연방 금융 기관 심사 위원회(FFIEC)

아티클
02/15/2024

FFIEC 개요

연방 금융 기관 검사 위원회 (FFIEC)는 미국 금융 기관의 미국 연방 정부 검사를 담당하는 5 개의 은행 규제 기관으로 구성된 공식 기관 기관 기관입니다. FFIEC 심사관 교육 사무소는 FFIEC 회원 기관의 현장 심사자를 위한 IT 검사 핸드북을 게시합니다.

FFIEC 감사 IT 검사 핸드북에는 이러한 심사관이 금융 기관 및 TSP의 IT 감사 프로그램의 품질과 효율성을 평가하기 위한 지침이 포함되어 있습니다. 특히 미국 공인 회계사 연구소(AICPA)의 SOC 1, SOC 2 및 SOC 3 증명 보고서의 멘션 독립적인 감사 보고서의 예로 포함합니다. 그러나 FFIEC는 금융 기관이 이러한 보고서에 포함된 정보에만 의존하지 않고 FFIEC 아웃소싱 기술 서비스 IT 검사 핸드북에 자세히 설명된 확인 및 모니터링 절차를 사용하는 것이 좋습니다.

Microsoft 및 FFIEC

Microsoft Azure, Microsoft Power BI 및 Microsoft Office 365 금융 서비스 기관에 클라우드 서비스를 제공하는 엄격한 요구 사항을 충족하도록 빌드되었습니다. Azure는 고객이 자체 FFIEC 규정 준수 의무를 충족할 수 있도록 독립 감사 회사에서 생성한 SOC 1 유형 2, SOC 2 유형 2 및 SOC 3 증명 보고서를 금융 기관에 제공합니다. 예를 들어 SOC 1 유형 2 증명 은 다음에서 수행됩니다.

SSAE 번호 18, 증명 표준: AT-C 섹션 320, 사용자 엔터티의 재무 보고에 대한 내부 제어와 관련된 서비스 조직의 제어 검사 보고(AICPA, 전문 표준)를 포함하는 설명 및 수정.
재무 보고에 관한 사용자 업체의 내부 컨트롤과 관련된 서비스 조직의 컨트롤 조사에 관한 SOC 1 보고(AICPA 가이드).

AICPA SSAE 18 표준은 SAS 70을 대체했으며, 재무 보고에 대한 사용자 엔터티 내부 제어와 관련된 서비스 organization 컨트롤에 대한 보고에 적합합니다. 이는 금융 기관이 Azure에 배포된 자산에 대한 자체 FFIEC 특정 규정 준수 의무를 추구할 때 기술 서비스 공급자의 타사 검토를 위해 활용할 수 있는 공식 감사입니다. 여기에는 지정된 모니터링 기간 동안 관련 제어 목표를 달성하기 위한 제어 효과에 대한 감사자의 의견이 포함됩니다.

또한 Azure는 금융 기관이 Azure 서비스를 기준으로 수행할 수 있는 위험 평가를 신속하게 수행하기 위한 Excel 기반 클라우드 보안 진단 도구를 개발했습니다. 이 도구는 FFIEC IT 검사 핸드북을 포함하여 관련 표준 및 금융 서비스 관련 규정에 명시된 요구 사항을 식별하는 19개의 개별 도메인이 포함된 스프레드시트를 기반으로 합니다. 위험 평가 도구에는 Azure가 클라우드 서비스 공급자에 적용되는 요구 사항을 준수하는 방법에 대한 설명이 미리 채워지고 고객이 자체 FFIEC 규정 준수 요구 사항을 충족하는 데 도움이 될 수 있습니다.

또한 고객이 사용할 수 있는 Azure FFIEC 클라우드 보안 진단 통합 문서 도우미는 Azure 서비스 사용에 대한 지침과 FFIEC 요구 사항을 준수하는 고객에 대한 고려 사항을 제공합니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

Azure
Intune
Office 365, Office 365 미국 정부
Power BI 클라우드 서비스(독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태)

Azure 지침 문서

클라우드 채택을 통해 FFIEC 감독을 받는 금융 기관을 지원하기 위해 Microsoft는 서비스 신뢰 포털 데이터 보호 리소스 - 규정 준수 가이드 섹션에서 다운로드할 수 있는 다음 지침 문서를 게시했습니다.

Azure - 클라우드 보안 진단 도구
Azure - FFIEC 클라우드 보안 진단 통합 문서 도우미

Office 365 및 FFIEC

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성	범위 내 서비스
상업용	Microsoft Entra ID, Azure Information Protection, Bookings, 준수 관리자, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Office 365용 Microsoft Defender, Microsoft Graph, Microsoft Teams, 웹용 Microsoft To-Do, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 Cloud App Security, Office 365 그룹, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, StaffHub, Stream, Sway, Viva Engage
GCC	Microsoft Entra ID, 준수 관리자, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, Stream

적용 가능성

범위 내 서비스

상업용

Microsoft Entra ID, Azure Information Protection, Bookings, 준수 관리자, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Office 365용 Microsoft Defender, Microsoft Graph, Microsoft Teams, 웹용 Microsoft To-Do, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 Cloud App Security, Office 365 그룹, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, StaffHub, Stream, Sway, Viva Engage

GCC

Microsoft Entra ID, 준수 관리자, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, Stream

Office 365 감사, 보고서 및 인증서

OFFICE 365 SOC 증명 보고서를 참조하세요.

질문과 대답

MICROSOFT 규정 준수를 SOC 표준과 함께 사용하여 내 기관의 FFIEC 규정 준수 의무를 충족할 수 있나요?

이러한 의무를 충족하는 데 도움이 되도록 Microsoft는 앞에서 설명한 대로 SOC 표준 준수에 대한 세부 정보를 제공합니다. 그러나 궁극적으로 당사의 서비스가 귀하의 기관에 적용되는 특정 법률 및 규정을 준수하는지 여부를 결정하는 것은 귀하에게 달려 있습니다. 또한 FFIEC는 '감사 보고서 또는 검토 사용자는 TSP의 내부 제어 환경을 확인하기 위해 보고서에 포함된 정보에만 의존해서는 안 됩니다. FFIEC IT 검사 핸드북의 아웃소싱 기술 소책자 에서 자세히 설명한 대로 다른 확인 및 모니터링 절차를 사용해야 합니다.'

Microsoft Purview 준수 관리자를 사용하여 위험 평가

Microsoft Purview 준수 관리자는 organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.