SOC(서비스 조직 컨트롤)Service Organization Controls (SOC)

SOC 1, 2 및 3 보고서 개요SOC 1, 2, and 3 Reports overview

점차적으로 기업에서는 데이터 저장소, 응용 프로그램 액세스 등과 같은 기본 기능을 CSP(클라우드 서비스 공급자) 및 기타 서비스 조직에 아웃소싱합니다.Increasingly, businesses outsource basic functions such as data storage and access to applications to cloud service providers (CSPs) and other service organizations. 이에 대응하여 AICPA(American Institute of Certified Public Accountants)는 클라우드에서 저장 및 처리되는 정보의 기밀성과 개인 정보를 보호하는 제어 표준인 SOC(Service Organization Controls) 프레임워크를 개발했습니다.In response, the American Institute of Certified Public Accountants (AICPA) has developed the Service Organization Controls (SOC) framework, a standard for controls that safeguard the confidentiality and privacy of information stored and processed in the cloud. 이 프레임워크는 국제 서비스 조직에 대한 보고 표준인 ISAE(International Standard on Assurance Engagements)을 준수합니다.This aligns with the International Standard on Assurance Engagements (ISAE), the reporting standard for international service organizations.

SOC 프레임워크를 기반으로 하는 서비스 감사는 범위 내 Microsoft 클라우드 서비스에 적용되는 두 범주(SOC 1 및 SOC 2)로 분류됩니다.Service audits based on the SOC framework fall into two categories — SOC 1 and SOC 2 — that apply to in-scope Microsoft cloud services.

재무 제표를 감사하는 CPA 회사를 위한 SOC 1 감사에서는 공급자의 클라우드 서비스를 사용하는 고객의 재무 보고서에 영향을 주는 CPA 내부 통제 수단의 유효성을 평가합니다.A SOC 1 audit, intended for CPA firms that audit financial statements, evaluates the effectiveness of a CSP's internal controls that affect the financial reports of a customer using the provider's cloud services. SSAE(Statement on Standards for Attestation Engagements) 18 및 ISAE 3402(International Standards for AssuranceThe Statement on Standards for Attestation Engagements (SSAE 18) and the International Standards for Assurance Engagements No. Engagements No. 3402)는 감사 수행 및 SOC 1 보고서의 기반이 되는 표준입니다.3402 (ISAE 3402) are the standards under which the audit is performed, and is the basis of the SOC 1 report.

SOC 2 감사에서는 AICPA 트러스트 서비스 원칙 및 기준을 기반으로 CSP 시스템의 유효성을 평가합니다.A SOC 2 audit gauges the effectiveness of a CSP's system based on the AICPA Trust Service Principles and Criteria. SOC 2 및 SOC 3 보고서는 Attest Engagement under Attestation Standards(AT) 제101조를 기반으로 합니다.An Attest Engagement under Attestation Standards (AT) Section 101 is the basis of SOC 2 and SOC 3 reports.

SOC 1 또는 SOC 2 감사를 마치면서 서비스 감사자는 CSP의 시스템을 설명하고 통제 수단에 대한 CSP 설명의 공정성을 평가하는 의견을 SOC 1 유형 2 또는 SOC 2 유형 2 보고서에 기술합니다.At the conclusion of a SOC 1 or SOC 2 audit, the service auditor renders an opinion in a SOC 1 Type 2 or SOC 2 Type 2 report, which describes the CSP's system and assesses the fairness of the CSP's description of its controls. 또한 CSP의 통제 수단이 적절히 설계되었는지, 지정된 날짜에 시행되었는지, 지정된 기간 동안 효율적으로 시행되었는지 여부를 평가합니다.It also evaluates whether the CSP's controls are designed appropriately, were in operation on a specified date, and were operating effectively over a specified time period.

또한 감사자는 CSP 통제 수단에 대한 보장을 원하지만 전체 SOC 2 보고서는 필요 없는 사용자를 위해 SOC 2 유형 2 감사 보고서를 축약한 SOC 3 보고서를 작성할 수 있습니다.Auditors can also create a SOC 3 report — an abbreviated version of the SOC 2 Type 2 audit report — for users who want assurance about the CSP's controls but don't need a full SOC 2 report. 단, CSP에 SOC 2에 대해 부적격 감사 의견이 있는 경우에만 SOC 3 보고서를 제공할 수 있습니다.A SOC 3 report can be conferred only if the CSP has an unqualified audit opinion for SOC 2.

Microsoft 및 SOC 1, 2 및 3 보고서Microsoft and SOC 1, 2, and 3 Reports

독립된 타사 감사자가 SOC 보고 프레임워크에 따라 Microsoft가 제공하는 클라우드 서비스를 최소 매년 감사합니다.Microsoft covered cloud services are audited at least annually against the SOC reporting framework by independent third-party auditors. Microsoft 클라우드 서비스에 대한 감사에는 각 서비스에 대한 범위 내 트러스트 원칙에 적용되는 데이터 보안, 가용성, 처리 무결성, 기밀성 등에 대한 통제 수단이 포함됩니다.The audit for Microsoft cloud services covers controls for data security, availability, processing integrity, and confidentiality as applicable to in-scope trust principles for each service.

Microsoft는 SOC 1 유형 2, SOC 2 유형 2 및 SOC 3 보고서를 완성했습니다.Microsoft has achieved SOC 1 Type 2, SOC 2 Type 2, and SOC 3 reports. 일반적으로 SOC 1 및 SOC 2 보고서는 Microsoft와 비밀 유지 계약을 체결한 고객만 사용할 수 있고, SOC 3 보고서는 공개적으로 제공됩니다.In general, the availability of SOC 1 and SOC 2 reports is restricted to customers who have signed nondisclosure agreements with Microsoft; the SOC 3 report is publicly available.

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

SOC 1 및 SOC 2에 대해 적용되는 서비스Covered services for SOC 1 and SOC 2

SOC 3에 대해 적용되는 서비스Covered services for SOC 3

감사, 보고서 및 인증서Audits, reports, and certificates

감사 주기Audit cycle

SOC 1 (SSAE18, ISAE 3402) 및 SOC 2 (AT Section 101) 및 SOC 3 표준에 따라 Microsoft 클라우드 서비스를 적어도 매년 감사합니다.Microsoft cloud services are audited at least annually against SOC 1 (SSAE18, ISAE 3402), SOC 2 (AT Section 101), and SOC 3 standards.

Azure, Dynamics 365, Microsoft Cloud App Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream 및 Microsoft DatacentersAzure, Dynamics 365, Microsoft Cloud App Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream, and Microsoft Datacenters

Office 365Office 365

자주하는 질문Frequently asked questions

SOC 보고서 사본을 구하려면 어떻게 해야 하나요?How can I get copies of the SOC reports?

감사자 검색에서는 보고서에서 Microsoft 비즈니스 클라우드 서비스 결과를 파트너의 법률 및 규정 요구 사항과 비교합니다.With the reports, your auditors can compare Microsoft business cloud services results with your own legal and regulatory requirements.

Azure SOC 보고서는 얼마나 자주 발행되나요?How often are Azure SOC reports issued?

Azure, Microsoft Cloud App Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream 및 Microsoft Datacenters에 대한 SOC 보고서는 과거 12개월 연속 실행 기간(감사 기간)을 기반으로 하고 1년에 두 번 새 보고서가 발행됩니다.(기간 종료은 3월 31일과 9월 30일)SOC reports for Azure, Microsoft Cloud App Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream, and Microsoft Datacenters are based on a rolling 12-month run window (audit period) with new reports issued semi-annually (period ends are March 31 and September 30). 브리지 레터는 10/1~12/31을 커버하는 1월과 4/16~6/30의 기간을 커버하는 7월에 발행됩니다.Bridge letters are issued in January to cover the period of 10/1 – 12/31 and July to cover the period of 4/1 – 6/30. 고객은 Service Trust Portal에서 최신 보고서를 다운로드할 수 있습니다.Customers can download the latest reports from the Service Trust Portal.

Microsoft 데이터 센터에 대한 자체 감사를 실시해야 하나요?Do I need to conduct my own audit of Microsoft datacenters?

아니요.No. Microsoft는 독립 감사 보고서 및 인증을 고객과 공유하여 Microsoft가 보안 약속을 지키는지를 확인할 수 있도록 합니다.Microsoft shares the independent audit reports and certifications with customers so that they can verify Microsoft compliance with its security commitments.

우리 회사의 인증 프로세스에 Microsoft의 규정 준수를 사용할 수 있나요?Can I use Microsoft's compliance in my organization's certification process?

예.Yes. 응용 프로그램 및 데이터를 적용 대상 Microsoft 클라우드 서비스로 마이그레이션하면 Microsoft에서 보유한 감사 및 인증을 획득할 수 있습니다.When you migrate your applications and data to covered Microsoft cloud services, you can build on the audits and certifications that Microsoft holds. 독립 보고서에서는 파트너 데이터의 보안 및 개인 정보를 유지하기 위해 Microsoft에서 구현한 통제 수단의 유효성을 입증합니다.The independent reports attest to the effectiveness of controls that Microsoft has implemented to help maintain the security and privacy of your data.

우리 회사의 자체 규정 준수 활동은 어느 것부터 시작해야 하나요?Where do I start with my organization's own compliance effort?

서비스 조직을 위한 SOC 도구 키트는 SOC 보고 프로세스를 이해하고 조직의 프로세스 사용을 촉진하는 데 도움이 되는 리소스입니다.The SOC Toolkit for Service Organizations is a helpful resource for understanding SOC reporting processes and promoting your organization's use of them.

Microsoft 준수 점수를 사용하여 위험 평가Use Microsoft Compliance Score to assess your risk

Microsoft 준수 점수는 조직의 준수 입장을 이해하고 위험을 줄이기 위한 조치를 취하도록 돕는 Microsoft 365 컴플라이언스 센터의 미리 보기 기능입니다.Microsoft Compliance Score is a preview feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. 준수 점수를 설정한 후, 서식 파일 드롭다운 메뉴에서 사전 구성된 SOC 1 서식 파일SOC 2 서식 파일을 선택하여 조직이 이 규정에 대한 요구 사항을 충족할 수 있도록 하십시오.After setting up Compliance Score, select the pre-configured SOC 1 template and the SOC 2 template from the Template drop-down menu to help your organization meet the requirements for this regulation.

리소스Resources