SOC 2
- English 🇺🇸
- 한국어 🇰🇷
SOC 2 (Service Organization Control 2) is a voluntary compliance standard for service organizations developed by the American Institute of CPAs (AICPA). When a CPA firm audits an organization for SOC 2 compliance, it assesses the company's controls and processes related to the five trust service principles.
- Security
- Network and application firewalls
- Intrusion detection
- Two-factor authentication
- Threat monitoring
- Antivirus software
- Employee security awareness training
- Availability
- Performance monitoring
- Disaster recovery
- Incident handling
- Backup procedures
- Contingency plans
- Business continuity plans
- Processing Integrity
- Quality assurance
- Process monitoring
- Processing error handling
- Data input validation
- Data output reconciliation
- Transaction tracing and auditing
- Confidentiality
- Encryption
- Access controls
- Firewalls
- Confidentiality agreements
- Data classification
- Data retention and disposal policies
- Privacy
- Data collection policies
- Data usage policies
- Data retention policies
- Disclosure and consent procedures
- Access request procedures
- Third-party data-sharing agreements
The CPA firm will review documentation, interview employees, and test controls to ensure the organization has appropriate policies, procedures, and technologies to meet the SOC 2 trust principles. The depth and specifics of the audit may vary depending on the service organization and the scope of the audit.
SOC 2(Service Organization Control 2)는 미국 공인회계사협회(AICPA)에서 개발한 서비스 조직을 위한 자발적 준수 표준이다.
CPA 회계법인이 SOC 2 준수 여부를 감사할 때, 다음 5가지 신뢰 서비스 원칙과 관련된 회사의 통제 및 프로세스를 평가한다. 각 원칙에 대해 일반적으로 확 인하는 사항은 다음과 같다:
- 보안
- 네트워크 및 애플리케이션 방화벽
- 침입 탐지
- 2단계 인증
- 위협 모니터링
- 백신 소프트웨어
- 직원 보안 인식 교육
- 가용성
- 성능 모니터링
- 재해 복구
- 사고 처리
- 백업 절차
- 비상 계획
- 업무 연속성 계획
- 처리 무결성
- 품질 보증
- 프로세스 모니터링
- 처리 오류 처리
- 데이터 입력 유효성 검사
- 데이터 출력 조정
- 거래 추적 및 감사
- 기밀성
- 암호화
- 접근 통제
- 방화벽
- 기밀 유지 계약
- 데이터 분류
- 데이터 보존 및 폐기 정책
- 개인정보 보호
- 데이터 수집 정책
- 데이터 사용 정책
- 데이터 보존 정책
- 공개 및 동의 절차
- 접근 요청 절차
- 제3자 데이터 공유 계약
CPA 회계법인은 서비스 조직이 SOC 2 신뢰 원칙을 충족하기 위한 적절한 정책, 절차 및 기술을 갖추고 있는지 확인하기 위해 문서를 검토하고, 직원을 인터뷰하며, 통제를 테스트한다. 감사의 깊이와 세부 사항은 서비스 조직과 감사 범위에 따라 달라질 수 있다.