Question 1

Wat is SOC 2?

Accepted Answer

SOC 2 is een AICPA-assurance-opdracht die rapporteert over maatregelen bij een serviceorganisatie die relevant zijn voor security, availability, processing integrity, confidentiality of privacy, gebaseerd op de Trust Services Criteria.

Question 2

Wie gebruikt SOC 2-rapporten?

Accepted Answer

Klanten van dienstverleners, hun auditors en inkoopteams gebruiken SOC 2-rapporten om de maatregelen bij serviceorganisaties die hun data hosten of verwerken te beoordelen.

Question 3

Wat zijn de Trust Services Criteria?

Accepted Answer

De Trust Services Criteria definiëren common criteria voor security en aanvullende criteria voor availability, processing integrity, confidentiality en privacy. Security valt altijd onder de scope; andere categorieën worden gekozen op basis van service commitments.

Question 4

Wat is het verschil tussen Type 1 en Type 2?

Accepted Answer

Een Type 1-rapport beoordeelt de geschiktheid van de opzet van maatregelen op een specifieke datum. Een Type 2-rapport beoordeelt ook de werking van maatregelen over een periode, doorgaans zes of twaalf maanden.

Question 5

Wat is de systeembeschrijving?

Accepted Answer

De systeembeschrijving legt de diensten, grenzen, infrastructuur, software, mensen, procedures en data van het beoordeelde systeem uit. Dit is een belangrijk onderdeel van het SOC 2-rapport.

Question 6

Wat zijn CUEC's?

Accepted Answer

Complementary User Entity Controls zijn maatregelen die klanten moeten implementeren om de criteria van het rapport van de serviceorganisatie te realiseren, bijvoorbeeld het beheren van eigen gebruikersaccounts in de dienst.

Question 7

Hoe verhoudt SOC 2 zich tot ISO 27001?

Accepted Answer

SOC 2 en ISO 27001 vullen elkaar sterk aan. ISO 27001 biedt een certificeerbaar ISMS, SOC 2 een assurance-rapport op specifieke Trust Services Criteria. Veel maatregelen worden gedeeld.

Question 8

Hoe verhoudt SOC 2 zich tot SOC 1?

Accepted Answer

SOC 1 richt zich op maatregelen bij een serviceorganisatie die relevant zijn voor de interne beheersing van financiële verslaggeving van gebruikersorganisaties. SOC 2 behandelt operationele en security-criteria en is niet gericht op financiële verslaggeving.

Question 9

Wat is een SOC 3-rapport?

Accepted Answer

Een SOC 3-rapport is een korte samenvatting voor algemeen gebruik die publiek kan worden gedeeld. Het is gebaseerd op een SOC 2-opdracht maar zonder gedetailleerde testresultaten.

Question 10

Hoe ondersteunt Basenorm SOC 2?

Accepted Answer

Basenorm centraliseert Trust Services Criteria, systeembeschrijving, bewijsverzameling, auditorsamenwerking en uitzonderingsbeheer, met mappings naar ISO 27001, NIST en andere frameworks.

SOC 2-rapporten voor security en vertrouwen

Trust Services Criteria en scope

Trust Services Criteria

Type 1 vs Type 2 vergelijking

Type 1- en Type 2-bewijs

Auditorsamenwerking en continue compliance

Bewijsdossier auditor

Klaar om SOC 2 doorlopend te voeren?

Veelgestelde vragen