SOC(시스템 및 조직 컨트롤) 1 Type 2
SOC 1 Type 2 개요
서비스 조직을 위한 SOC(시스템 및 조직 컨트롤)는 AICPA(American Institute of Certified Public Accountants)가 만든 내부 컨트롤 보고서입니다. 최종 사용자가 아웃소싱 서비스와 관련된 위험을 평가하고 해결할 수 있도록 서비스 organization 제공하는 서비스를 검사하기 위한 것입니다.
SOC 1 Type 2 증명은 다음에 따라 수행됩니다.
- SSAE 번호 18, 증명 표준: AT-C 섹션 320, 사용자 엔터티의 재무 보고에 대한 내부 제어와 관련된 서비스 조직의 제어 검사 보고(AICPA, 전문 표준)를 포함하는 설명 및 수정.
- 재무 보고에 관한 사용자 업체의 내부 컨트롤과 관련된 서비스 조직의 컨트롤 조사에 관한 SOC 1 보고(AICPA 가이드).
SSAE 18(Attestation Engagements 18) 표준에 대한 AICPA 성명서 외에, Office 365 SOC 1 유형 2 감사는 국제 보증 계약 번호 3402(ISAE 3402)에 따라 수행됩니다. SOC 1 증명은 SAS 70을 대체했으며 재무 보고에 대한 사용자 엔터티 내부 제어와 관련된 서비스 organization 컨트롤에 대해 보고하는 데 적합합니다. Type 2 보고서에는 지정된 모니터링 기간 동안 관련 컨트롤 목표를 달성하기 위한 컨트롤 유효성에 대한 감사자의 의견이 포함됩니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
범위 내 Microsoft 온라인 서비스는 Azure SOC 1 Type 2 증명 보고서에 표시됩니다.
- Azure(자세한 인사이트는 Microsoft Azure 규정 준수 제품 참조)
- Azure DevOps(별도의 Azure DevOps SOC 1 유형 2 증명 보고서 참조)
- Dynamics 365(자세한 인사이트는 Azure SOC 1 유형 2 증명 보고서를 참조하세요.)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- 엔드포인트용 Microsoft Defender
- ID용 Microsoft Defender
- Microsoft Forms Pro
- Microsoft Intune
- Microsoft Managed Desktop
- Microsoft Stream
- Microsoft 위협 전문가
- 추천 포털
- Office 365, Office 365 U.S. Government, Office 365 U.S. Government - High, Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- 파워 가상 에이전트
- 준수 업데이트
Azure, Dynamics 365 및 SOC 1
Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure SOC 1 제품을 참조하세요.
Office 365 및 SOC 1
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
| 적용 가능성 | 범위 내 서비스 |
|---|---|
| 상업용 | 준수 관리자, 고객 Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox(Torus), Microsoft Teams, MyAnalytics, Office 365 고객 포털, Office 365 마이크로 서비스(Kaizala, ObjectStore, Sway, PowerPoint Online 문서 서비스, 쿼리 주석 서비스, 학교 데이터 동기화, Siphon, Speech, StaffHub, eXtensible 애플리케이션 프로그램 포함) Office Online, Office Services 인프라, 비즈니스용 OneDrive, Planner, PowerApps, Power BI, Project Online, Microsoft Purview 고객 키를 사용하는 서비스 암호화, SharePoint Online, 비즈니스용 Skype |
| GCC | Microsoft Entra ID, 준수 관리자, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, Stream |
| GCC High | Microsoft Entra ID, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype |
| DoD | Microsoft Entra ID, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, Power BI, SharePoint Online, 비즈니스용 Skype |
Office 365 감사 보고서
- Office 365 Core - SSAE 18 SOC 1 보고서
- 브리지 레터 및 추가 감사 보고서 참조
필요한 경우 SOC 1 및 SOC 2 증명 보고서 및 브리지 레터를 다운로드하려면 Office 365 또는 Office 365 U.S. Government의 기존 구독 또는 평가판 계정이 있어야 합니다.
자주 묻는 질문
Office 365 SOC 보고서는 얼마나 자주 발행되나요?
Microsoft는 매년 전체 SOC 1 유형 2 및 SOC 2 유형 2 Office 365 검사를 의뢰합니다. 감사인의 이러한 심사에 대한 보고(감사라고도 함)는 감사 후 준비되는 즉시 발행됩니다. SOC 2 검사를 기반으로 하는 SOC 3 보고서는 동시에 발행됩니다.
