SOC(시스템 및 조직 컨트롤) 2 Type 2
SOC 2 Type 2 개요
서비스 조직을 위한 SOC(시스템 및 조직 컨트롤)는 AICPA(American Institute of Certified Public Accountants)가 만든 내부 컨트롤 보고서입니다. 최종 사용자가 아웃소싱 서비스와 관련된 위험을 평가하고 해결할 수 있도록 서비스 organization 제공하는 서비스를 검사하기 위한 것입니다.
SOC 2 Type 2 증명은 다음에 따라 수행됩니다.
- SSAE No. 18, 증명 표준: AT-C 섹션 105, 모든 증명 계약에 공통된 개념 및 AT-C 섹션 205, 시험 계약 (AICPA, 전문 표준)을 포함하는 설명 및 재편성.
- 보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보 보호와 관련된 서비스 조직의 컨트롤 조사에 관한 SOC 2 보고(AICPA 가이드)
- TSP 100조, 2017 보안, 가용성, 처리 무결성, 기밀성 및 개인 정보 보호에 대한 트러스트 서비스 기준(AICPA, 2017 트러스트 서비스 기준)
또한 Office 365 SOC 2 Type 2 증명 보고서는 CSA(Cloud Security Alliance) CCM(Cloud Controls Matrix) 및 독일 BSI(연방 정보 보안청)에서 만든 클라우드 컴퓨팅 준수 기준 카탈로그(C5:2020)에 명시된 요구 사항을 다룹니다.
Office 365 SOC 2 증명은 독립적인 AICPA 공인 CPA 회사가 실시한 엄격한 포괄적인 타사 검사(감사라고도 함)를 기반으로 합니다. SOC 2 감사를 마치면서 감사자는 CSP(클라우드 서비스 공급자)의 시스템을 설명하고 컨트롤에 대한 CSP 설명의 공정성을 평가하는 의견을 SOC 2 Type 2 보고서에 기술합니다. 또한 CSP의 통제 수단이 적절히 설계되었는지, 지정된 날짜에 시행되었는지, 지정된 기간 동안 효율적으로 시행되었는지 여부를 평가합니다. Office 365 SOC 2 Type 2 보고서는 시스템 보안, 가용성, 처리 무결성, 기밀성 및 개인 정보 보호와 관련이 있습니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
범위 내 Microsoft 온라인 서비스는 Azure SOC 2 Type 2 증명 보고서에 표시됩니다.
- Azure(자세한 인사이트는 Microsoft Azure 규정 준수 제품 참조)
- Azure DevOps(별도 Azure DevOps SOC 2 Type 2 증명 보고서 참조)
- Dynamics 365(자세한 정보는 Azure SOC 2 Type 2 증명 보고서 참조)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- 엔드포인트용 Microsoft Defender
- ID용 Microsoft Defender
- Microsoft Forms Pro
- Microsoft Intune
- Microsoft Managed Desktop
- Microsoft Stream
- Microsoft 위협 전문가
- Topics
- 추천 포털
- Office 365, Office 365 U.S. Government, Office 365 U.S. Government - High, Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- 파워 가상 에이전트
- 준수 업데이트
Azure, Dynamics 365 및 SOC 2
Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure SOC 2 제품을 참조하세요.
Office 365 및 SOC 2
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
| 적용 가능성 | 범위 내 서비스 |
|---|---|
| 상업용 | 준수 관리자, 고객 Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox(Torus), Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 고객 포털, Office 365 마이크로 서비스(Kaizala, ObjectStore, Sway, PowerPoint Online 문서 서비스, 쿼리 주석 서비스, 학교 데이터 동기화, Siphon, Speech, StaffHub, eXtensible 애플리케이션 프로그램 포함) Office Online, Office Services 인프라, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, PowerApps MICROSOFT Purview 고객 키를 사용하는 BI, Project Online, 서비스 암호화, SharePoint Online, 비즈니스용 Skype |
| GCC | Microsoft Entra ID, 준수 관리자, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype Stream |
| GCC High | Microsoft Entra ID, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype |
| DoD | Microsoft Entra ID, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, Power BI, SharePoint Online, 비즈니스용 Skype |
Office 365 감사 보고서
- Office 365 Core - SSAE 18 SOC 2 보고서
- Office 365 마이크로 서비스 T1-SSAE 18 SOC2 Type I 보고서
- 브리지 레터 및 추가 감사 보고서 참조
AICPA 요구 사항에 따라 필요에 따라 SOC 1 및 SOC 2 증명 보고서 및 브리지 문자를 다운로드하려면 미국 정부 Office 365 또는 Office 365 기존 구독 또는 평가판 계정이 있어야 합니다.
자주 묻는 질문
Office 365 SOC 보고서는 얼마나 자주 발행되나요?
