ISAE 3402 vs. SOC 2Wie actief is in de IT-wereld heeft ze vast wel eens voorbij zien komen: de termen ISAE 3402 type 2 en SOC 2. Regelmatig zien we dat mensen op zoek zijn naar een uitleg van deze terminologie. Wat is het verschil of juist de overeenkomst tussen ISAE 3402 type 2 versus SOC 2? In dit artikel zetten we dat voor je uiteen. Mocht je naar aanleiding van het lezen van dit artikel (verdere) vragen hebben, neem dan gerust contact met ons op.

Artikeltip: Lees ook ‘Wat is ISAE 3402?

De ISAE 3402 verklaring

ISAE 3402 staat voor International Standard for Assurance Engagements en is een auditstandaard voor rapportage over beheersing van processen die zijn uitbesteed. Er zijn twee verschillende typen ISAE 3402 verklaringen, namelijk type 1 en type 2.

Handig stappenplan ISAE 3402 nodig?

Stap voor stap op weg naar ISAE 3402? Download dan geheel vrijblijvend dit handige Stappenplan ISAE 3402 en ontdek wat de stappen zijn op weg naar een succesvolle ISAE 3402 implementatie. Voor meer informatie, neem gerust contact met ons op!

DOWNLOAD STAPPENPLAN
ISAE 3402 stappenplan

Het verschil tussen beide zit hem niet in de rapporten zelf, maar juist in de controle die op de rapportages uitgevoerd wordt:

  • ISAE 3402 type 1: Hier wordt gekeken of er een beleid en proces zijn beschreven omtrent de maatregelen die binnen de scope vallen. De auditor checkt of de beschreven situatie overeenkomt met de praktijk. Het betreft hier één meetmoment.
  • ISAE 3402 type 2: Hier wordt gekeken naar de manier waarop de maatregelen hebben gewerkt om de doelstellingen te behalen. Daarvoor is het van belang dat er over een periode van minimaal zes maanden bewijslast wordt verzameld.

Met behulp van een ISAE 3402 rapport kan aangetoond worden dat de processen die zijn uitbesteed beheerst zijn.

Wil je meer lezen over de ISAE 3402 verklaringen? Lees dan het artikel: ‘ISAE 3402 type 1 en ISAE 3402 type 2: een uitleg’.

SOC-rapportages

SOC staat voor Service Organisation Control. Een SOC-rapportage is opgesteld volgens SOC-rapportagenormen en gaat in op de opzet, het bestaan en de werking van beheersmaatregelen die zijn getroffen met betrekking tot uitbestede processen. Er zijn drie soorten SOC-rapportages, namelijk SOC 1, SOC 2 en SOC 3. Elke SOC heeft een ander rapportagegebied en is geldig tot aan het moment dat er wijzigingen plaatsvinden:

  • SOC 1: Rapporteert over de opzet en werking van beheersmaatregelen met betrekking tot financiële verslaglegging van een organisatie.
  • SOC 2: Rapporteert over vastgestelde principes (Trust Services Criteria) in relatie tot de opzet, het bestaan en de werking van operational IT-controls met betrekking tot uitbestede processen.
  • SOC 3: Wanneer er een SOC 2 verklaring is, dan kan er een SOC 3 verklaring worden gevraagd. Dit is een verkorte versie van een SOC 2-rapportage. Hierin wordt beknopt weergegeven hoe de organisatie een SOC 2-engagement heeft behaald. Er wordt dus in grote lijnen over de systeembeschrijven gerapporteerd, zonder daarbij technische maatregelen te benoemen. Een SOC 3 is met name bedoeld om aan huidige en potentiële opdrachtgevers te laten zien dat je als organisatie over de juiste controles beschikt om risico’s met betrekking tot beveiliging, beschikbaarheid, privacy en vertrouwelijkheid van klantinformatie die wordt verwerkt te beperken. Een SOC 3 kun je dus publiekelijk delen.

ISAE 3402 type 2 versus SOC 2: hoe zit het nu?

ISAE 3402 Type 1 en 2In bovenstaande alinea’s is beknopt uitgelegd wat ISAE 3402 is en wat onder SOC-rapportages wordt verstaan. We willen in dit artikel echter graag de vraag ‘ISAE 3402 type 2 versus SOC 2: wat is het verschil’ beantwoorden. Een SOC 2 rapport en een ISAE 3042 type 2 rapport lijken qua opzet op elkaar. Het grootste verschil zit hem echter in de scope (toetsingskader):

Een ISAE type 2 rapport

Een ISAE 3402 rapport is een assurance verklaring die aan een organisatie wordt afgegeven. Een ISAE 3402 type 2 rapportage gaat in op hoe de dienstverlener risico’s beheerst over uitbestede processen. Het toetsingskader wordt daarbij gevormd door de uitbesteding zelf en de financiële processen (is er een relatie met de jaarrekening?). Het is met name vanuit de financiële wereld gebruikelijk om een ISAE 3042 assurance verklaring aan te kunnen tonen. Een financiële instelling zal bijvoorbeeld altijd van leveranciers een ISAE 3402 rapport eisen alvorens de leverancier de diensten mag leveren.

ISAE 3402 gaat uit van de eis dat de doelstellingen betrekking moeten hebben op de behoefte van de account van de organisatie die de service afneemt. Ofwel: het beheersingskader (beheersdoelstellingen en -maatregelen) is bij ISAE zelf samen te stellen. De gedachte hierachter is dat de risico’s van uitbesteding van activiteiten afhankelijk zijn van de situatie. De beheersdoelstellingen en -maatregelen die hierop zijn gebaseerd vormen dus een stukje maatwerk.

Een SOC 2 rapport

Bij een SOC 2 rapportage wordt het toetsingskader niet gevormd door de uitbesteding zelf, maar juist door informatiebeveiliging. SOC 2 rapportages richten zich dus niet op financiële processen, maar juist op Trust Services Criteria als security, availability, confidentiality, processing integrity en privacy in een serviceorganisatie. Bij een SOC 2 rapport wordt de scope dan ook bepaald door deze vooraf gedefinieerde beheersdoelstellingen (Trust Service Criteria).

Bij SOC 2 draait het er vooral om dat de data die wordt verwerkt of gehost geen effect heeft op de jaarrekening van opdrachtgevers. Die opdrachtgevers zijn met name geïnteresseerd in of er op de juiste manier wordt omgegaan met informatiebeveiliging en privacy. Bij een SOC 2 rapport kan bijvoorbeeld gedacht worden aan het verkrijgen van zekerheid over externe Clouddiensten.

Lees ook het artikel: ‘ISAE 3402 versus ISO 27001’.

Meer informatie over ISAE 3402 type 2 vs. SOC 2?

Hopelijk heb je na het lezen van dit blogartikel een beter beeld van het verschil tussen ISAE 3402 type 2 vs. SOC 2. Wil je meer weten over ISAE 3402, SOC of gerelateerde vraagstukken? Neem dan gerust contact met ons op. Onze adviseur vertelt je graag meer over de mogelijkheden.


New call-to-action

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl