서비스 조직 통제 2

SOC 2(Service Organization Control 2)는 미국 공인회계사협회(AICPA)에서 개발한 서비스 조직을 위한 자발적 준수 표준이다.

CPA 회계법인이 SOC 2 준수 여부를 감사할 때, 다음 5가지 신뢰 서비스 원칙과 관련된 회사의 통제 및 프로세스를 평가한다. 각 원칙에 대해 일반적으로 확인하는 사항은 다음과 같다:

1. 보안
   • 네트워크 및 애플리케이션 방화벽
   • 침입 탐지
   • 2단계 인증
   • 위협 모니터링
   • 백신 소프트웨어
   • 직원 보안 인식 교육
2. 가용성
   • 성능 모니터링
   • 재해 복구
   • 사고 처리
   • 백업 절차
   • 비상 계획
   • 업무 연속성 계획
3. 처리 무결성
   • 품질 보증
   • 프로세스 모니터링
   • 처리 오류 처리
   • 데이터 입력 유효성 검사
   • 데이터 출력 조정
   • 거래 추적 및 감사
4. 기밀성
   • 암호화
   • 접근 통제
   • 방화벽
   • 기밀 유지 계약
   • 데이터 분류
   • 데이터 보존 및 폐기 정책
5. 개인정보 보호
   • 데이터 수집 정책
   • 데이터 사용 정책
   • 데이터 보존 정책
   • 공개 및 동의 절차
   • 접근 요청 절차
   • 제3자 데이터 공유 계약

CPA 회계법인은 서비스 조직이 SOC 2 신뢰 원칙을 충족하기 위한 적절한 정책, 절차 및 기술을 갖추고 있는지 확인하기 위해 문서를 검토하고, 직원을 인터뷰하며, 통제를 테스트한다. 감사의 깊이와 세부 사항은 서비스 조직과 감사 범위에 따라 달라질 수 있다.