Microsoft는 매년 전체 SOC 1 유형 2 및 SOC 2 유형 2 Office 365 검사를 의뢰합니다. 이러한 검사에 대한 감사자의 보고서(감사라고도 함)는 감사 후 준비되는 즉시 발행됩니다. SOC 2 검사를 기반으로 하는 SOC 3 보고서는 동시에 발행됩니다.
Microsoft는 검사의 조사 scope 감사자의 완료 기간이나 기간을 제어하지 않으므로 이러한 보고서가 발행될 때 설정된 기간이 없습니다. 보고서는 일반적으로 검사 기간이 끝난 후 몇 달 후에 발행됩니다. Microsoft는 한 시험에서 다음 시험까지 연속된 시험 기간의 간격을 허용하지 않습니다.
Microsoft는 또한 마지막 SOC 유형 2 감사 이후 발행된 새로운 Microsoft 서비스에 대한 Office 365 대한 SOC 1 유형 1 및 SOC 2 유형 1 검사를 의뢰합니다. 유형 1 감사는 성능 기간 동안 되돌아보지 않습니다.
Office 365 정교한 특성으로 인해 전체적으로 검사하는 경우 서비스 scope 큽 수 있습니다. 이로 인해 크기 조정으로 인해 검사 완료가 지연될 수 있습니다. Microsoft는 위에서 설명한 모든 검사를 핵심 서비스 및 마이크로 서비스라는 2가지 범주로 구성합니다. Microsoft는 각 검사로 범위가 지정된 보고서를 발행합니다.
SOC 유형 2 감사는 다음 해 1~10월 30일부터 9월까지 매년 실시되는 심사를 통해 12개월 실행 기간 (감사 기간 또는 보다 공식적으로 수행 기간이라고도 함)을 검토합니다. 시험은 성과 기간이 완료된 후 즉시 시작됩니다.
또한 Microsoft는 브리지 문자 ( 간격 문자라고도 함)를 발급합니다. 이는 감사자의 심사를 기반으로 하는 보고서가 아니라 Microsoft의 자체 증명입니다. 브리지 문자는 아직 완료되지 않은 현재 성능 기간 동안 발행되며 감사 검사를 받을 준비가 되어 있습니다. Microsoft는 이전 3개월 동안의 성과를 테스트하기 위해 각 분기 말에 브리지 문자를 발행합니다. SOC 유형 2 감사의 성능 기간으로 인해 브리지 문자는 일반적으로 현재 운영 기간의 12월, 3월, 6월 및 9월에 발행됩니다.
브리지 레터를 포함하여 Office 365 SOC 감사 설명서는 어디에서 받을 수 있나요?
감사 설명서에 대한 링크는 서비스 신뢰 포털의 감사 보고서 섹션을 참조하세요. 미국 정부에 로그인하려면 Office 365 또는 Office 365 기존 구독 또는 평가판 계정이 있어야 합니다. 그런 다음 감사 인증서, 평가 보고서 및 기타 관련 문서를 다운로드하여 자체 규정 요구 사항에 도움을 받을 수 있습니다.
Cloud Security Alliance CCM 컨트롤 구현에 대한 평가는 어디에서 찾을 수 있나요?
Microsoft는 보안, 가용성, 기밀성 및 처리 무결성, CSA(Cloud Security Alliance) CCM(Cloud Controls Matrix)의 기준을 포함하여 AICPA(미국 공인 회계사 연구소) 트러스트 서비스 원칙 및 기준을 기반으로 하는 Office 365 검사합니다.
목표는 하나의 효율적인 검사에서 CCM에 명시된 AICPA 기준과 요구 사항을 모두 평가하는 것입니다. Office 365 SOC 2 유형 2 감사는 CSA STAR 증명에 필요한 CCM 컨트롤 평가를 통합합니다. 자세한 내용은 Office 365 SOC 2 Type 2 증명 보고서를 참조하세요.
언급된 예외에 대한 관리 응답은 어디에서 볼 수 있나요?
대부분의 검사에는 검사된 특정 컨트롤 중 하나 이상에 대한 몇 가지 관찰이 있습니다. 이것은 예상될 것입니다. 모든 예외에 대한 관리 응답은 SOC 증명 보고서의 끝 부분에 있습니다. 문서에서 '관리 응답'을 검색합니다.
사용자 업체 책임은 어디에서 확인할 수 있나요?
시스템 전체가 SOC 2 제어 표준을 충족하는 경우 사용자 엔터티 책임은 제어 책임입니다. SOC 증명 보고서의 맨 끝에 있습니다. 문서에서 '사용자 엔터티 책임'을 검색합니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
리소스
- Service Trust Portal 감사 보고서
- AICPA SOC for Service Organizations(서비스 조직을 위한 AICPA SOC)
- SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA Professional Standards)(SSAE No. 18, 증명 표준: 명확화 및 재집성(AICPA 전문 표준)
- SOC 2 Reporting on an Examination of Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy (AICPA Guide)(보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보 보호와 관련된 서비스 조직의 컨트롤 조사에 관한 SOC 2 보고(AICPA 가이드)(구매 가능)
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기