Skip to Content

SOC 2 Type II Compliance란?

SOC 2 Type II Compliance란?

SOC 2 Type II 컴플라이언스는 데이터 보안 기준에 대한 적절한 통제를 보여주는 서비스 조직을 위한 프레임워크입니다.

오늘날의 서비스 중심 환경에서 조직의 데이터는 IT 환경에만 거의 존재하지 않습니다. 이러한 데이터는 많은 공급업체 및 서비스 제공업체에서 신뢰하는 경우가 많습니다. 신뢰할 수 있는 데이터를 제공할 벤더를 선택하는 데 있어 중요한 부분은 인증입니다. 인증은 보안 및 기밀성에 대한 특정 표준을 준수함을 입증할 수 있습니다. 

규정 준수 인증은 프레임워크에 속하며 제3자 감사인이 검증합니다. 벤더가 데이터를 최대한 안전하게 보호하기 위해 필요한 모든 통제 및 보호 조치를 갖추고 있다는 승인 스탬프를 고객에게 제공할 수 있습니다. 이러한 프레임워크 중 하나를 서비스 조직 제어(SOC) 프레임워크라고 합니다.

벤더 또는 서비스 제공업체인 경우, SOC 2 데이터 준수 보고서를 제공하도록 요청받을 수 있습니다. 클라이언트인 경우, 벤더 또는 제공업체가 데이터 준수를 위한 적절한 통제를 갖추고 있는지 확인하기 위해 SOC 인증을 요청할 수 있습니다. 

이 서비스 제공업체별 규정 준수 표준, 규정 준수 표준의 내용 및 규정 준수가 중요한 이유에 대해 자세히 살펴보겠습니다.

SOC 2 Type II란?

SOC 2 제2형 개요

데이터 준수 인증은 계약 체결을 위한 전제 조건 또는 계약상의 의무로 필요한 경우가 많습니다. SOC 2 Type II 규정 준수는 서비스 조직을 위해 특별히 설계되었습니다. SOC 2 Type II에는 데이터 보안, 가용성, 기밀성, 개인정보 보호 및 트랜잭션 처리 무결성에 대한 원칙이 포함되어 있습니다. 유형 II는 감사가 장기간, 종종 6개월에 걸쳐 수행되었음을 나타냅니다. 

이러한 표준은 공급업체의 IT 시스템 전반에서 최고의 정보 보안(InfoSec)을 보장하고 공급업체와 고객 간의 계약을 준수하는 데 매우 중요합니다. 

얼마나 많은 SOC 기준이 있나요?

SOC 2 규정 준수 보고서에는 5가지 서비스 기준 또는 신뢰 원칙이 있습니다. 보안은 필수인 반면, 다른 기준은 보다 산업 또는 비즈니스에 특정될 수 있습니다. 이러한 각 항목은 다양한 유형의 제어에 대한 요구 사항을 트리거합니다.

  • 보안: 이는 SOC 2 규정 준수에 필요한 가장 중요한 기본 서비스 카테고리입니다.
  • 가용성: 이는 서비스형 소프트웨어(SaaS), 서비스형 플랫폼(PaaS) 또는 서비스형 인프라(IaaS) 제품에 대해 엄격한 SLA를 갖춘 서비스 제공업체에게 중요합니다. IT 서비스가 고객에게 미션 크리티컬한 것으로 간주되는 경우, 데이터 가용성이 핵심입니다.
  • 처리 무결성: 이는 금융 또는 전자상거래 고객의 거래를 처리하는 서비스에 적용됩니다.
  • 기밀성: 고객을 위해 처리하는 데이터가 민감한 경우(예: 지적 재산), 이는 SOC 2 Type II 규정 준수의 핵심 요소입니다.
  • 개인정보 보호: 위의 기밀성과 혼동하지 마십시오. 이 원칙은 건강 기록과 같은 개인 식별 정보(PII)에 적용됩니다.

신뢰 서비스 기준

원칙

카테고리

보안

가용성

처리 무결성

기밀성

개인 정보 보호 정책

  • 구성
  • 커뮤니케이션
  • 리스크 평가 및 통제 관리
  • 통제 모니터링
  • 민감한 데이터 및 시스템에 대한 논리적 및 물리적 액세스 제어(예: 키 카드 또는 로그인 자격 증명)
  • 시스템 운영 및 절차(매일, 매주, 매월)
  • 변경 관리
Slide

SOC 2 제2형에서 평가되는 것은 무엇입니까?

SOC 2 Type II 규정 준수 감사에서, 상기 서비스 기준을 충족하도록 설계된 정책 및 통제는 일반적으로 6개월에 걸쳐 그 효과에 대해 평가됩니다. 통제가 기준에 적합합니까? 귀사는 이를 지속적으로 수행하고 있습니까?

