Veelgestelde vragen over Cyber Security-certificering, ISO27001 en SOC2

Blog-FAQ-cyber

Regelmatig krijgen we vragen over Cyber Security-certificering, ISO27001 en SOC2. Met dit artikel proberen we veelvoorkomende vragen te beantwoorden. Voor meer informatie, neem gerust contact met ons op. Happy reading!


Waarom cyber security certificering?

Steeds meer organisaties verwerken data en hebben de behoefte om aan te tonen dat cyber security / informatiebeveiliging aantoonbaar “in control” is. Een van de manieren om dit te doen is door relevante certificaten  en auditrapportages te overleggen. Het idee erachter is dat een onafhankelijke derde (de auditor) heeft vastgesteld dat aan de vereisten wordt voldaan en dat gebruikers daar zekerheid aan kunnen ontlenen.


Welke cyber security certificering kunnen wij het beste toepassen?

Ons advies is om te kijken naar de behoefte van klanten. In de praktijk komen we vooral het ISO27001-certificaat en de SOC2-rapportage  tegen. We zien daarbij een trend dat steeds meer organisaties van mening zijn dat een ISO27001-certificaat niet meer voldoende is en dat meer zekerheid benodigd is. Bijvoorbeeld via een SOC2-rapport.

 

Betekent certificering ook dat data voldoende beveiligd is tegen hackers?

Certificaten en auditrapportages helpen met het verkrijgen van zekerheid over cyber security en informatiebeveiliging. Of dit voldoende is zal iedere organisatie zelf moeten beoordelen. We zien zoals hierboven beschreven een trend dat een ISO27001-certificering niet meer voldoende is en dat vaker wordt gevraagd om een SOC2-rapportage.

Onze opvatting is dat organisaties die beschikken over relevante cyber security certificeringen en/of SOC2-rapportages in ieder geval aantoonbaar aandacht besteden aan cyber security. Zeker voor een SOC2-rapportage moet een fors aantal belangrijke beheersmaatregelen aantoonbaar worden geïmplementeerd. Het komt in de praktijk voor dat organisaties die beschikken over cyber security certificeringen en auditrapportages, alsnog worden gehackt. De oorzaken daarvan zullen case-by-case moet worden beoordeeld. Certificering geeft daarbij zekerheid, maar geen absolute zekerheid.

Op Europees niveau wordt momenteel ook gewerkt aan nieuwe certificatieschema’s: “As set out in Regulation (EU) 2019/881, the EU cybersecurity certification framework lays down the procedure for the creation of EU cybersecurity certification schemes, covering ICT products, services and processes. Each scheme will specify one or more level(s) of assurance (basic, substantial or high), based on the level of risk associated with the envisioned use of the product, service or process.”

Voor meer hierover informatie, zie: https://www.enisa.europa.eu/topics/standards/certification


Wat is het verschil tussen ISO27001 en SOC2?

ISO27001

Bij ISO27001-certificering staat de management cyclus centraal (plan-do-check-act). Dit betekent dat een organisatie aantoonbaar moet nadenken over risico’s, beheersmaatregelen moet treffen om risico’s te mitigeren, moet controleren of deze beheersmaatregelen werken (interne audits) en moet bijsturen. In de praktijk kan het voorkomen dat bepaalde beveiligingsmaatregelen niet op orde zijn, maar zolang hier een verbeterplan voor is, hoeft dit niet direct leiden te leiden tot een bevinding of probleem bij de certificering.

In bijlage A van de ISO27001-standaard zijn 123 beheersmaatregelen opgenomen die organisaties kunnen overwegen om risico’s te mitigeren. In de praktijk nemen veel klanten deze beheersmaatregelen als uitgangspunt voor de inrichting. De beheersmaatregelen die klanten hanteren worden vastgelegd in een zogenaamde “Verklaring Van Toepasselijkheid”.

Organisaties overleggen vaak het ISO27001-certificaat en de Verklaring van Toepasselijkheid aan hun afnemers. In sommige gevallen vragen afnemers ook de auditrapportages op waarin evt. afwijkingen van de norm zijn beschreven.

SOC2

Een SOC2-rapportage is gebaseerd op de AICPA Trust Service Criteria-standaard. Bij een SOC2-rapportage dient een organisatie ook een management cyclus in te richten (plan-do-check-act). Dit betekent dat een organisatie aantoonbaar moet nadenken over risico’s, beheersmaatregelen moet treffen om risico’s te mitigeren, moet controleren of deze beheersmaatregelen werken (controles).

Parallel daaraan zijn inhoudelijke beheersdoelstellingen opgenomen in de AICPA TSC-standaard waarvoor beheersmaatregelen dienen worden getroffen rondom de criteria Security, Availability, Confidentiality, Processing Integrity en Privacy. De criteria die in scope zijn worden door de organisatie bepaald. Het is mogelijk om alleen het criteria Security op te nemen en de andere criteria buiten de scope te laten.

