연방 금융 기관 검사 Council (FFIEC)Federal Financial Institutions Examination Council (FFIEC)

FFIEC 개요FFIEC overview

연방 금융 기관 검사 Council (FFIEC)는 미국 연방 정부 examinations 미국의 금융 기관에 대 한 책임을 지는 5 개의 은행 조절기로 구성 되는 공식적인 상호 에이전시 본문입니다.The Federal Financial Institutions Examination Council (FFIEC) is a formal interagency body comprising five banking regulators that are responsible for US federal government examinations of financial institutions in the United States. FFIEC 검사기 교육용 Office는 FFIEC 구성원 에이전시에서 examiners 필드에 사용 하기 위한 IT 조사 안내서를 게시 합니다.The FFIEC Examiner Education Office publishes IT Examination Handbooks intended for field examiners from FFIEC member agencies.

Ffiec AUDIT IT 검사 지침에는 이러한 examiners에 대 한 지침이 포함 되어 있어 금융 기관과 TSPS의 IT 감사 프로그램의 품질과 효율성을 평가할 수 있습니다.The FFIEC Audit IT Examination Handbook contains guidance for these examiners to assess the quality and effectiveness of IT audit programs of both financial institutions and TSPs. 특히, 독립 감사 보고서의 대표적인 예로, AICPA (공인 공공 회계사)의 미국 협회에 대 한 soc 1, SOC 2 및 SOC 3 증명 보고서에 대 한 설명도 포함 됩니다.Specifically, it includes mention of SOC 1, SOC 2, and SOC 3 attestation reports of the American Institute of Certified Public Accountants (AICPA) as examples of independent audit reports. 그러나 FFIEC는 재무 기관이 이러한 보고서에 포함 된 정보만을 사용 하는 것을 권장 하지만 Ffiec 외주 업체 IT 검사 안내서에서 자세히 설명 하는 확인 및 모니터링 절차도 소개 합니다.However, the FFIEC recommends that financial institutions not rely solely on the information contained in these reports, but also use verification and monitoring procedures discussed in detail in the FFIEC Outsourcing Technology Services IT Examination Handbook.

Microsoft 및 FFIECMicrosoft and FFIEC

Microsoft Azure, Microsoft Power BI 및 Microsoft Office 365는 금융 서비스 기관에 클라우드 서비스를 제공 하는 데 필요한 엄격한 요구 사항을 충족 하도록 작성 되었습니다.Microsoft Azure, Microsoft Power BI, and Microsoft Office 365 are built to meet the stringent requirements of Providing cloud services for financial services institutions. 지원의 일부로, 정보 기술에 대 한 FFIEC 감사 요구 사항을 준수 하는 데 도움이 되는 지침을 제공 하 고 FFIEC 준수 의무를 다룰 때 Azure SOC attestations을 사용 하는 기능에 대해 설명 합니다.As part of our support, we offer guidance to help you comply with FFIEC audit requirements for information technology and the ability to use Azure SOC attestations when pursuing your FFIEC compliance obligations.

금융 서비스 배포 속도 향상: Azure 보안 및 준수 FFIEC 금융 서비스 청사진 다운로드Accelerate your financial services deployment: Download the Azure Security and Compliance FFIEC Financial Services Blueprint

금융 기관 클라이언트가 Azure를 통한 FFIEC 준수 요구 사항을 충족 하도록 지원 하기 위해 Microsoft는 다음을 개발 했습니다.To help financial institution clients meet their FFIEC compliance requirements with Azure, Microsoft has developed the:

  • 클라우드 보안 진단 도구 * * Azure 서비스의 위험 요소 분석을 보다 효율적으로 수행 하는 데 도움이 됩니다.Cloud Security Diagnostic Tool** to help you more efficiently conduct a risk assessment of Azure services. 이 도구 (Excel 스프레드시트)는 재무 서비스 규정 및 기타 관련 표준의 요구 사항을 추적 하는 정보 보안 도메인 19 개 (예: 네트워크 및 시스템 보안, 정보 및 위험 관리)를 갖추고 있습니다.The tool (an Excel spreadsheet) features 19 information security domains (such as network and system security and information and risk management) that track the requirements of financial services regulations and other relevant standards, as well as the FFIEC IT Examination Handbooks. 이 도구는 Azure에서 기술 서비스 공급자 (TSPs)에 적용 되는 각 요구 사항을 준수 하는 방법을 설명 합니다.The tool explains how Azure complies with each requirement applicable to technology service providers (TSPs).
  • 진단 도구와 함께 제공 되는 FFIEC 규정 서비스 작업에 대 한 Azure 보안 및 규정 준수 청사진Azure Security and Compliance Blueprint for FFIEC Regulated Services Workloads, a companion to the diagnostic tool. Azure 클라우드 서비스의 사용과 FFIEC 요구 사항 및 위험 평가 지침에 대 한 고객 준수 고려 사항에 대 한 지침을 제공 합니다.It offers guidance on the use of Azure cloud services and considerations for customer compliance with FFIEC requirements and risk assessment guidelines.

FFIEC 요구 사항을 준수 하는 데 도움이 되도록 Microsoft 클라우드 서비스는 독립 CPA 회사에서 생성 하는 SOC 증명 보고서 를 제공 합니다.To further help you comply with FFIEC requirements, Microsoft cloud services provide SOC attestation reports produced by an independent CPA firm. 예를 들어 SOC 1 유형 2 증명은 SAS 70를 대체 한 AICPA SSAE 18 standard (-C 섹션 105 참조)를 기반으로 하며, 재무 보고용으로 특정 컨트롤을 보고 하는 데 적합 합니다.For example, the SOC 1 Type 2 attestation is based on the AICPA SSAE 18 standard (see AT-C Section 105) that replaced SAS 70, and is appropriate for reporting on certain controls for financial reporting. SOC 보고서에는 지정 된 모니터링 기간 동안 관련 제어 목표를 달성할 때 Microsoft 컨트롤의 효율성에 대 한 감사자의 의견이 포함 됩니다.The SOC reports include the auditor’s opinion on the effectiveness of Microsoft controls in achieving the related control objectives during the specified monitoring period. 금융 기관은 Azure, Power BI 및 Office 365에 배포 된 자산에 대 한 FFIEC 관련 규정 준수 의무를 준수할 때이 공식적인 감사를 사용할 수 있습니다.Financial institutions can use this formal audit when pursuing FFIEC-specific compliance obligations for assets deployed on Azure, Power BI, and Office 365.

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

  • AzureAzure
  • IntuneIntune
  • Office 365Office 365
  • 독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power BI 클라우드 서비스Power BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite

감사, 보고서 및 인증서Audits, reports, and certificates

Azure 및 Office 365 SOC 증명 보고서Azure and Office 365 SOC attestation reports.

자주 묻는 질문Frequently asked questions

Microsoft에서 사용 하는 제 1의 FFIEC 준수 의무를 충족 하기 위해 SOC 표준에 대 한 마이크로소프트 준수를 사용할 수 있나요?Can I use Microsoft compliance with SOC standards to meet the FFIEC compliance obligations for my institution?

이러한 의무를 충족 하도록 지원 하기 위해 Microsoft는 위에서 설명한 SOC 표준의 준수에 대 한 구체적인 정보를 제공 합니다.To help you meet these obligations, Microsoft supplies the specifics about our compliance with SOC standards as described above. 그러나 궁극적으로는 서비스가 해당 기관에 적용할 수 있는 특정 법률과 규정을 준수 하는지 확인 해야 합니다.However, ultimately, it is up to you to determine whether our services comply with the specific laws and regulations applicable to your institution. 또한 FFIEC는 "감사 보고서 또는 리뷰 사용자가 보고서에 포함 된 정보에만 의존해 서 TSP 내부 제어 환경을 확인 하는 것이 아니라는 것을 제안 합니다.The FFIEC also advises that “users of audit reports or reviews should not rely solely on the information contained in the report to verify the internal control environment of the TSP. FFIEC IT 검사 안내서의 아웃소싱 기술 책자 에 자세히 설명 된 것 처럼 추가 확인 및 모니터링 절차를 사용 해야 합니다.They should use additional verification and monitoring procedures as discussed more fully in the Outsourcing Technology Booklet of the FFIEC IT Examination Handbook.”

Microsoft 준수 점수를 사용하여 위험 평가Use Microsoft Compliance Score to assess your risk

Microsoft 준수 점수는 조직의 준수 입장을 이해하고 위험을 줄이기 위한 조치를 취하도록 돕는 Microsoft 365 컴플라이언스 센터의 미리 보기 기능입니다.Microsoft Compliance Score is a preview feature in the Microsoft 365 compliance center to help you understand your organization’s compliance posture and take actions to help reduce risks. 규정 준수 점수를 설정한후에는 서식 파일 드롭다운 메뉴에서 미리 구성 된 ffiec Office 365 서식 파일ffiec Intune 서식 파일을 선택 하 여 조직이이 규정 요구 사항을 충족 하는 데 도움을 받을 수 있습니다.After setting up Compliance Score, select the pre-configured FFIEC Office 365 template and the FFIEC Intune template from the Template drop-down menu to help your organization meet the requirements for this regulation.

리소스Resources

금융 서비스에 대한 기타 Microsoft 리소스Other Microsoft resources for financial services