SOC 2 Type II 인증이란?

SOC 2 Type II 인증은 조직의 정책이 SOC 2 Type II 준수에 대한 감사를 통과했다는 제3자 감사의 증거입니다.

SOC 2 Type II 컴플라이언스의 장점은 무엇인가요?

SOC 2 Type II의 장점은 조직 내 및 공급업체 전반에서 데이터 보안 및 보호의 전반적인 건전성을 개선하는 것입니다. 서비스 제공업체의 경우 SOC 2 Type II 인증은 경쟁사 대비 파트너십 또는 고객 확보 가능성을 높이는 데 도움이 될 수 있습니다. 고객의 경우, 적절한 통제 및 보호 조치를 통해 데이터가 제대로 관리될 수 있다는 것을 입증할 수 있습니다.

누가 SOC 2 Type II를 준수해야 하나요?

SOC 2 Type II 준수를 위해 고객과의 계약상 의무를 이행하고자 하는 고객 데이터 또는 민감한 정보를 취급하는 모든 벤더는 인증의 혜택을 누릴 수 있습니다.

SOC 2 vs. 기타 규정 준수 인증

SOC 1과 SOC 2의 차이점

SOC 1과 SOC 2의 차이점은 무엇인가요? SOC 1은 보안 기준이 아니라 재무 보고 기준에 중점을 둡니다. SOC 1은 서비스 조직, 특히 특정 재무 기능을 아웃소싱한 조직을 위해 설계되었습니다. SOC 1 감사는 일반적으로 회계연도와 일치하며 통제 환경, 위험 평가, 통제 활동, 커뮤니케이션 및 정보, 모니터링 등 5가지 서비스 기준을 포함합니다. 

SOC 2와 ISO-27001의 차이점

SOC 2 Type II와 ISO-27001은 모두 InfoSec 관리에 중점을 둔 프레임워크입니다. SOC 2 Type II는 보안 제어의 전반적인 효율성을 평가하지만, ISO-27001은 정보 보안 관리 시스템에 대한 매우 규범적이고 체계적인 접근 방식입니다. ISO-27001은 내부 시스템 및 통제에 중점을 두고 있으며 표준인 반면, SOC 2 Type II는 감사를 수행하기 위한 프레임워크입니다.

SOC 2 Type II vs. PCI DSS, HIPAA, GDPR 

규정 준수 프레임워크에는 여러 가지가 있습니다. 규정 준수 프레임워크는 어떻게 다르며, 어떤 조직이 이를 필요로 할까요?

SOC 2 Type II와 PCI DSS(Payment Card Industry Data Security Standard)는 중복이 거의 또는 전혀 없는 매우 다른 두 가지 컴플라이언스 프레임워크입니다. PCI DSS는 특히 신용카드 정보 및 거래 처리 방식에 대한 통제와 관련이 있습니다. PCI DSS는 금융 서비스 제공업체에만 적용되고, SOC 2 Type II는 보다 광범위한 산업을 다룹니다. 마지막으로 PCI DSS는 CPA 회사가 아닌 매년 수행됩니다.

SOC 2 Type II와 건강보험의 양도성과 책임에 관한 법률(Health Insurance Portability and Accountability Act, HIPAA)은 또한 보호 대상 데이터의 중점 영역이 다릅니다. HIPAA는 환자 데이터를 취급하는 의료 기관 및 서비스 제공자에게만 적용되는 반면(법률에 따라 요구됨), SOC 2 Type II에는 의료 기관이 포함될 수 있지만 의무 사항은 아닙니다. 또한, SOC 2 Type II는 서비스 기준이 충족되는 방식에 있어 규범적이지 않지만, HIPAA는 규정 준수를 위해 충족해야 하는 매우 구체적인 표준을 가지고 있습니다.

SOC 2 Type II와 일반 데이터 보호 규정(GDPR)은 모두 데이터 보안과 개인정보 보호를 다루는 프레임워크입니다. GDPR 프레임워크는 유럽연합 내 거주자의 개인 데이터를 취급하는 조직에만 적용되며, 데이터 프라이버시 및 보호 권리에 중점을 둡니다. 이를 위해서는 데이터 사용 방식의 투명성, “잊혀질 권리”, 데이터 최소화 및 동의에 대한 통제가 필요합니다. SOC 2 Type II는 필수는 아니지만, GDPR은 법적 영향과 벌금을 수반할 수 있습니다.

SOC 2 Type II 평가 준비

SOC 2 Type II 감사를 준비하는 것은 팀의 노력이며, 업무를 시작하는 데 몇 시간이 걸릴 수 있습니다. SOC 2 Type II 컴플라이언스를 구현하기로 결정하는 것은 또한 업무를 진행하고 이를 장기적으로 프로세스에 통합하기 위해 내부적으로 상당한 양의 동의와 지원이 필요할 수 있습니다. 

