100% gehost in de EU
ISOPlanner™ bevat een vooraf gebouwd SOC2-framework dat is gekoppeld aan de Trust Service Criteria. Controles zijn gestructureerd en klaar om toe te wijzen, geen gap-analyse vanaf nul, geen lege spreadsheet om in te vullen.
De AI-assistent leest uw actieve SOC2-controles en genereert specifieke werkitems voor verantwoordelijke teamleden. Controle-eigenaren ontvangen taken, die gekoppeld zijn aan de specifieke vereisten waaraan zij moeten voldoen, zonder handmatige vertaling van frameworktaal naar operationele stappen.
Bewijs voor de observatieperiode, een specifieke vereiste van SOC2 Type II, wordt continu verzameld en opgeslagen in SharePoint. Voor Microsoft-native controles, inclusief MFA-verificatie en Secure Score, is dit geautomatiseerd. Bewijs is georganiseerd per controle en beschikbaar voor auditors zonder voorbereiding op het laatste moment.
Plan uw interne gereedheidsbeoordelingen en beheer de toegang van auditors rechtstreeks binnen ISOPlanner™. Het volledige audittraject, toewijzingen van controles, indiening van bewijsmateriaal, beoordelingsverslagen, wordt bijgehouden in SharePoint.
01.
Wat is het verschil tussen een SOC 2 Type I- en Type II-rapport?
Een SOC 2 Type I-rapport beoordeelt de opzet en het bestaan van beveiligingscontroles op één specifiek moment. Een Type II-rapport beoordeelt de werking van diezelfde controles over een aaneengesloten observatieperiode, doorgaans zes tot twaalf maanden. Type II-rapporten wegen zwaarder bij klanten en zakenpartners, omdat ze aantonen dat beveiligingsmaatregelen structureel worden toegepast. ISOPlanner™ helpt u uw controles en bewijsmateriaal voor beide rapporttypen te beheren.
02.
Wat zijn de vijf Trust Services Criteria in SOC 2?
De vijf Trust Services Criteria zijn: Beveiliging (verplicht), Beschikbaarheid, Integriteit van verwerking, Vertrouwelijkheid en Privacy. Beveiliging is de enige verplichte categorie en vormt de basis van elk SOC 2-rapport. Organisaties kiezen aanvullende categorieën op basis van de aard van hun dienstverlening en de eisen van klanten. ISOPlanner™ helpt u de relevante criteria te selecteren en de bijbehorende controles in te richten.
03.
Hoe lang duurt een SOC 2-audit doorgaans?
Een SOC 2 Type I-audit duurt doorgaans twee tot vier maanden, inclusief voorbereiding en de formele beoordeling. Een Type II-audit omvat bovenop de voorbereiding een observatieperiode van zes tot twaalf maanden, waardoor het totale traject negen tot vijftien maanden in beslag neemt. ISOPlanner™ helpt u uw controlekader en bewijsmateriaal gereed te maken voordat de audit begint, zodat u kostbare hersteltijd vermijdt.
04.
Wie is bevoegd om een SOC 2-rapport uit te voeren?
Een SOC 2-attestatie (rapport) mag uitsluitend worden uitgevoerd door een gecertificeerde openbare accountant (CPA) die is erkend door het American Institute of Certified Public Accountants (AICPA). Reguliere ISO-certificerende instanties of andere auditkantoren zijn hiertoe niet bevoegd. ISOPlanner™ helpt u uw dossier op te bouwen ter voorbereiding op de formele attestatie door een gespecialiseerd AICPA-kantoor.
05.
Hoe verhoudt SOC 2 zich tot ISO 27001?
SOC 2 en ISO 27001 zijn complementaire kaders, die deels overlappende beveiligingsvereisten stellen, maar verschillende doelgroepen bedienen. ISO 27001 is een internationale norm met een formeel certificaat; SOC 2 is een attestatierapport dat met name in de Noord-Amerikaanse markt en bij SaaS-klanten wordt gevraagd. ISOPlanner™ ondersteunt de overlap tussen beide kaders, zodat u uw inspanningen efficiënt kunt combineren.
06.
Is een SOC 2-rapport vertrouwelijk en wie mag het ontvangen?
Ja, een SOC 2-rapport is vertrouwelijk en wordt doorgaans alleen gedeeld met klanten en zakenpartners onder een geheimhoudingsovereenkomst. Wilt u een publiek document, dan is een SOC 3-rapport een alternatief: dat bevat een samenvatting zonder gevoelige technische details. ISOPlanner™ helpt u te bepalen welk rapporttype aansluit bij uw zakelijke vereisten en klantverwachtingen.
07.
Welke bewijsstukken zijn nodig voor een SOC 2-audit?
Voor een SOC 2-audit zijn doorgaans de volgende bewijsstukken vereist: toegangsbeoordelingen en logs, penetratie- en kwetsbaarheidsscans, incidentregistraties, trainingsrecords voor medewerkers, back-up- en hersteltests en leveranciersbeoordelingen. De vereiste bewijzen hangen af van de gekozen Trust Services Criteria. ISOPlanner™ helpt u een gestructureerd bewijsdossier op te bouwen, zodat u auditklaar bent wanneer het zover is.
Log in to your ISOPlanner™ workspace, or start a free trial.
Log in Start your free trial