Als je werkt aan informatiebeveiliging, kom je al snel uit bij ISO 27001. Maar steeds vaker komt daar een tweede vraag bij: kun je ook een SOC 2-verklaring laten zien? ISO 27001 en SOC 2 zijn op veel vlakken vergelijkbaar. Je kunt een efficiëntieslag maken door de audits te combineren. Dat biedt nuttige voordelen.
Voor het beschermen van een informatiesysteem, IT-infrastructuur en operationele technologie tegen cyberrisico’s verzorgt TÜV NORD verschillende certificeringen. In het geval van SOC 2 of ISAE 3402 assurance-opdrachten op basis van de ISAE 3000-standaard (of het Nederlandse equivalent de NOREA Richtlijn 3000) wordt de audit uitgevoerd door de gecertificeerde IT-auditors (RE’s) van Diggle, een partner van TÜV NORD.
Flip van Ooij / IT-audit en advies
Diggle is opgericht door Flip van Ooij en Chiel Meulendijks. Beiden werkten eerder bij een Big Four-accountantskantoor, net als de meeste van hun werknemers. Zo was Chiel in 2011 betrokken bij een van de eerste ISAE 3402-onderzoeken in Nederland. Het team van Diggle biedt allround IT-audits en advies met oog voor technologische vernieuwing en organisatorische impact. Ze zijn enthousiast over hun samenwerking met TÜV NORD. Zeker als het gaat om de combinatie van ISO 27001 en SOC 2. "Wij helpen klanten vanuit verschillende invalshoeken, terwijl ze hun verhaal maar één keer hoeven te vertellen," vertelt Flip.
Chiel Meulendijks / IT-audit en cybersecurity
Waarom is SOC 2 belangrijk?
SOC 2 is een internationaal erkende rapportagevorm voor informatiebeveiliging die zich vooral richt op het outsourcen van IT- en cloudservices dienstverlening. Met een ISAE 3000/SOC 2-rapport toon je aan dat je je dienstverlening onder controle hebt en dat je de beheersmaatregelen naar behoren uitvoert.
Maar een SOC 2-verklaring biedt veel meer dan alleen compliance. Het is ook een manier om je professionaliteit aan te tonen. Zeker in internationale context. "Als een softwarebedrijf gaat samenwerken met Amerikaanse klanten, komt de SOC 2-eis direct op tafel. Amerikaanse bedrijven willen zeker zijn dat leveranciers hun IT-processen en beheersmaatregelen op orde hebben. Voor hen, maar ook voor andere klanten, geldt een SOC 2-verklaring als een soort brevet van vermogen.”
Efficiëntie door combineren van audits
Het partnership tussen Diggle en TÜV NORD biedt klanten overzicht en gemak. Door de SOC 2-audit slim te combineren met de jaarlijkse ISO 27001-audit, voorkom je dubbel werk. "Er zit een flinke overlap tussen beide trajecten. Het combineren van onze disciplines brengt synergie en maakt het efficiënt." Dat bleek laatst – als voorbeeld – bij een internationale aanbieder van digitale templates. "Zij waren super enthousiast over de praktische aanpak." Bas van Hertom voerde namens TÜV NORD de ISO 27001-audit uit op locatie, terwijl Chiel zijn vragen over het SOC 2-deel stelde. "Dat vraagt goede afstemming. Maar het werkte. En uiteindelijk kregen we van onze klant grote complimenten," lacht Chiel. "Ze vonden dat de gesprekken meer diepgang hadden en waren blij verrast dat ze spraken met twee senior auditoren die kennis hadden van het platform waarop hun systeem draait."
Inhoudelijke synergie tussen SOC 2 en ISO 27001
De gecombineerde aanpak helpt niet alleen om efficiënter aan meerdere compliance-eisen te voldoen. De kennis van de ene standaard kan de implementatie van de andere ook inhoudelijk versterken. “Bij ISO 27001 werk je met vaste maatregelen uit Annex A. SOC 2 kent de Trust Service Criteria. Dat zijn vijf principes waarbinnen je je normen zelf moet ontwerpen, daarbij geholpen door de zogenaamde TSC-points of focus. Het is hierbij slim om waar mogelijk dicht aan te sluiten op de maatregelen uit de Annex A, als basis voor je SOC 2 normenkader. Dan hoef je niet alles vanaf nul zelf te bedenken. En zo ontstaat synergie."
Afstemming op jouw organisatie
Wil jij dit ook? Het combineren van SOC 2 en ISO 27001 bespaart tijd, voorkomt overlap en maakt de inhoud sterker. Het traject levert niet alleen het benodigde rapport op, maar helpt je organisatie ook echt verder. Voor deze combinatie heb je bij TÜV NORD één aanspreekpunt, die de planning voor beide trajecten zal verzorgen. Gemakkelijk en efficiënt. Met onze gezamenlijke brede en langdurige ervaring op het gebied van informatieprocessen kunnen wij je een gedegen rapport overhandigen.
Wil je weten of dit past bij jouw organisatie? We denken graag met je mee. Neem gerust contact op met één van onze specialisten voor meer informatie.
Onderwerpen:
