SOC(시스템 및 조직 컨트롤) 3
SOC 3 개요
서비스 조직을 위한 SOC(시스템 및 조직 컨트롤)는 AICPA(American Institute of Certified Public Coordinators)가 만든 내부 제어 보고서입니다. 최종 사용자가 아웃소싱 서비스와 관련된 위험을 평가하고 해결할 수 있도록 서비스 organization 제공하는 서비스를 검사하기 위한 것입니다.
서비스 조직의 SOC 3: 일반 사용 보고서에 대한 신뢰 서비스 기준은 서비스 organization 제어에 대한 보증이 필요하지만 전체 SOC 2 보고서가 필요하지 않거나 SOC 2에서 받을 자격이 없는 사용자를 위한 SOC 2 유형 2 증명 보고서의 짧고 공개적으로 요약된 내용입니다. SOC 3 보고서는 일반적인 사용 보고서이므로 자유롭게 배포할 수 있습니다.
SOC 3 보고서에는 적용 가능한 신뢰 서비스 기준에 따라 약정을 달성하기 위한 제어 효과와 관련하여 서비스 organization 경영진의 서면 어설션과 경영진의 주장이 공정하게 언급되는지에 대한 서비스 감사자의 의견이 포함되어 있습니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
Microsoft 범위 내 서비스는 Azure SOC 2 유형 2 증명 보고서에서 확인할 수 있습니다.
- Azure(자세한 정보는 Microsoft Azure 규정 준수 제품 또는 Azure SOC 2 Type 2 증명 보고서 참조)
- Dynamics 365(자세한 정보는 Azure SOC 2 Type 2 증명 보고서 참조)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- 엔드포인트용 Microsoft Defender
- ID용 Microsoft Defender
- Microsoft Forms Pro
- Microsoft Intune
- Microsoft Managed Desktop
- Microsoft Stream
- Microsoft 위협 전문가
- 추천 포털
- Office 365, Office 365 U.S. Government, Office 365 U.S. Government - High, Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- 파워 가상 에이전트
- 준수 업데이트
Azure, Dynamics 365 및 SOC 3
Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure SOC 3 제품을 참조하세요.
Office 365 및 SOC 3
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
적용 가능성 | 범위 내 서비스 |
---|---|
상업용 | 준수 관리자, 고객 Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox(Torus), Microsoft Teams, MyAnalytics, Office 365 고객 포털, Office 365 마이크로 서비스(Kaizala, ObjectStore, Sway, PowerPoint Online 문서 서비스, 쿼리 주석 서비스, 학교 데이터 동기화, Siphon, Speech, StaffHub, eXtensible 애플리케이션 프로그램 포함) Office Online, Office Services Infrastructure, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, Project Online, Microsoft Purview 고객 키를 사용하는 서비스 암호화, SharePoint Online, 비즈니스용 Skype |
GCC | Microsoft Entra ID, 준수 관리자, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, Stream |
GCC High | Microsoft Entra ID, Exchange Online, Flow, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 Center, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype |
DoD | Microsoft Entra ID, Exchange Online, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype |
Office 365 감사 보고서
필요한 경우 SOC 1 및 SOC 2 증명 보고서 및 브리지 레터를 다운로드하려면 Office 365 또는 Office 365 U.S. Government의 기존 구독 또는 평가판 계정이 있어야 합니다.
자주 묻는 질문
Office 365 SOC 보고서는 얼마나 자주 발행되나요?
Microsoft는 매년 전체 SOC 1 유형 2 및 SOC 2 유형 2 Office 365 검사를 의뢰합니다. 이러한 검사에 대한 감사자의 보고서(감사라고도 함)는 감사 후 준비되는 즉시 발행됩니다. SOC 2 검사를 기반으로 하는 SOC 3 보고서는 동시에 발행됩니다.
Microsoft는 검사의 조사 scope 감사자의 완료 기간이나 기간을 제어하지 않으므로 이러한 보고서가 발행될 때 설정된 기간이 없습니다. 보고서는 일반적으로 검사 기간이 끝난 후 몇 달 후에 발행됩니다. Microsoft는 한 시험에서 다음 시험까지 연속된 시험 기간의 간격을 허용하지 않습니다.
Microsoft는 또한 마지막 SOC 유형 2 감사 이후 발행된 새로운 Microsoft 서비스에 대한 Office 365 대한 SOC 1 유형 1 및 SOC 2 유형 1 검사를 의뢰합니다. 유형 1 감사는 성능 기간 동안 되돌아보지 않습니다.
Office 365 정교한 특성으로 인해 전체적으로 검사하는 경우 서비스 scope 큽 수 있습니다. 이로 인해 규모로 인해 검사 완료 지연이 발생할 수 있습니다. Microsoft는 위에서 설명한 모든 검사를 핵심 서비스 및 마이크로 서비스라는 2가지 범주로 구성합니다. Microsoft는 각 검사로 범위가 지정된 보고서를 발행합니다.
SOC 유형 2 감사는 다음 해 1~10월 30일부터 9월까지 매년 실시되는 심사를 통해 12개월 실행 기간 (감사 기간 또는 보다 공식적으로 수행 기간이라고도 함)을 검토합니다. 시험은 성과 기간이 완료된 후 즉시 시작됩니다.
또한 Microsoft는 브리지 문자( 간격 문자라고도 함)를 발급합니다. 이는 감사자의 심사를 기반으로 하는 보고서가 아니라 Microsoft의 자체 증명입니다. 브리지 문자는 아직 완료되지 않은 현재 성능 기간 동안 발행되며 감사 검사를 받을 준비가 되어 있습니다. Microsoft는 이전 3개월 동안의 성과를 테스트하기 위해 각 분기 말에 브리지 문자를 발행합니다. SOC 유형 2 감사의 성능 기간으로 인해 브리지 문자는 일반적으로 현재 운영 기간의 12월, 3월, 6월 및 9월에 발행됩니다.
Microsoft의 브리지 문자를 포함하여 Office 365 SOC 감사 설명서는 어디에서 얻을 수 있나요?
감사 설명서에 대한 링크는 서비스 신뢰 포털의 감사 보고서 섹션을 참조하세요. 로그인하려면 Office 365 또는 Office 365 미국 정부에 기존 구독 또는 평가판 계정이 있어야 합니다. 그런 다음 감사 인증서, 평가 보고서 및 기타 관련 문서를 다운로드하여 자체 규정 요구 사항에 도움을 받을 수 있습니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
리소스
- Service Trust Portal 감사 보고서
- AICPA SOC for Service Organizations(서비스 조직을 위한 AICPA SOC)
- SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA Professional Standards)(SSAE No. 18, 증명 표준: 명확화 및 재집성(AICPA 전문 표준)
- SOC 2 Reporting on an Examination of Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy (AICPA Guide)(보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보 보호와 관련된 서비스 조직의 컨트롤 조사에 관한 SOC 2 보고(AICPA 가이드)(구매 가능)
- TSP section 100 (AICPA, 2017 Trust Services Criteria)(TSP 100조(AICPA, 2017 트러스트 서비스 기준)