SOC 1 Type 2 개요
서비스 조직을 위한 SOC(시스템 및 조직 컨트롤)는 AICPA(American Institute of Certified Public Accountants)가 만든 내부 컨트롤 보고서입니다. 최종 사용자가 아웃소싱 서비스와 관련된 위험을 평가하고 해결할 수 있도록 서비스 organization 제공하는 서비스를 검사하도록 설계되었습니다.
SOC 1 Type 2 증명은 다음에 따라 수행됩니다.
- SSAE 번호 18, 증명 표준: AT-C 섹션 320, 사용자 엔터티의 재무 보고에 대한 내부 제어와 관련된 서비스 조직의 제어 검사 보고(AICPA, 전문 표준)를 포함하는 설명 및 수정.
- 재무 보고에 관한 사용자 업체의 내부 컨트롤과 관련된 서비스 조직의 컨트롤 조사에 관한 SOC 1 보고(AICPA 가이드).
SSAE 18(Attestation Engagements 18) 표준에 대한 AICPA 설명 외에도 Microsoft 365 SOC 1 유형 2 감사는 보증 계약 번호 3402(ISAE 3402)에 대한 국제 Standard 따라 수행됩니다. SOC 1 증명은 SAS 70을 대체하며 재무 보고에 대한 사용자 엔터티 내부 제어와 관련된 서비스 organization 컨트롤에 대해 보고하는 데 적합합니다. Type 2 보고서에는 지정된 모니터링 기간 동안 관련 컨트롤 목표를 달성하기 위한 컨트롤 유효성에 대한 감사자의 의견이 포함됩니다.
Microsoft scope 클라우드 플랫폼 및 서비스
Azure SOC 1 유형 2 증명 보고서에는 microsoft 온라인 서비스 scope 표시됩니다.
- Azure(자세한 인사이트는 Microsoft Azure 규정 준수 제품 참조)
- Azure DevOps(별도의 Azure DevOps SOC 1 유형 2 증명 보고서 참조)
- Dynamics 365(자세한 인사이트는 SOC 1 유형 2 증명 보고서 Azure 참조)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- 엔드포인트용 Microsoft Defender
- ID용 Microsoft Defender
- Microsoft Intune
- Microsoft Managed Desktop
- Microsoft Stream
- Microsoft 위협 전문가
- 추천 포털
- Power Apps
- Power Automate
- Power BI
- 파워 가상 에이전트
- 준수 업데이트
다음 Microsoft 온라인 서비스 Microsoft 365 SOC 1 유형 2 증명 보고서에 대한 scope 있습니다.
Azure, Dynamics 365 및 SOC 1
Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure SOC 1 제품을 참조하세요.
Microsoft 365 및 SOC 1
Microsoft 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Microsoft 365 적용 가능성 및 scope 내 서비스
다음 표를 사용하여 Microsoft 365 서비스 및 구독에 대한 적용 가능성을 확인합니다.
| 적용 가능성 | 범위 내 서비스 |
|---|---|
| 상업용 | Bing Teams(ObjectStore, Enterprise News – One Service 및 의미 체계 패브릭 포함), 고객 Lockbox, 교육 서비스(인사이트, Microsoft LMS 게이트웨이, OneDrive LTI, 읽기 진행률/과제, 학교 데이터 동기화, 수학 인식기/해 찾기 및 검색 코치 포함), Exchange Online, Exchange Online Protection, IDEAs 개인 설정 런타임 서비스, Loki, M365 사용 보고서, Microsoft Defender for Cloud Apps(앱 거버넌스), Office 365 Microsoft Defender(고급 헌팅, 공격 시뮬레이션 및 교육, 하나의 사이버 엔드포인트 보호 포함) Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview(감사, 통신 규정 준수, 규정 준수 관리자, 데이터 수명 주기 관리, 레코드 관리자, 데이터 손실 방지, eDiscovery 포함) Information Protection, 통합 피드백 플랫폼, 내부자 위험 관리, 데이터 분류 서비스, 정확한 데이터 일치 및 ML 유추), Microsoft Sway, Microsoft Teams, Office 공동 작업, 웹용 Office(이전의 "Office Online"이라고 함), OneNote Services, Outlook 웹 애플리케이션, PowerPoint Online 문서 서비스, 고객 키를 사용하는 서비스 암호화, 쿼리 주석 서비스, 실시간 채널, 원격 지원, 콘텐츠 서비스 검색, SharePoint Online(OneDrive 포함) Microsoft 365 백업, Project Online, Viva Topics 및 Viva Connections), 작업 비즈니스 시나리오 서비스, Viva Glint, Viva Goals, Viva Insights(Personal Insights, 관리자 및 리더 인사이트 및 Advance Insights 포함), Viva Learning, Viva Pulse, Whiteboard 및 Windows 365 |
| GCC | Bing Teams(ObjectStore 포함), 고객 Lockbox, Exchange Online, Exchange Online Protection, IDEAs 개인 설정 런타임 서비스, Loki, M365 사용 현황 보고서, Microsoft Defender for Cloud Apps(앱 거버넌스) Office 365 Microsoft Defender(고급 헌팅, 공격 시뮬레이션 및 학습 및 One Cyber Endpoint Protection 포함), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview(감사, 통신 규정 준수, 규정 준수 관리자, 데이터 수명 주기 관리, 레코드 관리자, 데이터 손실 방지, eDiscovery, Information Protection, 통합 피드백 플랫폼, 내부자 위험 관리, 데이터 분류 서비스, 정확한 데이터 일치 및 ML 유추 포함), Microsoft Teams, Office 공동 작업, 웹용 Office(이전의 "Office Online"이라고 함), OneNote Services, Outlook Web 애플리케이션, PowerPoint Online 문서 서비스, 고객 키를 사용하는 서비스 암호화, 쿼리 주석 서비스, 실시간 채널, 원격 지원, 콘텐츠 서비스 검색, SharePoint Online(OneDrive, Microsoft 365 백업, Project Online, Viva Topics 및 Viva Connections 포함), 작업 비즈니스 시나리오 서비스, Viva Insights(Personal Insights 포함) 화이트보드 및 Windows 365 |
| GCC High | Bing Teams(ObjectStore 포함), 고객 Lockbox, Exchange Online, Exchange Online Protection, Loki, M365 사용 현황 보고서, Microsoft Defender for Cloud Apps(앱 거버넌스) Microsoft Defender Office 365 (고급 헌팅, 공격 시뮬레이션 및 교육 및 하나의 사이버 엔드포인트 보호 포함), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview(감사, 통신 규정 준수, 규정 준수 관리자, 데이터 수명 주기 관리, 레코드 관리자, 데이터 손실 방지, eDiscovery 포함) Information Protection, 통합 피드백 플랫폼, 내부자 위험 관리, 데이터 분류 서비스, 정확한 데이터 일치 및 ML 유추), Microsoft Teams, Office 공동 작업, 웹용 Office(이전의 "Office Online"이라고 함), OneNote Services, Outlook 웹 애플리케이션, PowerPoint Online 문서 서비스, 고객 키를 사용하는 서비스 암호화, 쿼리 주석 서비스, 실시간 채널, SharePoint Online(OneDrive 포함) Microsoft 365 백업, Project Online, Viva Topics 및 Viva Connections), 작업 비즈니스 시나리오 서비스, Viva Insights(Personal Insights 포함), 화이트보드 및 Windows 365 |
| DoD | Bing Teams(ObjectStore 포함), 고객 Lockbox, Exchange Online, Exchange Online Protection, Loki, M365 사용 현황 보고서, Microsoft Defender for Cloud Apps(앱 거버넌스) Microsoft Defender Office 365 (고급 헌팅, 공격 시뮬레이션 및 교육 및 하나의 사이버 엔드포인트 보호 포함), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview(감사, 통신 규정 준수, 규정 준수 관리자, 데이터 수명 주기 관리, 레코드 관리자, 데이터 손실 방지, eDiscovery 포함) Information Protection, 통합 피드백 플랫폼, 내부자 위험 관리, 데이터 분류 서비스, 정확한 데이터 일치 및 ML 유추), Microsoft Teams, Office 공동 작업, 웹용 Office(이전의 "Office Online"이라고 함), OneNote Services, Outlook 웹 애플리케이션, PowerPoint Online 문서 서비스, 고객 키를 사용하는 서비스 암호화, 쿼리 주석 서비스, 실시간 채널, SharePoint Online(OneDrive 포함) Microsoft 365 백업, Project Online, Viva Topics 및 Viva Connections), 작업 비즈니스 시나리오 서비스, Viva Insights(Personal Insights 포함) 및 화이트보드 |
Microsoft 365 감사 보고서
- 고객은 서비스 신뢰 포털을 통해 중앙 및 마이크로 서비스에 대한 Microsoft 365 SOC 1 유형 2 보고서를 다운로드할 수 있습니다.
- 서비스 신뢰 포털은 브리지 문자와 추가 감사 보고서도 제공합니다.
SOC 1 및 SOC 2 증명 보고서 및 브리지 문자를 다운로드하려면 Microsoft 365 또는 Microsoft 365 미국 정부의 기존 구독 또는 평가판 계정이 필요합니다.
질문과 대답
Microsoft 365 SOC 보고서는 얼마나 자주 발행되는가?
Microsoft는 매년 전체 SOC 1 유형 2 및 SOC 2 유형 2 Office 365 검사를 의뢰합니다. 이러한 검사에 대한 감사자의 보고서(감사라고도 함)는 감사 후 준비되는 즉시 발행됩니다. SOC 2 검사를 기반으로 하는 SOC 3 보고서는 동시에 발행됩니다.
Microsoft는 검사의 조사 scope 감사자의 완료 기간이나 기간을 제어하지 않으므로 이러한 보고서가 발행될 때 설정된 기간이 없습니다. 보고서는 일반적으로 검사 기간이 끝난 후 몇 달 후에 발행됩니다. Microsoft는 한 시험에서 다음 시험까지 연속된 시험 기간의 간격을 허용하지 않습니다.
Microsoft는 또한 마지막 SOC 유형 2 감사 이후 발급된 새로운 Microsoft 서비스에 대해 Microsoft 365의 중기 SOC 1 유형 1 및 SOC 2 유형 1 검사를 의뢰합니다. 유형 1 감사는 성능 기간 동안 되돌아보지 않습니다.
Office 365 정교한 특성으로 인해 전체적으로 검사하는 경우 서비스 scope 큽 수 있습니다. 이 큰 scope 검사 완료 지연으로 이어질 수 있습니다. Microsoft는 이전에 설명한 모든 검사를 핵심 서비스 및 마이크로 서비스라는 두 가지 범주로 구성합니다. Microsoft는 각 검사로 범위가 지정된 보고서를 발행합니다.
SOC 유형 2 감사는 매년 1~10월 30일부터 다음 해 9월 30일까지 진행되는 심사를 통해 12개월 실행 기간 (감사 기간 또는 보다 공식적으로 성과 기간이라고도 함)을 검토합니다. 시험은 성과 기간이 완료된 후 즉시 시작됩니다.
또한 Microsoft는 브리지 문자( 간격 문자라고도 함)를 발급합니다. Microsoft의 이러한 자체 증명은 감사자의 시험에 따른 보고서가 아닙니다. Microsoft는 아직 완료되지 않은 현재 성능 기간 동안 감사 검사를 위해 준비되지 않은 브리지 문자를 발급합니다. Microsoft는 이전 3개월 동안의 성과를 테스트하기 위해 각 분기 말에 브리지 문자를 발행합니다. SOC 유형 2 감사의 성능 기간으로 인해 브리지 문자는 일반적으로 현재 운영 기간의 12월, 3월, 6월 및 9월에 발행됩니다.
고객은 Microsoft 365 SOC 1 유형 2 증명을 통해 어떻게 혜택을 받을 수 있나요?
고객은 Sarbanes-Oxley(SOX), FFIEC(연방 금융 기관 심사 위원회), Gramm-Leach-Bliley Act(GLBA) 등과 같은 자체 금융 산업별 규정 준수 요구 사항을 추구할 때 Microsoft 365 SOC 1 유형 2 증명을 사용할 수 있습니다.
Microsoft의 브리지 문자를 포함하여 Microsoft 365 SOC 감사 설명서는 어디에서 얻을 수 있나요?
감사 설명서에 대한 링크는 서비스 신뢰 포털의 감사 보고서 섹션을 참조하세요. 로그인하려면 Microsoft 365 또는 Microsoft 365 미국 정부의 기존 구독 또는 평가판 계정이 있어야 합니다. 그런 다음 감사 인증서, 평가 보고서 및 기타 관련 문서를 다운로드하여 자체 규정 요구 사항에 도움을 받을 수 있습니다.
명시된 예외에 대한 관리자 응답은 어디에서 확인할 수 있나요?
대부분의 검사에는 검사된 특정 컨트롤 중 하나 이상에 대한 몇 가지 관찰이 있습니다. 몇 가지 관찰이 예상됩니다. 모든 예외에 대한 관리 응답은 SOC 증명 보고서의 끝 부분에 있습니다. 문서에서 '관리 응답'을 검색합니다.
사용자 업체 책임은 어디에서 확인할 수 있나요?
시스템 전체가 SOC 2 제어 표준을 충족하는 경우 사용자 엔터티 책임은 제어 책임입니다. 이러한 책임은 SOC 증명 보고서의 맨 끝에 있습니다. 문서에서 '사용자 엔터티 책임'을 검색합니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는Microsoft Purview 포털의 기능으로, organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 됩니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
리소스
- Service Trust Portal 감사 보고서
- SSAE No. 18, Attestation Standards: Clarification and Recodification(SSAE No. 18, 증명 표준: 명확화 및 재집성)
- SOC 1 Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting (AICPA Guide)(재무 보고에 관한 사용자 업체의 내부 컨트롤과 관련된 서비스 조직의 컨트롤 조사에 관한 SOC 1 보고(AICPA 가이드)(구매 가능)