SOC 2 | ISAE 3000
Begeleiding bij de ISAE 3000 implementatie
Ben jij leverancier van IT-processen? Dan wil je aan jouw klanten, prospects en samenwerkingspartner de zekerheid geven dat de processen op een veilige en betrouwbare manier verlopen. Dit kun je doen met een ISAE 3000 verklaring. Wij zorgen voor een succesvolle implementatie van de norm in jouw organisatie.
Wil jij jouw ISAE 3000 verklaring behalen?
Geen onnodig uitgebreide documentatie
100% succcesgarantie tegen vaste prijzen
Binnen twee weken starten met het project
Brede kennis over normen en branches
ISAE 3000 norm in het kort
De ISAE 3000 is een internationale norm waarmee je aantoont dat je de IT-processen die jij levert goed beheerst. ISAE staat voor International Standard for Assurance Engagements. Het is steeds gebruikelijker dat organisaties IT en andere ondersteunende processen uitbesteden. Het is van belang dat organisaties weten dat de (SaaS-)leverancier de informatie en privacy van hun en eventueel van hun klanten goed en veilig beheren. Als jij zo een leverancier bent die (niet-financiële) klantprocessen ondersteunt met de diensten, dan is een SOC 2 verklaring (ISAE 3000) geschikt om aan te tonen dat je op een veilige manier omgaat met deze informatie. SOC 2 is een internationale erkende verklaring.
Ben jij een leverancier van IT en/of andere ondersteunende processen, gericht op security of niet-financiële data? Dan helpen wij jou bij het behalen van een SOC2 (ISAE 3000-)verklaring. Weten hoe?
Verschil in type ISAE verklaring
Wanneer je voldoet aan de eisen van een ISO norm ontvang je een certificaat. Bij ISAE is dit geen certificering maar een verklaring. Dit is een Assurance verklaring. Er zijn twee soorten ISAE 3000 verklaringen:
- ISAE 3000 type 1
- ISAE 3000 type 2
Net zoals ISAE 3402 zijn ook bij ISAE 3000 de verklaringen inhoudelijk hetzelfde. Het verschil zit in de controle die je uitvoert.
ISAE 3000 type 1
De uitgevoerde controle bij de SOC 2 (ISAE 3000 ) type 1 bestaat uit het toetsen van de opzet en het bestaan van de beheersmaatregelen. Het schetst een beeld van de beheersmaatregelen op één moment.
ISAE 3000 type 2
Bij een SOC 2 (ISAE 3000) type 2 verklaring start je met het opzetten van de beheersmaatregelen. De controle die vervolgens wordt gedaan, doe je op het bestaan én de werking van de maatregelen over een bepaalde periode. Dit is vaak een tijdspanne van 6 maanden tot 1 jaar. De SOC 2 (ISAE 3000) type 2 verklaring zegt dus niet alleen of de maatregelen aanwezig zijn, maar geeft ook weer hoe effectief ze zijn in de getoetste periode. Dit geeft een goed beeld over hoe de leverancier de uitbestede processen beheerst.
Wil je weten welk type past bij jouw organisatie?
Verschil ISAE 3000 en ISAE 3402
De verklaringen van deze twee rapportage standaarden kennen grote overlappen. Het verschil zit hem in de aard van de geleverde processen. Voor security en niet-financiële data is de SOC 2 (ISAE 3000) geschikt. Lever je processen met een directe link naar de geld- goederenbeweging, of verwerking van financiële informatie, met een directe relatie naar de jaarrekening van de klant, dan is de ISAE 3402 geschikt.
Wij helpen bij het behalen van jouw ISAE 3000 verklaring
Volledig beheer managementsysteem
Het is zover: je managementsysteem staat. En nu? Het managementsysteem heeft onderhoud nodig. Maar jij hebt het al druk genoeg...
Lees meerOnderhoudstrajecten
Al het harde werk heeft geresulteerd in een ISO certificaat en een goed functionerend managementsysteem. Maar hoe nu verder? Het...
Lees meerIntensieve begeleiding
Je gaat aan de slag om een managementsysteem, dat voldoet aan de laatste eisen van een bepaalde ISO norm, op...
Lees meerCoachingtraject
Bij het opzetten van een managementsysteem sta je voor een flinke uitdaging. Hoe interpreteer je de verschillende eisen? Hoe verzamel...
Lees meerDe voordelen van een SOC 2 (ISAE 3000) verklaring
Als leverancier wil je aantonen dat jij de geleverde processen goed beheerst en dat je de informatie van jouw klant goed beveiligd. Buiten de voordelen van een SOC 2 (ISAE 3000) verklaring voor je klant, heeft de verklaring ook een positief effect op jouw interne organisatie. Je hebt jouw processen beter “in control”, het is effectief ingericht en je kunt efficiënt te werk gaan.
SOC 2 (ISAE 3000) is interessant voor Software as a Service (SaaS) leveranciers van onder andere een cloud dienstverlening.
Het behalen van een SOC 2 (ISAE 3000) verklaring
Om een ISAE 3000 verklaring te behalen moet je een Service Organization Control Report (SOC) uitvoeren. De rapportage heeft specifieke rapportage voorschriften. Wij kunnen daarin voorzien. De controledoelstellingen (trust service criteria) zijn gegeven, maar de daadwerkelijke beheersingsmaatregelen zijn vrij en dus ben je vrij om hier een vorm aan te geven. Je kan maatregelen kiezen, die goed bij de organisatie passen, zolang deze maar voldoende invulling geven aan de trust service criteria.
KAM Consultants kan hierin ondersteunen. We kijken samen met jou naar de lopende processen en gaan aan de slag met het opzetten van de beheersingsmaatregelen. Ook begeleiden we jouw organisatie om de juiste partij te selecteren zodat de rapportage wordt ondertekend door een door NOREA erkende IT-auditor. Als dat loopt blijven we de beheersmaatregelen toepassen, zodat jouw organisatie jaarlijks een geldende assurance verklaring kan krijgen.
Iedere organisatie is anders, wil jij advies op maat ontvangen over hoe je de SOC 2 (ISAE 3000) het beste kunt implementeren? Neem gerust contact met ons op en we helpen je graag verder!
Kosten ISAE 3000 verklaring
De kosten van een ISAE 3000 verklaring hangen af van een aantal factoren: de grootte van je organisatie, de complexiteit en de behoeften van jouw organisatie. Wil je weten wat de specifieke kosten voor jouw organisatie zijn? Vraag dan eenvoudig een offerte aan.
Interessante ISAE 3000 gerelateerde artikelen
ISO 27001 audit
Naam(Vereist) Voornaam Achternaam Bedrijfsnaam(Vereist) E-mailadres(Vereist) CommentsDit veld is bedoeld voor...
Lees meerVolledig beheer: “De verwachting is zeker waargemaakt”
“Wij kozen uiteindelijk voor KAM Consultants omdat zij het volledig...
Lees meerWat doet een KAM coördinator?
Voornaam(Vereist) Voornaam Bedrijfsnaam(Vereist) E-mailadres(Vereist) PhoneDit veld is bedoeld voor validatiedoeleinden...
Lees meerISO 27001:2022 gepubliceerd. Wat betekent het?
Vraag een offerte aan
Lees meerPersoonlijk advies?
Heb je vragen of wil je een vrijblijvende offerte ontvangen? Vul onderstaand formulier in en we nemen binnen 1 werkdag contact met je op.