088-2028700
info@auditvision.nl
Een SOC 2 audit helpt organisaties om onafhankelijk aan te tonen dat beheersmaatregelen rondom informatiebeveiliging, beschikbaarheid, vertrouwelijkheid en privacy effectief zijn ingericht. Steeds meer klanten vragen om een SOC 2 rapport voordat zij samenwerken met softwarebedrijven, cloudproviders en andere IT-dienstverleners.
Veel organisaties verwachten dat een SOC 2 traject automatisch ingewikkeld, tijdrovend en kostbaar is. In de praktijk ontstaat die complexiteit vaak door onduidelijke verwachtingen, ontbrekende voorbereiding of een gebrek aan structuur.
Bij AudITvision houden we het traject overzichtelijk. We brengen snel in kaart wat nodig is, waar eventuele aandachtspunten zitten en hoe je efficiënt kunt toewerken naar een SOC 2 Type I of Type II rapport.
Een SOC 2 audit is een onafhankelijke assurance-opdracht waarbij wordt beoordeeld of jouw organisatie passende beheersmaatregelen heeft ingericht en aantoonbaar beheerst. Klaar om te starten met SOC 2? Plan een intake of vraag een offerte aan en ontdek wat er nodig is voor jouw organisatie.
Waarom kiezen organisaties voor AudITvision?
- Ervaren NOREA-auditors met expertise in assurance-opdrachten
- Praktische aanpak zonder onnodige complexiteit
- Duidelijke planning en korte communicatielijnen
- Ervaring met SaaS-bedrijven, cloudproviders en IT-dienstverleners
- Transparante tarieven en heldere verwachtingen vooraf
OVER SOC 2
Waarom vragen klanten om een SOC 2 rapport?
Steeds vaker krijgen organisaties vragen van klanten over informatiebeveiliging, privacy en de manier waarop zij omgaan met gevoelige gegevens. Zeker wanneer je software, cloudoplossingen of IT-diensten levert, willen klanten zekerheid dat hun data veilig is en dat risico’s beheerst worden.
Met een onafhankelijke assurance-audit maak je aantoonbaar dat processen en beheersmaatregelen rondom beveiliging, beschikbaarheid, vertrouwelijkheid en privacy goed zijn ingericht én effectief functioneren in de praktijk. Het resultaat is een rapport waarmee je richting klanten, prospects en andere stakeholders kunt laten zien dat informatiebeveiliging serieus wordt genomen.
Waar een ISAE 3402-rapport zich vooral richt op beheersmaatregelen rondom financiële processen en dienstverlening, ligt de focus hier juist op informatiebeveiliging en de bescherming van data. Voor veel SaaS-bedrijven, cloudproviders en IT-dienstverleners is dit inmiddels een belangrijk onderdeel geworden van aanbestedingen, leveranciersbeoordelingen en internationale samenwerkingen.
Met een audit laat je zien dat informatiebeveiliging niet alleen op papier goed geregeld is, maar ook aantoonbaar werkt in de dagelijkse praktijk.
Wie beheert SOC 2?
SOC 2 wordt ontwikkeld en beheerd door de Amerikaans Instituut van Gecertificeerde Openbare Accountants (AICPA). Opdrachten die worden uitgevoerd buiten de VS vallen niet onder de Amerikaanse wet- en regelgeving.
Om duidelijk te maken dat rapporten buiten de VS worden uitgevaardigd moet uit het assurance rapport van de auditor blijken dat de opdracht is uitgevoerd onder ISAE 3000 / System and Organization Controls. Het is toegestaan om op het rapport (bijvoorbeeld het voorblad) de aanduiding SOC 2® of SOC 3® te hanteren.
Het verschil tussen type 1 en type II-certificering
Een Type 1 kijkt naar controles op het gebied van gegevensbeveiliging en privacy op het moment van de audit (momentopname). Dit type rapport is minder arbeidsintensief en is de basis voor toekomstige audits. Het is vaak het eerste type rapport dat een organisatie krijgt, omdat deze het minst complex is en een mooie start is voor een organisatie. Houd er echter rekening mee dat dat de meeste klanten uiteindelijk willen zien jouw bedrijf zich voortdurend inzet om de beveiliging en privacy op orde te hebben. Hiervoor is een Type 2 bedoeld.
Een Type 2 kijkt naar dezelfde set maatregelen als bij de Type 1, maar rapporteert over de effectiviteit van de maatregelen gedurende een periode van 6-12 maanden en bij voorkeur een boekjaar.
NORMENKADER
Opbouw van het normenkader
Een auditor heeft een normenkader nodig om te onderzoeken. Dit normenkader is ingewikkeld om op te stellen voor een SOC 2. Op het eerste gezicht lijkt het echter eenvoudig. In TSC sectie 100, een lijvig rapport met controls, zijn alle normen opgenomen. Maar niet alles is nodig, een goede keuze moet gemaakt worden om te zorgen dat alleen relevante normen worden onderzocht.
Hieronder staat een overzicht op welke wijze de normen die moeten worden onderzocht tot stand komen. Samenvattend moet als eerste een of meerdere van de beginselen (Trust Service Criteria) worden gekozen. Aan ieder gekozen beginsel hangen weer criteria om het beginsel verder te operationaliseren. En aan ieder criteria hangen vervolgens weer Points of Focus om de criteria verder uit te werken. Dat klinkt eenvoudig, maar op basis van onze ervaringen met honderden SOC 2 audits blijkt het best complex en tijdrovend te zijn. Dit moet in 1 keer goed gaan anders loopt het hele traject niet efficiënt en worden niet de juiste zaken onderzocht en sluit het auditrapport niet aan op de behoefte van uw klanten. We gaan de juiste aanpak in de volgende paragrafen verder toelichten.
Ontvang onze gratis whitepaper
Vraag onze gratis SOC 2 whitepaper aan en ontdek hoe je eenvoudig kunt starten, wat het traject kost, hoelang het duurt en waar je rekening mee moet houden.
De 5 Trust Service Criteria voor SOC 2 compliance
De AICPA Assurance Services Executive Committee (ASEC) heeft een set categorieën en criteria ontwikkeld (Trust Services Criteria) voor het beoordelen van beheersingsmaatregelen op het gebied van beveiliging, Beschikbaarheid, Integriteit van processen van systemen, vertrouwelijkheid en privacy. Deze categorieën en criteria worden van tijd tot tijd herzien. De laatste herziening was in 2022.
1
Beveiliging: Het systeem is beveiligd tegen ongeautoriseerde toegang, gebruik of aanpassing.
2
Beschikbaarheid: Het systeem is beschikbaar voor gebruik zoals aangegeven door de serviceorganisatie of zoals overeengekomen.
3
Integriteit van processen: De processen in het systeem zijn volledig, valide, accuraat, tijdig en geautoriseerd.
4
Vertrouwelijkheid: De informatie is vertrouwelijk zoals overeengekomen.
5
Privacy: Het verzamelen, gebruiken, opslaan en verstrekken en vernietigen van persoonlijke informatie is in overeenstemming met het privacybeleid van de gebruikende entiteit en met andere criteria zoals de AVG.
De SOC 2 Criteria
Een groot aantal van de criteria die worden gebruikt om een systeem te beoordelen zijn van toepassing op alle Trust Service beginselen. De criteria zijn georganiseerd in algemene (common) criteria die van toepassing zijn op alle beginselen en in aanvullende criteria die specifiek gelden voor één beginsel. De algemene criteria vormen een complete set voor het beginsel Beveiliging. Voor de andere beginselen is sprake van een combinatie van algemene en aanvullende criteria. Voor de categorie Beschikbaarheid gelden drie aanvullende criteria, voor de categorieën Integriteit van processen, Vertrouwelijkheid en Privacy gaat het om respectievelijk 5, 2 en 18 aanvullende criteria. Meer informatie over de algemene en aanvullende criteria is te vinden op de AICPA website. TSC sectie 100 is onderhavig aan updates en het is dan ook aanbevolen om vast te stellen dat gebruik wordt gemaakt van de actuele versie.
1
Control environment. Deze 5 criteria gaan over hoe de organisatie is gestructureerd en hoe een set aan normen, structuren en processen de basis vormen voor het uitvoeren van interne controle binnen de entiteit. De criteria gaan onder meer over verantwoordelijkheden, integriteit, ethiek, en de kwalificaties van de medewerkers en hun werkomgeving.
2
Communication and information. Deze 3 criteria gaan over hoe de organisatie communiceert over beleid, processen, procedures, afspraken en eisen aan geautoriseerde gebruikers en andere partijen en de verplichtingen die deze gebruikers en partijen hebben ten aanzien van een effectief gebruik van het systeem.
3
Risk assessment. Die 4 criteria gaan over hoe de organisatie potentiële risico’s identificeert die van invloed kunnen zijn op het bereiken van de doelstellingen en hoe zij deze risico’s analyseert.
6
Control activities. Deze 3 criteria gaan over hoe de organisatie maatregelen neemt om onvolkomenheden te adresseren en om de risico’s voor het behalen van de doelstellingen te beperken.
4
Monitoring activities. Deze 2 criteria gaan over hoe de organisatie communiceert over beleid, processen, procedures, afspraken en eisen aan geautoriseerde gebruikers en andere partijen en de verplichtingen die deze gebruikers en partijen hebben ten aanzien van een effectief gebruik van het systeem
5
Control activities. Deze 3 criteria gaan over hoe de organisatie maatregelen neemt om onvolkomenheden te adresseren en om de risico’s voor het behalen van de doelstellingen te beperken.
7
System operations. Deze 8 criteria gaan over hoe de organisatie het systeem uitvoert en daarbij detecteert waar er sprake is van bevindingen, waaronder inbreuken op logische en fysieke beveiliging, en daarmee voldoet aan de criteria in de overeenkomst.
8
Change management. Dit gaat over hoe de organisatie nagaat of er veranderingen in het systeem nodig zijn, hoe deze veranderingen volgens een beheerst change management-proces worden doorgevoerd en hoe ongeautoriseerde veranderingen in het systeem worden voorkomen om te voldoen aan de criteria waar de assuranceopdracht op gericht is.
9
Risk migration. Deze 2 criteria gaan over hoe de organisatie reageert op de geïdentificeerde risico’s, waaronder het ontwerp en de implementatie van beheersingsmaatregelen en andere maatregelen die het risico verlagen en voortdurend monitort hoe risico’s en het risicomanagement-proces zich ontwikkelen.
HOE MOET IK STARTEN?
Een SOC 2-proces starten
Als je nog nooit door een SOC 2-proces bent gegaan, kan het een beetje ingewikkeld lijken. Waar begin je? Wat zijn de stappen? Wie doet wat? Het vinden van de antwoorden is niet eenvoudig, maar hier is het proces in een notendop.
Leer de basis (maar ga niet te diep in op de details!). Het doorbladeren van deze handleiding is een eerste stap voor het verkrijgen van een basiskennis van elke stap van het auditproces, het bepalen van jouw auditscope en het formuleren van je aanvalsplan.
Tenzij je eerder ervaring hebt met SOC 2-audits heb je begeleiding nodig om er doorheen te komen. Wij als auditor kunnen je begeleiden, maar je kunt ook een consultant inhuren en/of investeren in SOC 2-auditworkflowsoftware die de workflow automatiseert en begeleidt. Wij hebben alles in huis en ondersteunen je van begin tot het eind, zodat de juiste stappen worden gezet en ook nog effectief en efficiënt.
Bepaal samen met ons de scope van de SOC2. Voor welke dienstverlening wil je de verklaring hebben, welke locaties zitten er in de scope en welke technologieën?
Stel vast welke beginselen onderzocht moeten worden. Beveiliging is altijd een vereiste, maar welke andere criteria eist jouw klant of past bij jouw dienstverlening? Ook hierbij ondersteunen wij om een goede keuze te maken.
Sectie 3 van het SOC 2 rapport is een beschrijving van het zogenaamde systeem. Onderdeel hiervan zijn onder andere de scope en de gekozen beginselen. Maar ook een toelichting van jouw organisatie, de dienstverlening, de IT-componenten, de uitbestede diensten, het HR-beleid, de interne beheersing, etc. zijn onderdeel van deze beschrijving. Hiervoor maken wij gebruik van templates die door jou gebruikt kunnen worden. Deze templates zijn gebaseerd op de richtlijnen van de AICPA.
Dit is een lastige stap. De criteria zijn namelijk vrij algemeen beschreven en het niet altijd duidelijk wat je precies moet doen om te voldoen aan de criteria. De Points of Focus geven hierbij richting. Maar pas op dat je niet te ver in de details gaat en alle Points of Focus van toepassing verklaart. We hebben ook de beschikking over een mapping naar de ISO27001. Hierdoor heb je snel een overzicht van de criteria die al zijn geïmplementeerd. Onze auditor zal tijdens de audit ook steunen (in opzet) op de ISO 27001. We zijn allemaal Lead-auditor ISO27001 en kennen beide werelden. Voor de uitwerking van de criteria ondersteunen wij je geven we richting wat gedaan moet worden om te voldoen aan de eisen.
Nu het normenkader is opgesteld en de scope, beginselen en de beschrijving gemaakt zijn kan een gapanalyse worden uitgevoerd. Op basis van het opgestelde normenkader loop je het normenkader eens door om vast te stellen op hoofdlijnen waar je al aan voldoet. Hou deze stap eenvoudig: Het doel is om hiaten vroegtijdig te identificeren, zodat je tijd hebt om ze vóór de audit af te ronden.
Op basis van de vorige stap kun je de gaps oplossen zodat deze voor de audit zijn opgelost. De doorlooptijd ligt aan het aantal gaps en de complexiteit en omvang van de organisatie.
Een Type 1 is een tussenstap naar een Type 2. Je kunt hiervoor kiezen om jouw klanten te laten zien dat je een eerste belangrijke stap hebt gezet naar een Type 2. Het is ook een mooie afronding van de voorgaande stappen. Daarnaast is het een goede voorbereiding naar de Type 2 doordat we je ondersteunen bij het benoemen welk bewijsmateriaal allemaal nodig is om de werking bij de Type 2 vast te stellen.
De komende periode zal met name de nadruk liggen om structureel bewijsmateriaal te verzamelen zodat je aan de auditor kan aantonen dat de controls de gehele meetperiode hebben gewerkt. Eventueel voeren we gedurende de voorbereiding nog een tussentoets uit om vast te stellen of je alles op de juiste manier uitvoert.
Nadat de meetperiode is afgerond kan de audit worden uitgevoerd. De auditor zal dan zowel de documentatie, processen en procedures (opzet) per norm controleren. Maar hij zal ook vaststellen tijdens de audit of er op de beschreven manier wordt gewerkt (bestaan) en of jullie gedurende de gehele meetperiode kunnen aantonen dat er op die manier is gewerkt (werking).
De laatste stap is het uitreiken van de rapportage en het verstrekken van de verklaring.
DE TIJDSLIJNEN
Hoe lang duurt het proces?
Het is moeilijk om een specifiek tijdsbestek te geven, omdat elke organisatie uniek is en SOC 2 een flexibel framework is dat geen vaste regels biedt om te volgen. Elke organisatie heeft daarnaast een ander vertrekpunt en iedereen zal een keuze moeten maken welke van de vijf Trust Service beginselen wordt gekozen. Ook de interpretatie van Trust Service beginselen doet iedere organisatie op zijn eigen manier. Echter, op basis van onze ervaring met het begeleiden en auditen van honderden organisaties voor SOC1 en SOC 2-compliance, kunnen we grove uitgangspunten geven. Een SOC 2 Type 1-audit duurt doorgaans tussen één tot drie maanden, terwijl een SOC 2 Type 2-audit tussen de zes en 12 maanden duurt.
Hoe snel je door het proces heen komt, hangt af van veel factoren. Door inzicht te krijgen in de tijdlijn, een harde deadline, achteruit te werken en deadlines toe te wijzen voor elke kernactiviteit kunt u ervoor zorgen dat het proces op schema blijft. Hiernaast volgt een opzet voor een planning om te komen tot een SOC 2 Type 1 rapportage.
Het implementeren en documenteren van de controls is een van de meest intimiderende en tijdrovende onderdelen van SOC 2, dus het is belangrijk om het goed te doen. Helaas biedt AICPA heel weinig houvast over de controls die een bedrijf moet invoeren om te voldoen aan de criteria of hoe die controles in het verslag moeten worden beschreven.
Organisaties die een SOC 2-audit doorlopen, zullen snel ontdekken dat ze er alleen voor staan als het gaat om de juiste zaken te doen, te selecteren en te definiëren. Zonder een voorbeeld te volgen, is het moeilijk om de bal aan het rollen te krijgen. Dit is waar AudITvision kan helpen.
ONZE PARTNERS:
SOC2-AUDIT VERSNELLEN
5 manieren om jouw SOC 2 te versnellen
Benader het niet als een doe-het-zelf-project
Een SOC 2-audit is niet iets om alleen aan te pakken. Vooral als dit de eerste keer is. Krijg expertise aan jouw zijde. Van auditors tot het interne team die je de stap voor stap bijstaan.
Benader het met eerlijkheid
Wees eerlijk tegen jezelf en jouw auditor over de tekortkomingen en je bent sneller door de audit heen. Dit geldt met name voor de beoordeling van lacunes: als je bij de gapanalyse de zwakke punten verdoezelt in je systemen en processen dan zal je struikelen tijdens de audit en zal het vertraging opleveren.
Zoek zo snel mogelijk een auditor
Wacht niet met het afronden van de voorbereidingen voor het zoeken naar een auditor. Het vinden van een auditor moet het eerste zijn dat je doet. De auditor is er om je te helpen erachter te komen wat de beste manier is het proces te doorlopen. Zodra je verbinding maakt met een vertrouwde auditor zal het proces veel soepeler verlopen.
Maak een planning
Stel al een deadline op indien mogelijk. Dan kun je achteruit werken om vast te stellen wat er allemaal moet gebeuren. Het helpt deelnemers ook om te begrijpen wat hun rol is in het proces.
Zorg voor buy-in van het management
Jouw auditproces kan bestaan uit mensen buiten jouw afdeling, zoals HR, IT, legal en finance. Ondersteuning vanuit het management is noodzakelijk om de snelheid te houden in het project.
KOSTEN
Wat kost een SOC 2-audit?
Vaak krijgen we van onze klanten op voorhand de vraag wat de kosten zijn van een SOC 2-audit. Dat begrijpen we ook omdat we soms astronomische bedragen horen die echt niet realistisch zijn. De vraag over de kosten is niet eenduidig te beantwoorden, maar op basis van de honderden audits die we hebben uitgevoerd kunnen we hier uiteraard wel een aantal grove richtlijnen geven. Voor het gemak gaan we ervan uit dat de betreffende klant alleen de beginsel informatiebeveiliging heeft gekozen. Dit is een verplicht onderdeel en tevens ook het meeste omvattende. We gaan bij het overzicht uit van een uurtarief van €150,-. Veel kantoren hanteren een veel hoger tarief en brengen nog allerlei andere kosten in rekening. Voor de eenvoud geven wij hieronder aan wat onze grove prijzen zijn die wij in rekening brengen bij klanten. Deze prijzen zijn inclusief alle stappen en dus niet alleen de audit. Voor de Type 1 zal veel tijd worden geïnvesteerd in begeleiding en bij de Type 2 is veel tijd nodig om al het bewijsmateriaal te beoordelen. Nadat een type 2 is uitgevoerd neemt de effort af in de jaren erna.
Wanneer kiezen voor de SOC 2 certificering?
Een SOC 2-audit is essentieel voor organisaties die diensten leveren waarbij data en informatiebeveiliging centraal staan. De audit beoordeelt of jouw organisatie voldoet aan de eisen van de SOC 2-standaard en of jouw beheersmaatregelen effectief zijn ingericht én werken in de praktijk.
Bij een SOC 2 Type II-audit wordt gekeken naar de werking van je maatregelen over een langere periode. Daarmee toon je aan dat je processen niet alleen goed zijn ingericht, maar ook structureel functioneren. Dit is voor klanten vaak doorslaggevend.
Tijdens de audit kijken we niet alleen naar beleid en documentatie, maar juist naar de dagelijkse praktijk: werken je controls zoals bedoeld en kun je dit aantoonbaar maken?
Het uiteindelijke SOC 2-rapport geeft klanten vertrouwen. Het laat zien dat je data zorgvuldig beheert en dat je voldoet aan relevante beveiligings- en compliance-eisen. Daarmee versterk je niet alleen je positie richting klanten, maar ook je interne beheersing.