ISAE 3402 type 2 versus SOC 2: wat is het verschil?

ISAE 3402 type 2 rapportage of SOC 2 rapportage? Hoe zit dat precies?

ISAE 3402 vs. SOC 2
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Wie actief is in de IT-wereld heeft ze vast wel eens voorbij zien komen: de termen ISAE 3402 type 2 en SOC 2. Regelmatig zien we dat mensen op zoek zijn naar een uitleg van deze terminologie. Wat is het verschil of juist de overeenkomst tussen ISAE 3402 type 2 versus SOC 2? In dit artikel zetten we dat voor je uiteen. Mocht je naar aanleiding van het lezen van dit artikel (verdere) vragen hebben, neem dan gerust contact met ons op.

De ISAE 3402 verklaring

ISAE 3402 staat voor International Standard for Assurance Engagements en is een auditstandaard voor rapportage over beheersing van processen die zijn uitbesteed. Er zijn twee verschillende typen ISAE 3402 verklaringen, namelijk type 1 en type 2.

Het verschil tussen beide zit hem niet in de rapporten zelf, maar juist in de controle die op de rapportages uitgevoerd wordt:

  • ISAE 3402 type 1: Hier wordt gekeken of er een beleid en proces zijn beschreven omtrent de maatregelen die binnen de scope vallen. De auditor checkt of de beschreven situatie overeenkomt met de praktijk. Het betreft hier één meetmoment.
  • ISAE 3402 type 2: Hier wordt gekeken naar de manier waarop de maatregelen hebben gewerkt om de doelstellingen te behalen. Daarvoor is het van belang dat er over een periode van minimaal zes maanden bewijs wordt verzameld.

Met behulp van een ISAE 3402 rapport kan aangetoond worden dat de processen die zijn uitbesteed beheerst zijn.

Wil je meer lezen over de ISAE 3402 verklaringen? Lees dan het artikel: ‘ISAE 3402 type 1 en ISAE 3402 type 2: een uitleg’.

SOC-rapportages

SOC staat voor Service Organisation Control. Een SOC-rapportage is opgesteld volgens SOC-rapportagenormen en gaat in op de opzet, het bestaan en de werking van beheersmaatregelen die zijn getroffen met betrekking tot uitbestede processen. Er zijn drie soorten SOC-rapportages, namelijk SOC 1, SOC 2 en SOC 3. Elke SOC heeft een ander rapportagegebied en is geldig tot aan het moment dat er wijzigingen plaatsvinden:

  • SOC 1: Rapporteert over de opzet en werking van beheersmaatregelen met betrekking tot financiële verslaglegging van een organisatie.
  • SOC 2: Rapporteert over vastgestelde principes (Trust Services Criteria) in relatie tot de opzet, het bestaan en de werking van operational IT-controls met betrekking tot uitbestede processen.
  • SOC 3: Wanneer er een SOC 2 verklaring is, dan kan er een SOC 3 verklaring worden gevraagd. Dit is een verkorte versie van een SOC 2-rapportage. Hierin wordt beknopt weergegeven hoe de organisatie een SOC 2-engagement heeft behaald. Er wordt dus in grote lijnen over de systeembeschrijven gerapporteerd, zonder daarbij technische maatregelen te benoemen. Een SOC 3 is met name bedoeld om aan huidige en potentiële opdrachtgevers te laten zien dat je als organisatie over de juiste controles beschikt om risico’s met betrekking tot beveiliging, beschikbaarheid, privacy en vertrouwelijkheid van klantinformatie die wordt verwerkt te beperken. Een SOC 3 kun je dus publiekelijk delen.

ISAE 3402 type 2 versus SOC 2: hoe zit het nu?

In bovenstaande alinea’s is beknopt uitgelegd wat ISAE 3402 is en wat onder SOC-rapportages wordt verstaan. We willen in dit artikel echter graag de vraag ‘ISAE 3402 type 2 versus SOC 2: wat is het verschil’ beantwoorden. Een SOC 2 rapport en een ISAE 3042 type 2 rapport lijken qua opzet op elkaar. Het grootste verschil zit hem echter in de scope (toetsingskader):

Een ISAE type 2 rapport

Een ISAE 3402 rapport is een assurance verklaring die aan een organisatie wordt afgegeven. Een ISAE 3402 type 2 rapportage gaat in op hoe de dienstverlener risico’s beheerst over uitbestede processen. Het toetsingskader wordt daarbij gevormd door de uitbesteding zelf en de financiële processen (is er een relatie met de jaarrekening?). Het is met name vanuit de financiële wereld gebruikelijk om een ISAE 3042 assurance verklaring aan te kunnen tonen. Een financiële instelling zal bijvoorbeeld altijd van leveranciers een ISAE 3402 rapport eisen alvorens de leverancier de diensten mag leveren.

ISAE 3402 gaat uit van de eis dat de doelstellingen betrekking moeten hebben op de behoefte van de account van de organisatie die de service afneemt. Ofwel: het beheersingskader (beheersdoelstellingen en -maatregelen) is bij ISAE zelf samen te stellen. De gedachte hierachter is dat de risico’s van uitbesteding van activiteiten afhankelijk zijn van de situatie. De beheersdoelstellingen en -maatregelen die hierop zijn gebaseerd vormen dus een stukje maatwerk.

Een SOC 2 rapport

Bij een SOC 2 rapportage wordt het toetsingskader niet gevormd door de uitbesteding zelf, maar juist door informatiebeveiliging. SOC 2 rapportages richten zich dus niet op financiële processen, maar juist op Trust Services Criteria als security, availability, confidentiality, processing integrity en privacy in een serviceorganisatie. Bij een SOC 2 rapport wordt de scope dan ook bepaald door deze vooraf gedefinieerde beheersdoelstellingen (Trust Service Criteria).

Bij SOC 2 draait het er vooral om dat de data die wordt verwerkt of gehost geen effect heeft op de jaarrekening van opdrachtgevers. Die opdrachtgevers zijn met name geïnteresseerd in of er op de juiste manier wordt omgegaan met informatiebeveiliging en privacy. Bij een SOC 2 rapport kan bijvoorbeeld gedacht worden aan het verkrijgen van zekerheid over externe Clouddiensten.

Meer informatie over ISAE 3402 type 2 vs. SOC 2?

Hopelijk heb je na het lezen van dit blogartikel een beter beeld van het verschil tussen ISAE 3402 type 2 vs. SOC 2. Wil je meer weten over ISAE 3402, SOC of gerelateerde vraagstukken? Neem dan gerust contact met ons op. Onze adviseur vertelt je graag meer over de mogelijkheden.

New call-to-action

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Stap voor stap ISAE 3402 verklaring?

Download stappenplan

  • Concreet
  • Praktisch
  • Tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields