SOC 2 컴플라이언스란?

SOC 2는 AICPA(American Institute of CPAs)에서 개발한 서비스 조직을 위한 자발적 컴플라이언스 표준으로, 조직이 고객 데이터를 관리하는 방법을 지정합니다. 이 표준은 보안, 가용성, 처리 무결성, 기밀성, 개인 정보 보호와 같은 신뢰 서비스 기준을 기반으로 합니다. SOC 2 보고서는 각 조직의 고유한 요구 사항에 맞게 조정됩니다. 특정 비즈니스 관행에 따라 각 조직은 하나 이상의 신뢰 원칙을 따르는 컨트롤을 디자인할 수 있습니다. 이러한 내부 보고서는 조직과 규제 기관, 비즈니스 파트너 및 공급업체에 조직의 데이터 관리 방법에 대한 중요한 정보를 제공합니다. SOC 2 보고서에는 두 가지 유형이 있습니다.

  • 유형 I 은 조직의 시스템과 시스템 디자인이 관련 신뢰 원칙을 준수하는지 여부를 설명합니다.
  • 유형 II 는 이러한 시스템의 운영 효율성에 대해 자세히 설명합니다.

CSPM 무료 평가판 컴플라이언스 eBook 자동화

SOC 2 Compliance: the Basics and a 4-Step Compliance Checklist

SOC 2 컴플라이언스가 중요한 이유는 무엇입니까?

SOC 2 요구 사항이 있는 컴플라이언스는 조직이 높은 수준의 정보 보안을 유지한다는 것을 나타냅니다. 엄격한 컴플라이언스 요구 사항(현장 감사를 통해 테스트됨)은 민감한 정보를 책임감 있게 처리하는 데 도움이 될 수 있습니다.

 

SOC 2를 준수하면 다음과 같은 이점이 있습니다.

  • 정보 보안 관행 개선 – SOC 2 지침을 통해 조직은 사이버 공격에 대해 더 잘 방어하고 침해를 방지할 수 있습니다.
  • 경쟁 우위 – 고객은 특히 IT 및 클라우드 서비스에 대해 견고한 정보 보안 관행을 입증할 수 있는 서비스 제공업체와 협력하는 것을 선호하기 때문입니다.

누가 SOC 감사를 수행할 수 있습니까?

SOC 감사는 독립 CPA(공인회계사) 또는 회계 법인만 수행할 수 있습니다.

 

AICPA는 SOC 심사원의 업무를 규제하기 위한 전문 표준을 수립했습니다. 또한 감사의 계획, 실행 및 감독과 관련된 특정 지침을 따라야 합니다. 모든 AICPA 심사는 동료 검토를 거쳐야 합니다.

 

CPA 조직은 SOC 심사를 준비하기 위해 관련 정보 기술(IT) 및 보안 기술을 갖춘 비 CPA 전문가를 고용할 수 있지만 최종 보고서는 CPA에서 제공하고 공개해야 합니다.

 

CPA가 수행한 SOC 감사가 성공하면 서비스 조직은 웹사이트에 AICPA 로고를 추가할 수 있습니다.

SOC 2 보안 기준: 4단계 체크리스트

보안은 SOC 2 컴플라이언스의 기초이며 5가지 트러스트 서비스 기준 모두에 공통적인 광범위한 표준입니다.

 

SOC 2 보안 원칙은 조직에서 처리하는 자산 및 데이터의 무단 사용을 방지하는 데 중점을 둡니다. 이 원칙에 따라 조직은 악의적인 공격, 데이터의 무단 삭제, 오용, 회사 정보의 무단 변경 또는 공개를 방지하기 위해 액세스 제어를 구현해야 합니다.

 

다음은 안전 표준을 다루는 제어 기능이 포함된 기본 SOC 2 컴플라이언스 체크리스트입니다.

  1. Access controls(액세스 제어) - 권한이 없는 사람의 액세스를 방지하기 위해 자산에 대한 논리적, 물리적 제한입니다.
  2. 변경 관리 - IT 시스템에 대한 변경 사항을 관리하기 위한 제어된 프로세스로, 무단 변경을 방지하는 방법입니다.
  3. 시스템 운영- 진행 중인 작업을 모니터링하고 조직 절차와의 편차를 감지 및 해결할 수 있는 제어입니다.
  4. 위험완화 - 조직이 위험을 식별하고 대응 및 완화하는 동시에 후속 비즈니스를 처리할 수 있도록 하는 방법 및 활동입니다.

 

SOC 2 기준은 조직이 수행해야 하는 작업을 정확히 규정하는 것이 아니라 해석의 여지가 있다는 점을 명심하십시오. 기업은 각 원칙을 포괄하는 통제 조치를 선택하고 구현할 책임이 있습니다.

