Skip to the content

Menu

Hoe bereidt u zich voor op een SOC 2 audit?

Bereid je voor op een SOC 2 audit met deze 10 stappen

Wat is SOC 2?

Veel organisaties besteden tegenwoordig hun geautomatiseerde gegevensverwerking gedeeltelijk of volledig uit bij IT-serviceorganisaties die SaaS diensten leveren. Echter, hoe weten organisaties dat die SaaS dienst veilig is?

Om hier antwoord op te geven, kunnen IT serviceorganisaties de Service Organisatie Control (SOC 2) standaard gebruiken. SOC 2 werkt op basis van zogenaamde Trust Services Criteria (normen) waarmee inzicht kan worden gegeven aan (potentiële) klanten in de controlemaatregelen en -processen die van toepassing zijn op de SaaS dienst. Het eindproduct van een SOC 2 traject is een assurance-rapport met daarin een verklaring van een IT-auditor.

Een SOC 2 traject bestaat uit drie fasen:

  1. Nulmeting: Hierin vindt onder meer afstemming met de auditor plaats over de scope van het object van onderzoek en de criteria van de audit;
  2. SOC 2 type 1: Hierin vindt de beoordeling plaats van de controlemaatregelen en -processen in opzet en bestaan;
  3. SOC 2 type 2: Hierin vindt de beoordeling plaats van de werking van de controlemaatregelen en -processen.

U kunt hier meer lezen over de SOC 2 aanpak van 2-Control.

De 10 stappen

Uw organisatie voorbereiden op een SOC 2 audit kan een intensieve klus zijn. Onderstaande 10 stappen bieden hierbij houvast.

  1. Bepaal de scope:
    De eerste stap valt samen met de eerste fase van het SOC 2 traject en is tweeledig. U bepaalt hier namelijk de scope van het systeem en de scope van de criteria (normen). Met het bepalen van de scope van het systeem definieert u zo goed mogelijk waar de SOC 2 verklaring over moet gaan. Leading is hierbij wat de behoefte van gebruiker van het rapport (uw (potentiële) klant en zijn auditors). Over welk systeem willen zij zekerheid en wat valt buiten scope? Over het bepalen van de scope van de criteria leest u hier meer.

  2. Doe kennis op van de criteria:
    Het is belangrijk te begrijpen wát er getoetst gaat worden. Lees de criteria aandachtig door en vraag u steeds af wat men wil bereiken met dit criterium. Op die manier kunt u de juiste beheersmaatregelen koppelen aan de criteria en identificeren waar beheersmaatregelen tekort schieten, ontbreken of niet zijn beschreven. De IT-auditor kan u helpen bij het begrijpen van de criteria.

  3. Schrijf wat je doet en doe wat je schrijft:
    IT-serviceorganisaties bestaan vaak uit pragmatische mensen waarbij formele procedures en procesmatig werken wel eens achterblijven. Echter is het belangrijk dat de organisatie formele policies, procedures, plannen en richtlijnen vastlegt, zodat onder meer processen goed volgbaar zijn en dat formeel verantwoordelijkheden zijn belegd. Beschrijf dus het wat, hoe, wanneer en wie in de organisatie en maak de documenten waarin dit is vastgelegd beschikbaar. Andersom moet de organisatie dus ook uitvoeren wat beschreven staat. Met alleen een mooi verhaal komt u tijdens een audit niet weg.

  4. Creëer bewustzijn:
    Het effectief laten werken van beheersmaatregelen valt en staat bij de mensen in de organisatie. Wanneer de organisatie op alle niveaus zich bewust is van de noodzaak om veilig te werken, ontstaat pas een beheersbare omgeving. Het melden en beschrijven van security incidenten, het veilig omgaan met bedrijfsmiddelen en gegevensdragers, het onboarding en offboarding proces voor medewerkers; zo maar een greep uit beheersmaatregelen die sterk afhankelijk zijn van mensen in de organisatie.

  5. Maak het controleerbaar:
    Van sommige maatregelen kan het bestaan of werking soms lastig vast te stellen zijn. Wanneer ad-hoc acties of overleggen plaatsvinden, ontbreekt soms vastlegging. Zorg bij overleggen en vergaderingen daarom voor notulen of een verslagje en bij acties voor tickets met een beschrijving. Zorg daarnaast dat periodieke acties, zoals de controle van toegangsbeveiliging, uitgevoerd zijn en dat het duidelijk is hoe, wat, wanneer en door wie dit gedaan is. Kies hier wel voor een methode die bij uw organisatie past zodat het weinig extra werk kost.

  6. Maak een systeembeschrijving:
    Een essentieel onderdeel van het rapport is de beschrijving van het systeem. Het systeem is het geheel van diensten en beloften aan uw klant en de hardware, software, mensen en procedures waarmee dat gerealiseerd wordt. De beschrijving moet aan een aantal eisen voldoen, daarom zal de IT-auditor zal tijdens de nulmeting een format aanleveren. Bij het beschrijven van het systeem is de vuistregel dat het to the point moet zijn, maar niet te specifiek. Hierdoor ontstaat een onderhoudsvriendelijke beschrijving zonder bedrijfsgeheimen prijs te geven. Het opnemen van details over processen, namen van leveranciers en specifieke merken systeemonderdelen wordt dus afgeraden.

  7. Doe zelf een interne audit:
    Een objectieve interne audit identificeert gaps en verbeterpunten. Bovendien laat het de organisatie en de mensen wennen aan het principe van een audit, wat het verloop van de audit sneller en gemakkelijker maakt.

  8. Volg aanbevelingen uit eerdere audits op:
    Punten die in eerdere (interne) audits (zoals ISO of SOC 2 type1) zijn geïdentificeerd, dienen te worden verzameld en te worden geëvalueerd. De organisatie zal niet iedere aanbeveling kunnen of willen opvolgen. Dat is valide zolang maar duidelijk is dat hierin tijdens de evaluatie een gemotiveerde keuze is gemaakt.

  9. Leg een dossier aan:
    Ga voor iedere beheersmaatregel na welke documenten de IT-auditor zou willen bestuderen en welke voorbeelden daar bij horen. Verzamel documentatie en voorbeelden van bestaan in een digitaal dossier. Voorbeelden van bestaan komen meestal in de vorm van screenshots, tickets of andere zichtbaar uitgevoerde acties. De beste manier om deze documenten te ordenen is een verwijzing te maken naar het relevante criteriumnummer in de bestandsnaam of een mappenstructuur aan te leggen met mapnamen corresponderend aan de criterianummers.

  10. Zorg voor beschikbare kennis en maak een detail planning:
    De normen raken verschillende vakgebieden, team en afdelingen binnen een organisatie. De IT-Auditor zal daarom onder meer interviews willen houden met verantwoordelijken voor HR, directie, development en operations. Tijdens het plannen van de audit is het van belang dat deze verantwoordelijken beschikbaar zijn voor interviews en walk-throughs. Overleg eventueel met de IT-auditor hoe veel tijd nodig is per vakgebied, zodat u een detailplanning kunt maken.

Gaat u zich voorbereiden op een SOC 2 audit? Deze infographic van bovenstaande stappen helpt u daarbij. 

Heeft u behoefte aan contact met een van onze SOC 2 specialisten en wilt u weten hoe wij u hierbij kunnen ondersteunen? Bel ons dan op 076-5019470 of laat hieronder uw gegevens achter. Eén van onze SOC 2 specialisten neemt dan spoedig contact met u op.

 

Over de auteur

Alain van Vugt

CISA IT-auditor / Consultant
T: 076-5019470
Stel uw vraag

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Microsoft Dynamics?
Wij beantwoorden ze graag. 

Vraag het de specialist