Ter voorbereiding op een SOC2-audit dienen alle gedefinieerde beheersmaatregelen worden geïmplementeerd. Als een maatregel niet effectief is ingericht, zal dit leiden tot een afwijking (en opmerking) in de SOC2-auditrapportage. In dat opzicht verschilt een ISO27001-certificaat van een SOC2-rapport dat het SOC2-rapport concreet inzicht geeft in de effectiviteit van de beheersmaatregelen.  Hierom wordt vaak gesteld dat de lat bij een SOC2-audit hoger ligt dan bij een ISO27001-audit. Het is wel mogelijk om compenserende beheersmaatregelen aan te dragen en eventueel op te nemen, mocht blijken dat bepaalde maatregelen niet effectief zijn.

Een SOC2-rapport kent twee varianten:

  • Type I – waarbij zekerheid wordt gegeven over opzet en bestaan van de beheersmaatregelen.
  • Type II – waarbij zekerheid wordt gegeven over opzet, bestaan en werking van de beheersmaatregelen (over een periode van minimaal zes maanden).

Vaak werken organisaties toe naar een type I-rapport waarna in een later stadium een type II-rapport wordt verwerkt.

Het eindproduct is een SOC2-rapport met daarin de volgende onderdelen:

  • Management Statement – verklaring van het management
  • Auditor Statement – verklaring van de auditor (uitleg werkzaamheden en conclusie)
  • Systeembeschrijving – waarin het interne beheersingssysteem wordt uitlegt door de organisatie (o.a. uitleg over de organisatiestructuur, processen en toelichting op de beheersmaatregelen)
  • Overzicht beheersmaatregelen – overzicht beheersmaatregelen inclusief vermelding van de werkzaamheden van de auditor en de conclusie van de auditor voor de betreffende beheersmaatregel.


Wie kan een ISO27001-certificaat of SOC2-rapport afgeven in Nederland?

Een ISO27001-certificaat kan worden afgegeven door een Certificerende Instelling die hiervoor geaccrediteerd is door de Raad voor Accreditatie (RvA).

Een auditverklaring bij een SOC2-rapport kan worden afgegeven door een Register Accountant (RA) of een Register IT Auditor (RE) (vaak werkzaam bij een accountantskantoor).


Wat zijn de verschillen in spanning en kosten?

De operationele inspanning voor de organisatie om te komen tot een ISO27001-certificaat en SOC2-rapport is ongeveer gelijk en sterk afhankelijk van de betreffende organisatie.

De kosten van een ISO27001-audit liggen vaak wat lager dan de kosten van een SOC2-audit (daarbij geeft een SOC2-rapport vaak wat meer zekerheid naar afnemers dan een ISO27001-certificaat). Voor zowel SOC2- en ISO27001 geldt dat vaak jaarlijks audits worden uitgevoerd. Voor de ISO27001-audits geldt dat onderwerpen jaarlijkse roteren binnen een cyclus van drie jaar.


Wat betekent een ISO27001- of SOC2-project voor mijn organisatie?

Cyber security en informatiebeveiliging gaat niet alleen over activiteiten van de IT-afdeling maar beslaat de hele organisatie, processen en manieren van werken. Afhankelijk van de cyber-volwassenheid van de organisatie is een beperkte of significante inspanning benodigd.


Wat is het verschil tussen SOC2 en SOC1/SOC3?

Een SOC1-rapportage gaat over de beheersmaatregelen die gerelateerd zijn aan de betrouwbaarheid van de financiële verantwoording (jaarrekening). In Nederland wordt de term SOC1 wat minder vaak gebruikt maar is deze vergelijkbaar met een ISAE3402-rapportage. Er zijn nogal wat misverstanden rondom ISAE3402, daar gaan we in een ander artikel een keer op in. Omdat bij een SOC1-verklaring de AICPA Trust Service Criteria niet verplicht zijn is een dergelijke verklaring over het algemeen wat gemakkelijker te behalen dan een SOC1-rapportage.

Een SOC3-rapportage is een samenvatting van een SOC2-rapport. Deze SOC3-rapportage kan ook worden gepubliceerd  (bijv. op de website van de organisatie) en bevat minder (bedrijfsgevoelige) informatie.


Moet ik een Security Officer aanstellen?

Het is voor ISO27001/SOC2 niet verplicht om een Security Officer aan te stellen. Van belang is dat verantwoordelijkheden rondom informatiebeveiliging duidelijk zijn belegd en dat interne controles/audits onafhankelijk van de uitvoering plaatsvinden. Kleinere organisaties beleggen de rol van Security Officer bij een bestaande medewerkers/manager. Middelgrote tot grote organisaties beschikken over een separate Security Officer  / Chief Information Security Officer (CISO).


Tot slot

We hopen hiermee wat antwoorden te hebben gegeven op vragen. RiskNow ondersteunt organisaties bij de inrichting van cyber security, het behalen van certificeringen en Security-Officer-as-a-Service diensten. Voor meer antwoorden op vragen of ondersteuning, neem gerust contact op, we helpen u graag verder.

Delen