SOC 2 컴플라이언스 요구 사항: 기타 기준

보안은 기본 사항을 다룹니다. 그러나 조직이 금융 또는 은행 산업 또는 개인 정보 보호 및 기밀 유지가 가장 중요한 산업에서 운영되는 경우 더 높은 컴플라이언스 표준을 충족해야 할 수 있습니다.

 

고객은 SOC 2의 5가지 원칙을 모두 완벽하게 준수하는 서비스 제공업체를 선호합니다. 이는 조직이 정보 보안 관행에 전념하고 있음을 보여줍니다.

 

기본 보안 원칙 외에도 다른 SOC 2 원칙을 준수하는 방법은 다음과 같습니다.

  • 가용성- 고객이 합의된 사용 약관 및 서비스 수준에 따라 시스템에 액세스할 수 있습니까?
  • 처리 무결성- 회사가 금융 또는 전자 상거래를 제공하는 경우 감사 보고서에는 거래를 보호하도록 설계된 관리 세부 정보가 포함되어야 합니다. 예를 들어, 전송이 암호화되어 있습니까? 회사가 호스팅 및 데이터 스토리지와 같은 IT 서비스를 제공하는 경우 해당 서비스 내에서 데이터 무결성은 어떻게 유지됩니까?
  • 기밀성- 데이터 공유 방법에 제한이 있습니까? 예를 들어, 회사에 개인 식별 정보(PII) 또는 보호된 건강 정보(PHI) 처리에 대한 특정 지침이 있는 경우 감사 문서에 포함되어야 합니다. 문서에는 데이터 저장, 전송 및 액세스 방법 및 직원 절차와 같은 개인 정보 보호 정책을 준수하는 절차가 명시되어야 합니다.
  • 개인 정보 보호- 조직은 고객 정보를 어떻게 수집하고 사용합니까? 회사의 개인정보처리방침은 실제 운영절차와 일치해야 합니다. 예를 들어, 회사가 데이터를 수집할 때마다 고객에게 경고한다고 주장하는 경우 감사 문서는 회사 웹 사이트 또는 기타 채널에서 경고가 제공되는 방법을 정확하게 설명해야 합니다. 개인 데이터 관리는 최소한 AICPA의 개인 정보 보호 관리 프레임워크 (PMF)를 따라야 합니다.

SOC 1과 SOC 2 비교

SOC 1과 SOC 2는 서로 다른 목표를 가진 두 개의 서로 다른 컴플라이언스 표준으로, 둘 다 AICPA에 의해 규제됩니다. SOC 2는 SOC 1의 "업그레이드"가 아닙니다. 아래 표에서는 SOC 1과 SOC 2의 차이점을 설명합니다.

SOC 1 (영어) SOC 2 (영어)
목적 서비스 조직이 고객의 재무제표와 관련된 내부 통제에 대해 보고할 수 있도록 지원합니다. 서비스 조직이 5가지 Trust Services 기준과 관련하여 고객 데이터를 보호하는 내부 통제에 대해 보고할 수 있도록 지원합니다.
관리 목표 SOC 1 감사는 비즈니스 및 IT 프로세스 전반에서 고객 정보의 처리 및 보호를 다룹니다. SOC 2 심사는 5가지 원칙의 모든 조합을 다룹니다. 예를 들어, 특정 서비스 조직은 보안 및 가용성을 처리하는 반면, 다른 서비스 조직은 운영 및 규정 요구 사항의 특성으로 인해 5가지 원칙을 모두 구현할 수 있습니다.
감사 목적 감사 대상 조직의 관리자, 외부 감사인, 사용자 엔터티(감사 대상 서비스 조직의 고객) 및 재무제표를 감사하는 CPA의 CPA입니다. 감사 대상 조직의 임원, 비즈니스 파트너, 잠재 고객, 컴플라이언스 감독자 및 외부 감사인.
에 사용되는 감사 사용자 엔터티가 서비스 조직 제어가 재무제표에 미치는 영향을 이해하는 데 도움이 됩니다. 서비스 조직, 공급업체 관리 계획, 내부 기업 지배 구조 및 위험 관리 프로세스, 규제 감독을 감독합니다.

SOC 2 컴플라이언스 with 체크 포인트

많은 체크 포인트의 제품은 CloudGuard Posture Management, CloudGuard Connect, Harmony Products Infinity Portal 등과 같은 SOC 2 컴플라이언스 적용 가능한 신뢰 서비스 기준을 충족했습니다. 전체 목록은 여기를 참조하십시오 .

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다.웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.
확인