규정 준수 SOC 1 vs SOC 2 vs SOC 3 이해

by

규정 준수는 조직 성장의 중요한 측면입니다.

SaaS 비즈니스를 운영하고 중간 시장 고객을 대상으로 한다고 가정합니다. 이 경우 해당 규칙 및 규정을 준수하고 회사에 대한 보다 강력한 보안 태세를 유지해야 합니다.

많은 조직에서 보안 질문을 적용하여 이러한 요구 사항을 우회하려고 합니다.

따라서 고객이나 클라이언트가 SOC 인증서를 요구할 때 규정 준수가 얼마나 중요한지 알 수 있습니다.

SOC(서비스 조직 통제) 규정 준수는 조직이 조직이 가지고 있는 특정 통제를 보여주는 제3자 감사를 완료하는 인증 유형을 나타냅니다. SOC 규정 준수는 공급망 및 SOC 사이버 보안에도 적용됩니다.

2010년 4월 AICPA(American Institute of Certified Public Accountants)는 SAS 70의 변경 사항을 발표했습니다. 세련되고 새로운 감사 표준의 이름은 SSAE 16(Statement on Standards for Attestation Engagements)입니다.

SSAE 16 감사와 함께 서비스 조직의 통제를 조사하기 위해 3개의 다른 보고서도 설정되었습니다. 이를 SOC 보고서라고 하며 서로 다른 목적을 가진 SOC 1, SOC 2 및 SOC 3 보고서의 세 가지 보고서가 포함되어 있습니다.

이 기사에서는 각 SOC 보고서와 이를 적용할 위치, IT 보안에 적용하는 방법에 대해 언급하겠습니다.

여기 우리가 간다!

SOC 보고서란 정확히 무엇입니까?

SOC 보고서는 비용과 시간 측면에서 조직에 이익이 되는 경쟁 우위로 간주될 수 있습니다. 다음을 포함하여 조직의 다양한 측면을 조사하기 위해 제3자 및 독립 감사자를 활용합니다.

  • 유효성
  • 기밀성
  • 은둔
  • 처리 무결성
  • 보안
  • 사이버 보안과 관련된 통제
  • 재무 보고와 관련된 통제

SOC 보고서를 통해 회사는 잠재적인 서비스 제공자가 규정을 준수하고 윤리적으로 운영하고 있다고 확신할 수 있습니다. 감사가 까다로울 수 있지만 엄청난 보안과 신뢰를 제공할 수 있습니다. SOC 보고서는 서비스 제공자의 신뢰성과 신뢰성을 확립하는 데 도움이 됩니다.

또한 SOC 보고서는 다음과 같은 경우에 유용합니다.

  • 공급업체 관리 프로그램
  • 조직의 감독
  • 규제 감독
  • 리스크 관리 프로세스 및 내부 지배구조

SOC 보고서가 필수적인 이유는 무엇입니까?

데이터 센터 회사, SaaS 제공업체, 대출 서비스 제공업체, 청구 처리업체와 같은 여러 서비스 조직이 SOC 검사를 받아야 합니다. 이러한 조직은 고객 또는 사용자 엔터티의 재무 데이터 또는 민감한 데이터를 저장해야 합니다.

따라서 다른 회사나 사용자에게 서비스를 제공하는 회사라면 누구나 SOC 심사를 받을 수 있습니다. SOC 보고서는 잠재 고객에게 회사가 합법적임을 알릴 뿐만 아니라 평가 프로세스를 통해 통제 또는 고객의 결함과 약점을 보여줍니다.

SOC 평가에서 무엇을 기대할 수 있습니까?

SOC 평가 프로세스를 진행하기 전에 조직에 가장 적합한 SOC 보고서 유형을 결정해야 합니다. 다음으로 준비성 평가와 함께 공식적인 절차가 시작됩니다.

서비스 조직은 잠재적 위험 신호, 격차, 결함 등을 식별하여 시험을 준비합니다. 이런 식으로 회사는 이러한 결함과 약점을 수정할 수 있는 옵션을 이해할 수 있습니다.

누가 SOC 감사를 수행할 수 있습니까?

SOC 감사는 독립 공인 회계사(CPA) 또는 회계 회사에서 수행합니다.

  Illustrator 없이 AI 파일을 여는 방법

AICPA는 SOC 감사인의 업무를 규제하기 위한 전문 표준을 설정합니다. 이 외에도 조직은 실행, 계획 및 감독에 관한 특정 지침을 따라야 합니다.

모든 AICPA 감사는 동료 검토를 거칩니다. CPA 조직이나 회사는 SOC 감사를 준비하기 위해 정보 기술 및 보안 기술을 갖춘 비 CPA 전문가도 고용합니다. 단, 최종보고서는 CPA가 확인하여 공개하여야 한다.

작동 방식을 이해하기 위해 각 보고서를 개별적으로 살펴보겠습니다.

SOC 1이란 무엇입니까?

SOC 1 주요 목표는 SOC 1 문서 내에서 목표를 제어하고 사용자 엔티티의 재무제표 감사와 관련된 내부 통제의 프로세스 영역을 제어하는 ​​것입니다.

간단히 말해서, 조직의 서비스가 언제 사용자 엔티티의 재무 보고에 영향을 미치는지 알려줍니다.

SOC 1 보고서란 무엇입니까?

SOC 1 보고서는 재무 보고에 대한 사용자 엔터티의 통제에 적용할 수 있는 서비스 조직 통제를 결정합니다. 사용자 엔터티의 요구 사항을 충족하도록 설계되었습니다. 여기에서 회계사는 서비스 조직의 내부 통제의 효율성을 평가합니다.

SOC 1 보고서에는 두 가지 유형이 있습니다.

  • SOC 1 유형 1: 이 보고서는 일반적으로 서비스 조직의 시스템에 집중하고 지정된 날짜의 설명과 함께 제어 목표를 달성하기 위한 시스템 제어의 적합성을 확인합니다.

SOC 1 유형 1 보고서는 감사자, 관리자 및 사용자 엔터티로만 제한되며 일반적으로 서비스 제공자는 모든 서비스 조직에 속합니다. 서비스 감사자는 SSAE 16의 모든 요구 사항을 다루는 보고서를 결정합니다.

  • SOC 1 Type 2: 이 보고서는 SOC 1 Type 1 보고서와 유사한 의견 및 분석을 가지고 있습니다. 그러나 여기에는 특정 기간 동안 모든 통제 목표를 달성하도록 설계된 사전 설정된 통제의 효율성에 대한 견해가 포함됩니다.

SOC 1 유형 2 보고서에서 통제 목표는 내부 통제가 완화하려는 잠재적 위험으로 이어집니다. 범위에는 관련 제어 도메인이 포함되며 합리적인 보증을 제공합니다. 또한 승인되고 적절한 조치만 수행하는 데에도 한계가 있다고 말합니다.

SOC 1의 목적은 무엇입니까?

이미 논의한 바와 같이 SOC 1은 재무 보고 전반에 걸쳐 내부 통제를 다루는 Service Organization Control 시리즈의 첫 번째 부분입니다. 파트너 및 고객의 재무 데이터와 직접 상호 작용하는 비즈니스에 적용됩니다.

따라서 사용자의 재무 제표를 저장하고 전송하여 조직의 상호 작용을 보호합니다. 그러나 SOC 1 보고서는 투자자, 고객, 감사자 및 경영진이 AICPA 지침 내에서 재무 보고에 대한 내부 통제를 평가하는 데 도움이 됩니다.

SOC 1 규정 준수를 유지하는 방법은 무엇입니까?

SOC 1 규정 준수는 정의된 기간 동안 SOC 1 보고서에 추가된 모든 SOC 1 제어를 관리하는 프로세스를 정의합니다. SOC 1 규칙 운영의 효율성을 보장합니다.

통제는 일반적으로 IT 통제, 비즈니스 프로세스 통제 등으로 통제 목적을 기반으로 합리적인 보증을 제공하는 데 사용됩니다.

SOC 2란 무엇입니까?

AICPA에서 개발한 SOC 2는 신뢰할 수 있는 서비스를 제공하기 위한 5가지 원칙에 따라 고객 정보를 제어하거나 관리하는 기준을 설명합니다. 이러한 원칙은 다음과 같습니다.

  • 가용성에는 재해 복구, 보안 사고 처리 및 성능 모니터링이 포함됩니다.
  • 개인 정보 보호: 암호화, 이중 인증(2FA) 및 액세스 제어가 포함됩니다.
  • 보안: 침입 탐지, 이중 인증, 네트워크 또는 애플리케이션 방화벽이 포함됩니다.
  • 기밀성: 액세스 제어, 암호화 및 애플리케이션 방화벽이 포함됩니다.
  • 처리 무결성: 처리 모니터링 및 품질 보증이 포함됩니다.

SOC 2는 PCI DSS와 달리 엄격한 요구 사항으로 인해 모든 조직에 고유합니다. 특정 비즈니스 관행을 통해 모든 설계는 여러 신뢰 원칙을 준수하도록 제어할 수 있습니다.

SOC 2 보고서란 무엇입니까?

SOC 2 보고서를 통해 서비스 조직은 보고서를 받고 이해 관계자와 공유하여 일반 사항을 설명할 수 있습니다. 제자리에 있는 IT 제어.

  Snapchat에서 문자 메시지를 보내는 방법

SOC 2 보고서에는 두 가지 유형이 있습니다.

  • SOC 2 유형 1: 공급업체의 시스템을 설명하고 공급업체의 설계가 신뢰 원칙을 충족하는 데 적합한지 여부를 알려줍니다.
  • SOC 2 유형 2: 공급업체 시스템의 운영 효율성에 대한 세부 정보를 공유합니다.

SOC 2는 정의된 요구 사항이 없기 때문에 정보 보안 프레임워크 및 표준과 관련하여 조직마다 다릅니다. AICPA는 서비스 조직이 제공되는 서비스를 보호하기 위해 마련한 통제를 입증하기 위해 선택하는 기준을 제공합니다.

SOC 2의 목적은 무엇입니까?

SOC 2를 준수한다는 것은 조직이 높은 정보 보안 수준을 제어하고 유지한다는 것을 나타냅니다. 엄격한 규정 준수를 통해 조직은 중요한 정보를 안전하게 보호할 수 있습니다.

SOC 2를 준수하면 다음을 얻을 수 있습니다.

  • 조직이 사이버 공격 및 보안 침해로부터 스스로를 방어하는 향상된 데이터 보안 관행.
  • 고객이 특히 클라우드 및 IT 서비스에 대한 견고한 데이터 보안 관행을 갖춘 서비스 제공업체와 협력하기를 원하므로 경쟁 우위.

조직에서 처리하는 데이터 및 자산의 무단 사용을 제한합니다. 보안 원칙에 따라 조직은 악의적인 공격, 오용, 회사 정보의 무단 공개 또는 변경, 무단 데이터 삭제로부터 데이터를 보호하기 위해 액세스 제어를 추가해야 합니다.

SOC 2 규정 준수를 유지하는 방법은 무엇입니까?

SOC 2 준수는 조직이 고객 정보를 관리하는 방법을 지정하는 AICPA에서 개발한 자발적 표준입니다. 이 표준은 5가지 신뢰 서비스 기준(보안, 처리 무결성, 기밀성, 개인 정보 보호 및 가용성)으로 설명됩니다.

SOC 규정 준수는 모든 조직의 요구 사항에 맞게 조정됩니다. 비즈니스 관행에 따라 조직은 하나 이상의 신뢰 서비스 원칙을 따라야 하는 설계 제어를 선택할 수 있습니다. DDoS 보호, 로드 밸런싱, 공격 분석, 웹 애플리케이션 보안, CDN을 통한 콘텐츠 전달 등을 포함한 모든 서비스로 확장됩니다.

간단히 말해서 SOC 2 규정 준수는 도구, 프로세스 또는 제어를 설명하는 목록이 아닙니다. 대신 정보 보안을 유지하는 데 중요한 기준의 필요성을 언급합니다. 이를 통해 각 조직은 운영 및 목표와 관련된 최상의 프로세스와 관행을 채택할 수 있습니다.

다음은 기본 SOC 2 준수 체크리스트입니다.

  • 액세스 제어
  • 시스템 운영
  • 위험 완화
  • 변경 관리

SOC 3이란 무엇입니까?

SOC 3은 AICPA가 데이터 센터 및 클라우드 보안에 대한 서비스 조직의 내부 통제 강도를 정의하기 위해 개발한 감사 절차입니다. SOC 3 프레임워크는 또한 다음을 포함하는 Trust Services Criteria를 기반으로 합니다.

  • 보안: 시스템 및 정보는 무단 공개, 무단 액세스 및 시스템 손상으로부터 안전합니다.
  • 프로세스 무결성: 시스템 처리는 기업의 요구를 충족시키기 위해 유효하고 정확하며 승인되고 시기 적절하며 완전합니다.
  • 가용성: 시스템과 정보는 엔터티의 요구를 충족하기 위해 사용 및 운영할 수 있습니다.
  • 개인 정보: 개인 정보는 기업의 요구 사항을 충족하기 위해 사용, 공개, 폐기, 보유 및 수집됩니다.
  • 기밀성: 중요 정보로 지정된 정보는 엔터티의 요구 사항을 충족하도록 보호됩니다.

SOC 3의 도움으로 서비스 조직은 고객에게 제공하는 서비스에 적용되는 이러한 신뢰 서비스 기준을 결정합니다. 또한 표준 선언문에서 추가 보고, 성능 요구 사항 및 적용 지침을 찾을 수 있습니다.

SOC 3 보고서란 무엇입니까?

SOC 3 보고서는 SOC 2와 동일한 정보를 갖지만 대상 측면에서 다릅니다. SOC 3 보고서는 일반 사용자만을 대상으로 합니다. 이 보고서는 짧고 SOC 2 보고서와 동일한 데이터를 정확하게 포함하지 않습니다. 이해 관계자와 정보에 입각한 청중에게 적합하도록 제작되었습니다.

  iPad에서 멀티태스킹을 비활성화하는 방법

SOC 3 보고서는 보다 일반적이기 때문에 준수를 설명하는 인장과 함께 회사 웹 사이트에서 빠르고 공개적으로 공유할 수 있습니다. 국제 회계 표준에 보조를 맞추는 데 도움이 됩니다.

예를 들어 AWS는 SOC 3 보고서의 공개 다운로드를 허용합니다.

SOC 3의 목적은 무엇입니까?

회사, 특히 소규모 또는 신생 기업은 일반적으로 내부에서 특정 필수 서비스를 제어하거나 유지 관리할 충분한 리소스가 없습니다. 따라서 이러한 회사는 해당 서비스를 위한 새 부서를 구축하는 데 추가 노력이나 돈을 투자하는 대신 타사 공급자에게 서비스를 아웃소싱하는 경우가 많습니다.

따라서 아웃소싱이 더 나은 선택이지만 위험할 수 있습니다. 그 이유는 조직이 아웃소싱하기로 선택한 서비스에 따라 조직에서 고객 데이터 또는 민감한 정보를 타사 공급자와 공유하기 때문입니다.

그러나 조직은 SOC 3 준수를 입증하는 공급업체와만 파트너 관계를 맺어야 합니다.

SOC 3 준수는 SSAE 18의 AT-C 섹션 205 및 AT-C 섹션 105를 기반으로 합니다. 여기에는 독립 경영진 설명 및 감사 보고서의 기본 정보가 포함됩니다. PaaS, IaaS, SaaS 제공업체를 포함하여 클라우드에 고객 정보를 저장하는 모든 서비스 제공업체에 적용됩니다.

SOC 3 규정 준수를 유지하는 방법은 무엇입니까?

SOC 3은 SOC 2의 후속 버전이므로 감사 절차는 동일합니다. 서비스 감사자는 다음과 같은 정책 및 통제를 추구합니다.

감사가 완료되면 감사인은 결과를 기반으로 보고서를 생성합니다. 그러나 SOC 3 보고서는 대중에게 필요한 정보만 공유하기 때문에 훨씬 덜 상세합니다. 서비스 조직은 마케팅 목적으로 최종 감사를 완료한 후 결과를 자유롭게 공유합니다. 감사를 통과하는 데 중점을 둘 사항을 알려줍니다. 따라서 서비스 조직은 다음을 수행하는 것이 좋습니다.

  • 컨트롤을 신중하게 선택하십시오.
  • 통제 내의 격차를 식별하기 위한 평가 수행
  • 규칙적인 활동을 파악하라
  • 사고 경고를 위한 다음 단계 설명
  • 최종 심사를 수행할 자격을 갖춘 서비스 심사원을 찾습니다.

이제 각 규정 준수 유형에 대해 어느 정도 이해했으므로 세 가지 유형의 차이점을 이해하여 모든 회사가 시장에 서도록 돕는 방법을 알아보겠습니다.

SOC 1 대 SOC 2 대 SOC 3: 차이점

다음 표는 각 SOC 보고서의 목적과 이점을 설명합니다.

SOC 1SOC 2SOC 3테스트 절차 및 결과를 포함하여 유형 1 설계 및 유형 2 설계 또는 운영에 대한 의견을 제공합니다. 결과 및 절차를 포함하여 조직 운영에 대한 파트너의 요구를 해결하기 위한 단일 결과물입니다. SOC 2 준수와 유사하지만 더 적은 정보를 포함합니다. . 여기에는 테스트 절차, 결과 또는 통제가 포함되지 않습니다. 재무 보고와 관련된 내부 통제에 필수적인 요구 사항을 통제합니다. 비재무 통제는 주제에 필수적인 5가지 신뢰 원칙으로 평가됩니다. 또한 5가지 신뢰 서비스에 따라 다릅니다. 기준.고객 및 감사자에 대한 제한된 배포 제한된 배포 규제 기관, 고객 및 감사자는 보고서에 정의됩니다. 고객 마케팅을 지원합니다. 무제한 배포시스템의 설명, 제어, 절차 및 결과에 대한 투명성을 유지합니다. 마케팅 혜택에 대한 보고서의 SOC 1일반 배포와 정확히 유사한 수준의 투명성을 제공합니다. 재무 통제에 중점을 둡니다. 운영 통제에 중점을 둡니다. SOC 2와 유사하지만 정보가 적습니다. 서비스 조직의 시스템에 대해 설명합니다. 또한 서비스 조직의 시스템에 대해서도 설명합니다. 이는 기업의 적절한 통제에 대한 CPA의 의견을 설명합니다 system.It은 내부 제어를 보고합니다. 가용성, 개인 정보 보호, 기밀성, 처리 무결성 및 보안 제어를 보고합니다. SOC 2와 유사하게 사용자 컨트롤러의 사무실 및 사용자 감사자는 SOC 1을 사용합니다. NDA에 따라 규제 기관, 경영진 등이 공유합니다. 일반에 공개됩니다. 대부분의 감사자는 “알아야 할 사항”입니다. 대부분의 이해 관계자와 고객은 “알아야 할 사항” .”일반 대중예: 의료 청구 처리자.예: 클라우드 스토리지 회사.예: 공기업.

결론

어떤 SOC 규정 준수가 조직에 가장 적합할지 결정하려면 고객 데이터이든 귀하 데이터이든 관계없이 처리 중인 정보 유형을 시각화해야 합니다.

급여 처리 서비스를 제공하는 경우 SOC 1을 사용할 수 있습니다. 고객 데이터를 처리하거나 호스팅하는 경우 SOC 2 보고서가 필요할 수 있습니다. 마찬가지로 마케팅 목적에 가장 적합한 덜 공식적인 규정 준수가 필요한 경우 SOC 3 보고서를 사용하는 것이 좋습니다.