시스템 및 조직의 제어
System and Organization Controls |
AICPA(American Institute of Certified Public Accountants)에서 정의한SOC(Service Organization Controls)는 감사 중에 작성된 일련의 보고서 이름입니다.서비스 조직(다른 조직에 정보 시스템을 서비스로 제공하는 조직)이 이러한 정보 시스템의 내부 통제에 대한 검증된 보고서를 해당 서비스 사용자에게 발행하기 위한 것입니다.이 보고서에서는 신뢰 서비스 [1]원칙이라고 하는 5개의 카테고리로 분류된 컨트롤에 초점을 맞추고 있습니다.AICPA 감사기준서 제18호(SSAE 18)의 섹션 320, "재무보고에 대한 사용자 주체의 내부통제에 관한 서비스 조직의 통제에 관한 검토에 관한 보고서"에서는 두 가지 수준의 보고서 유형 1과 유형 2를 정의하고 있다.추가 AICPA 지침 자료에는 SOC 1, SOC 2, SOC 3의 세 가지 유형의 보고가 명시되어 있습니다.
트러스트 서비스 원칙
SOC 보고서는 신뢰 서비스 원칙이라고 불리는 5가지 범주가 다루는 제어에 초점을 맞추고 있으며, 이는 CIA의 3중 [1]정보 보안에 대한 지원이기도 합니다.
- 보안.
- 방화벽
- 침입 검출
- 멀티팩터 인증
- 유용성
- 퍼포먼스 감시
- 디저스터 리커버리
- 사고 처리
- 기밀성
- 암호화
- 액세스 컨트롤
- 방화벽
- 처리 무결성
- 품질보증
- 프로세스 감시
- 사생활
- 접근 제어
- 멀티팩터 인증
- 암호화
리포트
레벨
SSAE [1]18에 의해 규정되는 SOC 보고서에는 다음 두 가지 수준이 있습니다.
- 유형 I: 서비스 조직의 시스템과 특정 통제의 설계가 관련 신탁 원칙을 충족하는지 여부(설계 및 문서화가 보고서에 정의된 목표를 달성할 가능성이 높은가?)
- 유형 II: 일정 기간(보통 9~12개월)에 걸친 특정 제어의 운영 효과도 다룬다.(실장은 적절한가?)
종류들
SOC [2]보고서에는 세 가지 유형이 있습니다.
또한 사이버 보안 및 공급망에 [citation needed]대한 전문 SOC 보고서가 있습니다.
SOC 1 및 SOC 2 보고서는 제한된 대상자, 특히 해당 시스템을 충분히 이해하고 있는 사용자를 대상으로 합니다.SOC 3 보고서는 덜 구체적인 정보를 포함하고 있으며 일반 대중에게 배포할 수 있습니다.
레퍼런스
- ^ a b c "SOC 2 Compliance". imperva.com. Imperva. Retrieved 25 February 2020.
- ^ "System and Organization Controls: SOC Suite of Services". AICPA. Retrieved 2020-03-06.
- ^ "SOC 1 – SOC for Service Organizations: ICFR". AICPA. Retrieved 2020-03-06.
- ^ "SOC 2 – SOC for Service Organizations: Trust Services Criteria". AICPA. Retrieved 2020-03-06.
- ^ "SOC 3 – SOC for Service Organizations: Trust Services Criteria for General Use Report". AICPA. Retrieved 2020-03-06.
외부 링크
- AICPA, "증명계약기준에 관한 기술서 18, 증명기준: 명확화 및 수정",
- "전문 표준", 섹션 AT-C 320, AICPA
