SOC 2

SOC 2 Type 1 & 2

Assurance voor IT Dienstverlening

SOC 2:  IT Assurance rapportage voor IT Dienstverleners.

IT Organisaties en IT afdelingen besteden vaker IT diensten uit aan gespecialiseerde leveranciers, waaronder SaaS leveranciers, datacenters en IT Service providers.

Externe toezichthouders eisen vaker dat de leveranciers zekerheid bieden over de geleverde IT diensten, inclusief alle onderaannemers. Dit kan d.m.v. van de uitvoering van een SOC 2 audit bij de dienstverlener, waarna er een IT Asssurance wordt afgegeven als een SOC 2 statement.

Wij bij Cyberus beschikken over gecertificeerde IT Auditors en Consultants, en begrijpen hoe wij organisaties kunnen ontlasten en ontzorgen in het verkrijgen en behouden van een SOC 2 statement. 

De Cyberus Consultants begeleiden organisaties, van MKB tot Corporates, met het behalen van de SOC 2 assurance als een IT Audit en Compliance partner. Daarnaast zijn de Cyberus IT Auditors instaat om SOC 2 audits uit te voeren en assurance statements af te geven.

Voor meer informatie neem gerust contact met ons op!

 'SOC 2 Statement behalen'

 Wij vanuit Cyberus ontzorgen in het behalen van een SOC 2 statement.


In de uitvoering van de daadwerkelijke IT Audit, biedt Cyberus transparantie en efficiëntie in de uitvoering van de de SOC 2 audit.


Cyberus hanteert 4 fases voor zowel audit als advies voor SOC 2


Fase 1

Scoping &
Planning

De eerste stap is de inventarisatie van de scope van het SOC 2 rapport, op basis hiervan wordt een planning voor het audittraject opgesteld.


Het doel hierbij is de planning van de 'SOC 2 audit' of ' SOC 2 implementatietraject' vast te stellen.


Er dient een keuze gemaakt te worden of het advieswerk betreft of de daadwerkelijke audit.

Fase 2

Risicoprofiel &
doelstelling

Na de scope en planning bepaling wordt er een risicoanalyse uitgevoerd evenals de beheersdoelstellingen opgesteld.


Het doel hiervan is de verdere specificatie van de doelstelling van de audit te specificeren van de daadwerkelijk uitvoering of implementatie.




Fase 3

Pre-audit &
Mitigatie

Gedurende de derde fase zal de pre-audit worden uitgevoerd om het geïmplementeerde controle mechanismes. Middels de pre-audit, kunnen de mogelijke bevindingen worden gemitigeerd.


Het doel is het

identificeren van de mogelijke bevindingen en deze te mitigeren voordat de daadwerkelijke audit en zal plaatsvinden.

Fase 4

Audit &
Assurance

Gedurende de vierde en laatste fase zal de audit worden uitgevoerd of zal er ondersteuning worden geleverd, t.b.v. de uitvoering van de audit. Dit ten behoeve van ontzorging.


Het doel is hierbij is de uitvoering van de audit of ondersteuning in het verkrijgen van een SOC 2 assurance report in Type 1 of Type 2.

Aanvullende informatie: SOC (Service Organisation Control) statements

 Naast de in Nederland (en internationaal) meer bekende ISAE statements beschikt Cyberus ook over de expertise in SOC (Service Organisation Control) en is in staat in het afgeven van SOC statements. SOC is de Amerikaanse equivalent van de ISAE statements. Deze standaard is door de AICPA ontwikkeld ten behoeve van rapportages over de interne controles van service organisaties, welke worden gecontroleerd volgens de SSAE16 standaard. Net als bij de ISAE rapporten kennen SOC rapporten een type 1 (oordeel over implementatie op een bepaald moment) en type 2 (oordeel over werking over een bepaalde periode). Uitzondering hierop is de SOC 3 rapportage welke alleen een type 2 kent. 

Er bestaan 3 soorten SOC rapporten:
  1. SOC I: een rapport gebaseerd op de SSAE16 /AT 801 en gebruikt voor rapportage over financiële processen (vergelijkbaar met de ISAE 3402)
  2. SOC II: een rapport gebaseerd op de AT101 standaard, welke zich niet richt op financiële processen, maar op de Trusted Service Criteria principes; security, confidentiality, integrity, availability, privacy en processing integrity (vergelijkbaar met de ISAE 3000).
  3. SOC III: dit rapport betreft een short form report gebaseerd werk uit een SOCII, maar beschikbaar gesteld voor een breder publiek (zie voor een overzicht bedoeld publiek SOC II, tekst onder ISAE 3000). Het beknopte rapport mag op de website van een organisatie geplaatst worden, maar wel met de vereiste dat het rapport geen bevindingen kent (oordeel zonder enige beperking). Tevens geldt voor de SOC III de uitzondering dat het alleen een type 2 rapportage kent).

Kennismaking

Voor een kennismaking met Cyberus, met de consultants en IT auditors over SOC2 neem gerust contact met ons op. 


Dit kan via virtuele afspraak of gewoon bij ons bij op kantoor met een kop koffie.


Ons kantoor is gevestigd bij de HSD (the Hague Security Delta) in Den Haag naast station Den Haag Laan van NOI. Parkeren is mogelijk onder het pand.


In contact met Cyberus

Share by: