDSLIJNEN
Hoe lang duurt het proces?
Het is moeilijk om een specifiek tijdsbestek te geven, omdat elke organisatie uniek is en SOC 2 een flexibel framework is dat geen vaste regels biedt om te volgen. Elke organisatie heeft daarnaast een ander vertrekpunt en iedereen zal een keuze moeten maken welke van de vijf Trust Service beginselen wordt gekozen. Ook de interpretatie van Trust Service beginselen doet iedere organisatie op zijn eigen manier. Echter, op basis van onze ervaring met het begeleiden en auditen van honderden organisaties voor SOC1 en SOC 2-compliance, kunnen we grove uitgangspunten geven. Een SOC 2 Type 1-audit duurt doorgaans tussen één tot drie maanden, terwijl een SOC 2 Type 2-audit tussen de zes en 12 maanden duurt.
Hoe snel je door het proces heen komt, hangt af van veel factoren. Door inzicht te krijgen in de tijdlijn, een harde deadline, achteruit te werken en deadlines toe te wijzen voor elke kernactiviteit kunt u ervoor zorgen dat het proces op schema blijft. Hiernaast volgt een opzet voor een planning om te komen tot een SOC 2 Type 1 rapportage.
Het implementeren en documenteren van de controls is een van de meest intimiderende en tijdrovende onderdelen van SOC 2, dus het is belangrijk om het goed te doen. Helaas biedt AICPA heel weinig houvast over de controls die een bedrijf moet invoeren om te voldoen aan de criteria of hoe die controles in het verslag moeten worden beschreven.
Organisaties die een SOC 2-audit doorlopen, zullen snel ontdekken dat ze er alleen voor staan als het gaat om de juiste zaken te doen, te selecteren en te definiëren. Zonder een voorbeeld te volgen, is het moeilijk om de bal aan het rollen te krijgen. Dit is waar AudITvision kan helpen.
EEN AUDITORGANISATIE KIEZEN
Het kiezen van de juiste auditorganisatie
Hoe vaak krijg je de kans om de persoon te kiezen die je werk zal evalueren? In een SOC 2-audit is dat precies hoe het werkt. De keuze van de auditor is daarom ongelofelijk belangrijk, niet alleen omdat die persoon uiteindelijk beslist of hij of zij je een schoon rapport geeft, maar omdat deze een grote rol speelt om u te helpen bij het navigeren door een complex proces. Uiteindelijk zal niets een grotere impact hebben op uw auditervaring en resultaten dan de door u gekozen auditor. Deze tips kunnen u helpen bij het kiezen van de beste auditor voor uw organisatie.
Er is niet maar één juiste manier om het SOC 2-framework voor uw bedrijf te implementeren en u wilt samenwerken met een auditor die weet hoe hij de unieke punten van het bedrijf kan verwerken in een normenkader. Sommige auditors hebben een one-size-fits-all proces dat ze verwachten dat je volgt, terwijl anderen meer zullen samenwerken. Wij zijn meer van de samenwerking, maar hebben waar mogelijk ook kant en klare templates om te gebruiken.
U heeft een planning voor ogen en zeker als er afspraken zijn gemaakt met uw klanten moet die worden nagekomen. Zorg dat u deze planning afstemt met de auditor en stel vast of de auditororganisatie kan voldoen aan de planning. Ook aan uw organisatie zal de auditor eisen moeten stellen, zaken als de scope, uitwerking van de Points of Focus en het aan te leveren bewijsmateriaal moet zijn uitgewerkt door de auditor. Overtuig u ervan dat hij of zij daar een goed beeld bij heeft anders leidt dat tot frustraties tijdens het project. We noemen vaak projecten over waarbij de auditororganisatie aangeeft het proces te kennen en de planning te kunnen uitvoeren maar uiteindelijk ontbreekt toch vaak voldoende kennis bij auditororganisaties, ook bij de grote kantoren weten we dat regelmatig vaststellen.
De gemaakte afspraken zijn een goed startpunt. Belangrijker dan de contractuele verplichting is een open en collaboratieve aanpak van het auditproces. Flexibiliteit en wederzijds respect zal een veel grotere voorspeller zijn van het succes van het project dan het contract dat is afgesloten met de auditororganisatie.
Organisaties die aan hun eerste SOC 2 audit beginnen zien de auditor als ‘de baas’. Maar jij bent de baas. Stel de agenda op, daag ze uit en vraag de auditor om u halverwege te ontmoeten. Er is geen gelijk hebben. U moet het samen doen.
Als uw bedrijf heel klein is en je misschien de enige persoon bent die nodig is om te communiceren met de auditor dan maakt het niet veel uit. Maar veel bedrijven die een SOC 2-audit nodig hebben bestaan al snel uit meer dan 25 medewerkers. Dan is het interne team erg belangrijk voor de SOC 2. Als dat zo is, zorg er dan voor dat ze een kans hebben om met de auditor te praten om te zien hoe goed ze met elkaar overweg kunnen.
Val niet in de valkuil van het kiezen van uw SOC 2-auditor op basis van hoe gerespecteerd of bekend hun merk is. Een merk bestaat uit veel verschillende teams die veel verschillende functies vervullen, maar het enige team dat telt is degene die met u samenwerkt aan de audit.
Verkopers zijn er om u te vertellen wat u wilt horen, maar ze zijn niet verantwoordelijk voor het eindproduct en zij zijn niet de persoon met wie u omgaat nadat het contract is getekend. Maak er een vereiste van om rechtstreeks met het deliveryteam te praten en de teamleider.
Vraag altijd naar referenties en zorg ervoor dat ze afkomstig zijn van organisaties in een vergelijkbare grootte, branche en situatie als de jouwe.
ONZE PARTNERS:
SOC2-AUDIT VERSNELLEN
5 Manieren om uw SOC2-audit te versnellen
Benader het niet als een doe-het-zelf-project
Een SOC 2-audit is niet iets om alleen aan te pakken. Vooral als dit uw eerste keer is. Krijg expertise aan uw zijde. Van auditors tot het interne team die u de stap voor stap bijstaan.
Benader het met eerlijkheid
Wees eerlijk tegen uzelf en uw auditor over de tekortkomingen en je bent sneller door de audit heen. Dit geldt met name voor de beoordeling van lacunes: als je bij de gapanalyse de zwakke punten verdoezelt in je systemen en processen dan zal je struikelen tijdens de audit en zal het vertraging opleveren.
Zoek zo snel mogelijk een auditor
Wacht niet met het afronden van de voorbereidingen voor het zoeken naar een auditor. Het vinden van een auditor moet het eerste zijn dat u doet. De auditor is er om u te helpen erachter te komen wat de beste manier is het proces te doorlopen. Zodra u verbinding maakt met een vertrouwde auditor zal het proces veel soepeler verlopen.
Maak een planning
Stel al een deadline op indien mogelijk. Dan kun je achteruit werken om vast te stellen wat er allemaal moet gebeuren. Het helpt deelnemers ook om te begrijpen wat hun rol is in het proces.
Zorg voor buy-in van het management
Uw auditproces kan bestaan uit mensen buiten uw afdeling, zoals HR, IT, legal en finance. Ondersteuning vanuit het management is noodzakelijk om de snelheid te houden in het project.
Benader het niet als een doe-het-zelf-project
Een SOC 2-audit is niet iets om alleen aan te pakken. Vooral als dit uw eerste keer is. Krijg expertise aan uw zijde. Van auditors tot het interne team die u de stap voor stap bijstaan.
Benader het met eerlijkheid
Wees eerlijk tegen uzelf en uw auditor over de tekortkomingen en je bent sneller door de audit heen. Dit geldt met name voor de beoordeling van lacunes: als je bij de gapanalyse de zwakke punten verdoezelt in je systemen en processen dan zal je struikelen tijdens de audit en zal het vertraging opleveren.
Zoek zo snel mogelijk een auditor
Wacht niet met het afronden van de voorbereidingen voor het zoeken naar een auditor. Het vinden van een auditor moet het eerste zijn dat u doet. De auditor is er om u te helpen erachter te komen wat de beste manier is het proces te doorlopen. Zodra u verbinding maakt met een vertrouwde auditor zal het proces veel soepeler verlopen.
Maak een planning
Stel al een deadline op indien mogelijk. Dan kun je achteruit werken om vast te stellen wat er allemaal moet gebeuren. Het helpt deelnemers ook om te begrijpen wat hun rol is in het proces.
Zorg voor buy-in van het management
Uw auditproces kan bestaan uit mensen buiten uw afdeling, zoals HR, IT, legal en finance. Ondersteuning vanuit het management is noodzakelijk om de snelheid te houden in het project.
SOC2-AUDIT VERSNELLEN
5 Manieren om uw SOC2-audit te versnellen
Benader het niet als een doe-het-zelf-project
Een SOC 2-audit is niet iets om alleen aan te pakken. Vooral als dit uw eerste keer is. Krijg expertise aan uw zijde. Van auditors tot het interne team die u de stap voor stap bijstaan.
Benader het met eerlijkheid
Wees eerlijk tegen uzelf en uw auditor over de tekortkomingen en je bent sneller door de audit heen. Dit geldt met name voor de beoordeling van lacunes: als je bij de gapanalyse de zwakke punten verdoezelt in je systemen en processen dan zal je struikelen tijdens de audit en zal het vertraging opleveren.
Zoek zo snel mogelijk een auditor
Wacht niet met het afronden van de voorbereidingen voor het zoeken naar een auditor. Het vinden van een auditor moet het eerste zijn dat u doet. De auditor is er om u te helpen erachter te komen wat de beste manier is het proces te doorlopen. Zodra u verbinding maakt met een vertrouwde auditor zal het proces veel soepeler verlopen.
Maak een planning
Stel al een deadline op indien mogelijk. Dan kun je achteruit werken om vast te stellen wat er allemaal moet gebeuren. Het helpt deelnemers ook om te begrijpen wat hun rol is in het proces.
Zorg voor buy-in van het management
Uw auditproces kan bestaan uit mensen buiten uw afdeling, zoals HR, IT, legal en finance. Ondersteuning vanuit het management is noodzakelijk om de snelheid te houden in het project.
KOSTEN
Wat kost een SOC2-Audit?
Vaak krijgen we van onze klanten op voorhand de vraag wat de kosten zijn van een SOC 2-audit. Dat begrijpen we ook omdat we soms astronomische bedragen horen die echt niet realistisch zijn. De vraag over de kosten is niet eenduidig te beantwoorden, maar op basis van de honderden audits die we hebben uitgevoerd kunnen we hier uiteraard wel een aantal grove richtlijnen geven. Voor het gemak gaan we ervan uit dat de betreffende klant alleen de beginsel informatiebeveiliging heeft gekozen. Dit is een verplicht onderdeel en tevens ook het meeste omvattende. We gaan bij het overzicht uit van een uurtarief van €150,-. Veel kantoren hanteren een veel hoger tarief en brengen nog allerlei andere kosten in rekening. Voor de eenvoud geven wij hieronder aan wat onze grove prijzen zijn die wij in rekening brengen bij klanten. Deze prijzen zijn inclusief alle stappen en dus niet alleen de audit. Voor de Type 1 zal veel tijd worden geïnvesteerd in begeleiding en bij de Type 2 is veel tijd nodig om al het bewijsmateriaal te beoordelen. Nadat een type 2 is uitgevoerd neemt de effort af in de jaren erna.
Wanneer kiezen voor de SOC 2 certificering?
Een SOC 2 audit is essentieel voor bedrijven die services aanbieden waarbij data security en compliance centraal staan. Deze auditing beoordeelt of een company voldoet aan de strenge security-eisen van de SOC 2 standaard. Met een SOC audit wordt gecontroleerd of de beheersmaatregelen SOC adequaat zijn en of er verklaringen SOC zijn die aantonen dat alle processen op orde zijn.
Voor type II-naleving is het noodzakelijk om continu aan de vereiste normen te voldoen. Een succesvolle type II-certificering laat zien dat de services van uw company langdurig en betrouwbaar omgaan met data en security. Tijdens een audit SOC wordt niet alleen gekeken naar policies, maar ook of de dagelijkse services daadwerkelijk voldoen aan de gestelde compliance-eisen.
Het uiteindelijke report van de SOC 2 audit biedt klanten vertrouwen. Dit report laat zien dat de services van uw company optimale data security bieden en volledig in lijn zijn met compliance-standaarden. Security, compliance en data management zijn hierbij onlosmakelijk met elkaar verbonden. Door regelmatig een SOC 2 audit uit te voeren en te investeren in sterke security-maatregelen, verzekert u dat uw services blijven voldoen aan de hoogste eisen van data protection, compliance en betrouwbaarheid.