SOC 2 제2형 평가 준비에 도움이 되는 단계

  1. SOC 2 규정 준수 요청의 \"이유\"에 대해 알아보세요. 고객 요청이든 다른 이유이든, 이는 규정 준수 인증 기한, 관련 업무 범위 등을 이해하는 데 도움이 됩니다. 이는 또한 도움이 될 수 있는 기존 정책을 식별하고 감사자에게 상황과 범위를 제공하는 데 도움이 됩니다.
  2. SOC 2 Type II에 온보딩하기 위해 조직 내 적절한 개인 팀을 모읍니다. SOC 2 Type II가 진행되기까지 걸리는 시간에 따라 특정 작업, 증거 수집 및 개발에 더 많은 인력이 필요할 수 있습니다. 이 그룹에는 다음이 포함될 수 있습니다.
    • CEO, CTO, CISO 및 기타 고위 경영진과 같은 경영진
    • 데브옵스
    • 직원들이 감사의 대상이 될 수 있기 때문에 인적 자원
    • InfoSec
  3. InfoSecPrepare는 범위를 제공합니다. 서비스 호스팅 장소(퍼블릭 클라우드, 온-프레미스), 용량 예측, 사무실 위치(제로 트러스트 환경입니까, 아니면 서버가 화이트리스트에 추가되어야 합니까?), 민감한 데이터 저장 여부 등 데이터 관련 질문에 답할 준비를 하세요.

SOC 2 Type II 준수를 위한 제3자 감사인과의 협력

SOC 2 프레임워크는 미국공인회계사협회(AICPA)가 개발했으며 CPA 회사가 감사를 완료해야 합니다.

SOC 2 Type II 규정 준수에 대해 감사하는 회사를 평가할 때, 비용과 함께 품질과 경험을 고려하고, 몇 주 또는 몇 달 동안 팀과 함께 일하기에 적합한 경우, 조직의 장기적인 자문가이자 파트너가 됩니다.

질문: 성공적인 감사에 대한 실적이 좋습니까? 귀사는 귀사의 업계에 대한 감사 경험을 보유하고 있습니까? 동료 검토, 감사인을 위한 제3자 문서 검토, 추천을 자유롭게 요청하세요.

또한, 가능한 한 초기에 감사인을 참여시키는 것도 좋습니다. 감사인이 프로젝트의 범위를 정하고 마감일을 맞추기 위해 내부적으로 적절한 리소스를 조정하는 데 도움이 될 수 있기 때문입니다(있는 경우).

  • 감사인을 선택한 후에는 다음 과정을 거치게 됩니다. 
  • 기대치를 설정하기 위한 범위 설정 및 발견 연습
  • 준비성 평가, 격차를 하향식으로 살펴보기 위해, 무엇을 시작해야 하는지, 어떤 정책이 이미 마련되어 있는지 등을 검토합니다.
  • 최종 테스트까지 이어지는 체크인
  • 인증 시험

감사 중에, 여러분은 각각에 대한 정책, 통제 및 증거를 제공해야 합니다. 

SOC 2 Type II 인증을 유지하는 방법

SOC 2 Type II 규정 준수는 필수 사항이 아닙니다. 이를 위해서는 성실하고 지속적인 노력이 필요합니다. SOC 2 Type II 인증을 유지하려면 지속적인 모니터링, 문서화, 사고 공개 및 대응, 직원 교육 및 정기적인 평가가 필요합니다. 이는 조직이 규정 준수에 지속적으로 전념하고 있으며 필요한 정책 변경 및 업그레이드를 수행하고 있음을 보여주기 위한 것입니다.

퓨어스토리지는 ISO 27001 인증을 받은 기업으로, 고객이 데이터에 대한 포괄적인 모니터링 및 제어를 할 수 있도록 설계된 다양한 제품과 서비스를 제공합니다. 퓨어스토리지의 현대적 데이터 보호 솔루션 제품군을 통해 데이터 보안 규정 준수 목표를 달성하는 방법을 알아보세요.

연락처
질문하기

퓨어스토리지 제품이나 인증 관련 질문이나 코멘트가 있으신가요?   저희가 도와드립니다.

데모 예약

라이브 데모를 예약하고 퓨어스토리지가 데이터를 어떻게 강력한 결과로 전환해주는지 직접 확인해 보세요. 

연락하기: +82 2 6001-3330

언론홍보팀:  pr@purestorage.com

 

퓨어스토리지코리아 주소

30F 아셈타워,

517 영동대로,

강남구, 서울

대한민국

korea@purestorage.com

닫기
지원하지 않는 브라우저입니다.

오래된 브라우저는 보안상 위험을 초래할 수 있습니다. 최상의 경험을 위해서는 다음과 같은 최신 브라우저로 업데이트하세요.