ISO 27001 en SOC 2: Het belangrijkste dat je moet weten over deze cybersecurity norme

ISO 27001 en SOC 2: Het essentiële om te weten over deze cybersecurity normen

Inleiding

IT-risicobeheer neemt een steeds belangrijkere plaats in in het dagelijks leven van bedrijven. Cybersecurity normen helpen bij het beter beheren van deze risico's door het bieden van kaders en het toepassen van best practices. Ze zijn verplicht in sommige sectoren die gevoelige gegevens verwerken, maar het naleven van cybersecurity normen wordt sterk aanbevolen voor bedrijven van elke omvang die zich willen beschermen tegen cyberaanvallen.

Vraag je je af wat de meest relevante cybersecurity normen zijn voor jouw organisatie? Of je nu een groot bedrijf, een MKB of een startup bent, cybersecurity normen (zoals ISO 27001 en SOC 2) helpen je bij een betere bescherming.

Laten we twee internationaal bekende cybersecurity normen doornemen: de ISO 27001 norm en de SOC 2 compliance. Wat houden deze twee normen precies in? En wat zijn de verschillen tussen ISO 27001 en SOC 2?

---

WAT IS DE NORM ISO 27001?

ISO 27001: Definitie

ISO 27001 is een internationale norm gericht op de beveiliging van informatiesystemen (IS). De certificering is vrijwillig, maar steeds vaker vereist. Door de toename van cyberdreigingen en aangescherpte regelgeving rond cybersecurity is dit inmiddels een belangrijke standaard.

De ISO 27001-norm (laatst bijgewerkt in 2022) betreft de invoering van een Informatiebeveiligingsmanagementsysteem (ISMS). Het behalen van een ISO 27001-certificering erkent het vermogen van een organisatie om:

• Een effectief ISMS op te zetten volgens de ISO 27001-norm.
• Data die verwerkt wordt adequaat te beheren (waarbij vertrouwelijkheid, integriteit en beschikbaarheid gegarandeerd zijn).

---

WAT ZIJN DE EISEN VAN DE ISO 27001-NORM?

De ISO 27001-norm richt zich op het organiseren van de informatieveiligheid. De eisen hebben betrekking op IT-infrastructuur, organisatie, teams, beveiligingsmaatregelen en gebruikte software, enz.

De certificering heeft als doel zeker te stellen dat de organisatie de verschillende aspecten van informatiebeveiliging beheerst:

• Governance en strategie
• Essentiële processen voor IT-beveiliging
• Methoden voor risicoanalyse en rapportage
• Processen voor het meten, volgen en verbeteren van veiligheid
• Verantwoordelijkheden betreffende IT-beveiliging

---

VOOR WIE IS DE ISO 27001-CERTIFICERING BEDOELD?

Elke organisatie die om de veiligheid van haar informatiesysteem geeft (en wie doet dat niet?) kan het ISO 27001-certificeringsproces ingaan, ongeacht grootte of sector. De certificering is vooral relevant voor organisaties die gevoelige en/of persoonlijke gegevens verwerken en hun veiligheidsmaatregelen willen laten erkennen.

Het behalen van ISO 27001 is vrijwillig voor veel bedrijven, maar verplicht in sommige sectoren, zoals financiën (waaronder fintech), zorg en cybersecurity. Met de huidige regelgeving worden de eisen rondom security alleen maar strenger. Bijvoorbeeld via de DORA-verordening (Digital Operational Resilience Act), die vanaf januari 2025 Europese financiële instellingen verplicht maatregelen te nemen voor verbeterd digitaal risicobeheer.

---

HOE BEHAAL JE DE ISO 27001-CERTIFICERING?

Het ISO 27001-certificeringsproces bestaat uit meerdere grote stappen. Elke stap bevat acties om een ISMS in te richten dat voldoet aan de eisen van de norm.

1. Plan het project voor het opzetten van een ISMS

   • Analyseer de context voor de veiligheidsbehoeften van de organisatie.
   • Stel een team samen voor de ISMS-implementatie, vraag eventueel hulp van een cybersecurity-expert.
   • Definieer de scope en de beveiligingsdoelen van het ISMS-project.
   • Maak een actieplan.

2. Ontwikkel en implementeer de benodigde controles

   • Formuleer onderwerpen voor het Informatiebeveiligingsbeleid (ISB) vanuit het actieplan.
   • Stel een “verklaring van toepasselijkheid” op (verplicht voor de certificering). Hierin staan de bestaande security-maatregelen, geplande maatregelen, en de keuzes voor beveiligingscontroles.

3. Evalueer het Information Security Management System

   • Stel prestatie-indicatoren (KPI's) vast om het ISMS op korte, middellange en lange termijn te monitoren.
   • Voer een interne audit uit om na te gaan of het ISMS voldoet aan de vastgestelde doelen.
   • Voer indien nodig interne reviews uit.

4. Implementeer verbeteringen en zet in op continue verbetering

   • Laat een onafhankelijke certificeringsinstantie een externe audit uitvoeren (de “initiële audit”), waarna de organisatie al dan niet gecertificeerd wordt.
   • De ISO 27001-certificering is maximaal drie jaar geldig.
   • Elk jaar vinden controles plaats om te toetsen of niet-conforme onderdelen inmiddels zijn gecorrigeerd.

Na drie jaar volgt een hercertificeringsaudit, waarbij gekeken wordt naar verbeteringen vanuit eerdere audits.

---

WAT IS SOC 2-COMPLIANCE?

SOC 2: Definitie

De afkorting “SOC 2” staat voor “Systems and Organization Controls 2”. SOC 2 is een set van criteria of beveiligingsmaatregelen waaraan een organisatie zich vrijwillig kan conformeren. Deze lijst is opgesteld door het American Institute of Certified Public Accountants (AICPA).

SOC 2 is geen certificering maar een evaluatierapport (of auditrapport) opgesteld door een onafhankelijke partij (auditor). Het doel: beoordelen hoe goed een organisatie beveiligingsmaatregelen getroffen heeft ter bescherming van klantgegevens. Er zijn verschillende typen SOC-certificeringen en rapportages, waarvan SOC 2 type II het meest gewild is (deze betreft een periode van minimaal zes maanden).

---

WIE VALT ERONDER SOC 2-COMPLIANCE?

SOC 2-compliance is niet verplicht, maar sommige bedrijven (met name IT-afdelingen) eisen deze van hun leveranciers. Het draait vooral om vertrouwen. Een SOC 2-auditrapport toont aan dat bepaalde beveiligingsmaatregelen zijn toegepast en effectief zijn.

Voor bedrijven is SOC 2-compliance een bevestiging van goed klantgegevensbeheer, en dus belangrijk voor organisaties die cloud-diensten of SaaS-oplossingen aanbieden waarbij gevoelige klantdata wordt verwerkt of opgeslagen.

---

WAT ZIJN DE EISEN VAN SOC 2-COMPLIANCE?

De SOC 2-structuur is gebaseerd op 5 belangrijke “Trust Service Criteria”:

• Beveiliging: Bescherming van systemen en gegevens tegen ongeautoriseerde toegang
• Beschikbaarheid: Systemen en data zijn voldoende beschikbaar voor normaal gebruik
• Verwerkingsintegriteit
• Vertrouwelijkheid: Data is alleen toegankelijk voor vooraf geautoriseerde personen
• Privacy: Data wordt verwerkt in overeenstemming met privacy-eisen en SOC 2-criteria

Alleen het criterium “Beveiliging” is verplicht in een SOC 2-audit; de andere criteria mogen organisaties naar wens opnemen.

---

HOE BRENG JE EEN ORGANISATIE IN SOC 2-COMPLIANCE?

Het SOC 2-implementatieproces bestaat doorgaans uit drie hoofdfasen:

1. Opstellen van beleid en procedures rond informatiebeveiliging door het compliance-team, en uitvoeren van een gap-analyse.
2. Opstellen van een implementatieplan voor de beveiligingsmaatregelen om geconstateerde hiaten te corrigeren.
3. Onafhankelijke audit door een erkend auditkantoor, waarbij wordt gecontroleerd op maatregelen en processen rond veilige opslag, verwerking en overdracht van data. SOC 2-audits mogen alleen worden uitgevoerd door onafhankelijke, door AICPA geaccrediteerde auditors. Het SOC 2-rapport is een verslag van de uitgevoerde controles.

---

WAT ZIJN DE VERSCHILLEN TUSSEN ISO 27001 EN SOC 2?

ISO 27001 en SOC 2 bevatten veel gemeenschappelijke security controls, maar er zijn duidelijke verschillen:

Samenvatting van de belangrijkste verschillen tussen ISO 27001 en SOC 2

De implementatie van deze normen is een veeleisend traject. Door te voldoen aan ISO 27001 of SOC 2 verhoog je het beveiligingsniveau van je organisatie én creëer je een duidelijk concurrentievoordeel.

Maar hoe voldoe je hier nu concreet aan? In dit artikel lees meer: De normen voor cybersecurity – welke tools gebruik je om compliant te zijn? delen we best practices en eenvoudige tools die je direct kunt toepassen. Een voorbeeld hiervan is Mobile Device Management (MDM): Ontdek MDM Premium Support, één van de eenvoudigste manieren om essentiële securitymaatregelen centraal te implementeren.

Ontdek hoe MDM je kan ondersteunen bij de ISO 27001-certificering en de implementatie van SOC 2.