Microsoft는 검사의 조사 scope 감사자의 완료 기간이나 기간을 제어하지 않으므로 이러한 보고서가 발행될 때 설정된 기간이 없습니다. 보고서는 일반적으로 검사 기간이 끝난 후 몇 달 후에 발행됩니다. Microsoft는 한 시험에서 다음 시험까지 연속된 시험 기간의 간격을 허용하지 않습니다.
Microsoft는 또한 마지막 SOC 유형 2 감사 이후 발행된 새로운 Microsoft 서비스에 대한 Office 365 대한 SOC 1 유형 1 및 SOC 2 유형 1 검사를 의뢰합니다. 유형 1 감사는 성능 기간 동안 되돌아보지 않습니다.
Office 365 정교한 특성으로 인해 전체적으로 검사하는 경우 서비스 scope 큽 수 있습니다. 이로 인해 규모로 인해 검사 완료 지연이 발생할 수 있습니다. Microsoft는 이전에 설명한 모든 검사를 핵심 서비스 및 마이크로 서비스라는 2가지 범주로 구성합니다. Microsoft는 각 검사로 범위가 지정된 보고서를 발행합니다.
SOC 유형 2 감사는 매년 1~10월 30일부터 다음 해 9월 30일까지 진행되는 심사를 통해 12개월 실행 기간 (감사 기간 또는 보다 공식적으로 성과 기간이라고도 함)을 검토합니다. 시험은 성과 기간이 완료된 후 즉시 시작됩니다.
또한 Microsoft는 브리지 문자( 간격 문자라고도 함)를 발급합니다. 이는 감사자의 심사를 기반으로 하는 보고서가 아니라 Microsoft의 자체 증명입니다. 브리지 문자는 아직 완료되지 않은 현재 성능 기간 동안 발행되며 감사 검사를 받을 준비가 되어 있습니다. Microsoft는 이전 3개월 동안의 성과를 테스트하기 위해 각 분기 말에 브리지 문자를 발행합니다. SOC 유형 2 감사의 성능 기간으로 인해 브리지 문자는 일반적으로 현재 운영 기간의 12월, 3월, 6월 및 9월에 발행됩니다.
고객은 Office 365 SOC 1 Type 2 증명을 어떻게 활용할 수 있나요?
고객은 SOX(Sarbanes-Oxley), FFIEC(Federal Financial Institutions Examination Commission), GLBA(Gramm-Leach-Bliley Act) 등과 같은 자체 금융 산업별 규정 준수 요구 사항을 준수할 때 Office 365 SOC 1 Type 2 증명을 사용할 수 있습니다.
Microsoft의 브리지 문자를 포함하여 Office 365 SOC 감사 설명서는 어디에서 얻을 수 있나요?
감사 설명서에 대한 링크는 서비스 신뢰 포털의 감사 보고서 섹션을 참조하세요. 미국 정부에 로그인하려면 Office 365 또는 Office 365 기존 구독 또는 평가판 계정이 있어야 합니다. 그런 다음 감사 인증서, 평가 보고서 및 기타 관련 문서를 다운로드하여 자체 규정 요구 사항에 도움을 받을 수 있습니다.
명시된 예외에 대한 관리자 응답은 어디에서 확인할 수 있나요?
대부분의 검사에는 검사된 특정 컨트롤 중 하나 이상에 대한 몇 가지 관찰이 있습니다. 몇 가지 관찰이 예상됩니다. 모든 예외에 대한 관리 응답은 SOC 증명 보고서의 끝 부분에 있습니다. 문서에서 '관리 응답'을 검색합니다.
사용자 업체 책임은 어디에서 확인할 수 있나요?
시스템 전체가 SOC 2 제어 표준을 충족하는 경우 사용자 엔터티 책임은 제어 책임입니다. SOC 증명 보고서의 맨 끝에 있습니다. 문서에서 '사용자 엔터티 책임'을 검색합니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
리소스
- Service Trust Portal 감사 보고서
- SSAE No. 18, Attestation Standards: Clarification and Recodification(SSAE No. 18, 증명 표준: 명확화 및 재집성)
- SOC 1 Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting (AICPA Guide)(재무 보고에 관한 사용자 업체의 내부 컨트롤과 관련된 서비스 조직의 컨트롤 조사에 관한 SOC 1 보고(AICPA 가이드)(구매 가능)
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기