SOC 2는 AICPA(American Institute of CPAs)에서 개발한 서비스 조직을 위한 자발적 컴플라이언스 표준으로, 조직이 고객 데이터를 관리하는 방법을 지정합니다. 이 표준은 보안, 가용성, 처리 무결성, 기밀성, 개인 정보 보호와 같은 신뢰 서비스 기준을 기반으로 합니다. SOC 2 보고서는 각 조직의 고유한 요구 사항에 맞게 조정됩니다. 특정 비즈니스 관행에 따라 각 조직은 하나 이상의 신뢰 원칙을 따르는 컨트롤을 디자인할 수 있습니다. 이러한 내부 보고서는 조직과 규제 기관, 비즈니스 파트너 및 공급업체에 조직의 데이터 관리 방법에 대한 중요한 정보를 제공합니다. SOC 2 보고서에는 두 가지 유형이 있습니다.
SOC 2 요구 사항이 있는 컴플라이언스는 조직이 높은 수준의 정보 보안을 유지한다는 것을 나타냅니다. 엄격한 컴플라이언스 요구 사항(현장 감사를 통해 테스트됨)은 민감한 정보를 책임감 있게 처리하는 데 도움이 될 수 있습니다.
SOC 2를 준수하면 다음과 같은 이점이 있습니다.
SOC 감사는 독립 CPA(공인회계사) 또는 회계 법인만 수행할 수 있습니다.
AICPA는 SOC 심사원의 업무를 규제하기 위한 전문 표준을 수립했습니다. 또한 감사의 계획, 실행 및 감독과 관련된 특정 지침을 따라야 합니다. 모든 AICPA 심사는 동료 검토를 거쳐야 합니다.
CPA 조직은 SOC 심사를 준비하기 위해 관련 정보 기술(IT) 및 보안 기술을 갖춘 비 CPA 전문가를 고용할 수 있지만 최종 보고서는 CPA에서 제공하고 공개해야 합니다.
CPA가 수행한 SOC 감사가 성공하면 서비스 조직은 웹사이트에 AICPA 로고를 추가할 수 있습니다.
보안은 SOC 2 컴플라이언스의 기초이며 5가지 트러스트 서비스 기준 모두에 공통적인 광범위한 표준입니다.
SOC 2 보안 원칙은 조직에서 처리하는 자산 및 데이터의 무단 사용을 방지하는 데 중점을 둡니다. 이 원칙에 따라 조직은 악의적인 공격, 데이터의 무단 삭제, 오용, 회사 정보의 무단 변경 또는 공개를 방지하기 위해 액세스 제어를 구현해야 합니다.
다음은 안전 표준을 다루는 제어 기능이 포함된 기본 SOC 2 컴플라이언스 체크리스트입니다.
SOC 2 기준은 조직이 수행해야 하는 작업을 정확히 규정하는 것이 아니라 해석의 여지가 있다는 점을 명심하십시오. 기업은 각 원칙을 포괄하는 통제 조치를 선택하고 구현할 책임이 있습니다.
보안은 기본 사항을 다룹니다. 그러나 조직이 금융 또는 은행 산업 또는 개인 정보 보호 및 기밀 유지가 가장 중요한 산업에서 운영되는 경우 더 높은 컴플라이언스 표준을 충족해야 할 수 있습니다.
고객은 SOC 2의 5가지 원칙을 모두 완벽하게 준수하는 서비스 제공업체를 선호합니다. 이는 조직이 정보 보안 관행에 전념하고 있음을 보여줍니다.
기본 보안 원칙 외에도 다른 SOC 2 원칙을 준수하는 방법은 다음과 같습니다.
SOC 1과 SOC 2는 서로 다른 목표를 가진 두 개의 서로 다른 컴플라이언스 표준으로, 둘 다 AICPA에 의해 규제됩니다. SOC 2는 SOC 1의 "업그레이드"가 아닙니다. 아래 표에서는 SOC 1과 SOC 2의 차이점을 설명합니다.
SOC 1 (영어) | SOC 2 (영어) | |
목적 | 서비스 조직이 고객의 재무제표와 관련된 내부 통제에 대해 보고할 수 있도록 지원합니다. | 서비스 조직이 5가지 Trust Services 기준과 관련하여 고객 데이터를 보호하는 내부 통제에 대해 보고할 수 있도록 지원합니다. |
관리 목표 | SOC 1 감사는 비즈니스 및 IT 프로세스 전반에서 고객 정보의 처리 및 보호를 다룹니다. | SOC 2 심사는 5가지 원칙의 모든 조합을 다룹니다. 예를 들어, 특정 서비스 조직은 보안 및 가용성을 처리하는 반면, 다른 서비스 조직은 운영 및 규정 요구 사항의 특성으로 인해 5가지 원칙을 모두 구현할 수 있습니다. |
감사 목적 | 감사 대상 조직의 관리자, 외부 감사인, 사용자 엔터티(감사 대상 서비스 조직의 고객) 및 재무제표를 감사하는 CPA의 CPA입니다. | 감사 대상 조직의 임원, 비즈니스 파트너, 잠재 고객, 컴플라이언스 감독자 및 외부 감사인. |
에 사용되는 감사 | 사용자 엔터티가 서비스 조직 제어가 재무제표에 미치는 영향을 이해하는 데 도움이 됩니다. | 서비스 조직, 공급업체 관리 계획, 내부 기업 지배 구조 및 위험 관리 프로세스, 규제 감독을 감독합니다. |
많은 체크 포인트의 제품은 CloudGuard Posture Management, CloudGuard Connect, Harmony Products Infinity Portal 등과 같은 SOC 2 컴플라이언스 적용 가능한 신뢰 서비스 기준을 충족했습니다. 전체 목록은 여기를 참조하십시오 .