SOC
개요
AWS SOC(System and Organization Controls) 보고서는 AWS가 주요 규정 준수 제어 항목 및 목표를 어떻게 달성하고 있는지 보여주는 독립적인 서드 파티 심사 보고서입니다. 이러한 보고서는 고객과 고객의 감사자가 운영 및 규정 준수를 지원하기 위해 마련된 AWS 제어를 이해하는 데 도움을 주고자 작성되었습니다. AWS SOC 보고서에는 3가지가 있습니다.
- AWS SOC 1 보고서는 AWS Artifact를 통해 AWS 고객에게 제공합니다.
- AWS SOC 2 보안, 가용성, 기밀성 및 개인정보 보고서는 AWS Artifact를 통해 AWS 고객에게 제공합니다.
- AWS SOC 3 보안, 가용성, 기밀성 및 개인정보 보고서는 백서 형태로 누구나 사용할 수 있도록 제공합니다.
-
AWS SOC 보고서는 어떤 정보를 제공하나요?
SOC 1 SOC 2: 보안, 가용성, 기밀성 및 개인정보 보고서
SOC 3: 보안, 가용성, 기밀성 및 개인정보 보고서
보고서의 내용은 무엇인가요? AWS가 정의한 통제 항목 및 대상에 대한 외부 감사 및 AWS 통제 환경에 대한 설명 AICPA 신뢰 서비스 보안, 가용성, 기밀성 및 개인정보 기준에 부합하는 AWS 규제 환경 및 AWS 규제에 대한 외부 감사 설명
AWS가 AICPA 신뢰 서비스 보안, 가용성, 기밀성 및 개인정보 기준에 부합했다는 사실을 설명하는 공개 보고서
어떤 표준에 따라 감사 보고서가 작성되나요? SSAE 18, 증명 표준: 명확화 및 수정(AICPA, 전문 표준), AT-C 섹션 320, 재무 보고에 대한 사용자 주체의 내부 통제와 관련된 서비스 조직에서의 통제 검사에 대한 보고 포함. AICPA: 가이드, 서비스 조직: 재무 보고에 대한 사용자 주체의 내부 통제와 관련된 서비스 조직에서의 통제 검사에 대한 보고(SOC 1®) SSAE 18, 증명 표준: 명확화 및 수정, AT-C 섹션 105, 모든 증명 계약에 공통되는 개념, AT-C 섹션 205, 검사 계약 AICPA 가이드, 보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보와 관련된 서비스 조직의 통제 보고(SOC 2®) TSP 섹션 100A, 보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보에 대한 2017 신뢰 서비스 기준(AICPA, 2017 신뢰 서비스 기준) 포함 SSAE 18, 증명 표준: 명확화 및 수정, AT-C 섹션 105, 모든 증명 계약에 공통되는 개념, AT-C 섹션 205, 검사 계약 TSP 섹션 100A, 보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보에 대한 2017 신뢰 서비스 기준(AICPA, 2017 신뢰 서비스 기준) 포함 기본 보고서 목적은 무엇입니까? 재무 보고에 대해 고객의 내부 통제 항목과 관련될 수 있는 AWS 통제 환경에 대한 정보를 고객에게 제공
고객 및 고객의 감사자에게 재무 보고에 대한 내부 통제 항목(ICOFR)의 효율성 평가 및 의견에 대한 정보 제공
비즈니스 요구가 있는 고객 및 사용자에게 시스템 보안, 가용성, 기밀성 및 개인정보과 관련된 AWS 규제 환경의 독립적인 평가 제공
비즈니스 요구가 있는 고객 및 사용자에게 AWS 내부 정보를 공개하지 않고 시스템 보안, 가용성, 기밀성 및 개인정보와 관련된 AWS 규제 환경의 독립적인 평가 제공
기본 보고서의 보고 대상은 누구인가요? 고객의 경영진 및 감사자 비즈니스 요구가 있는 사용자 여기에 공개되어 있음 AWS 보고서의 평가 기간은 얼마나 됩니까? 12개월:
3월 31일, 6월 30일, 9월 30일, 12월 31일 종료12개월:
3월 31일, 9월 30일 종료12개월:
3월 31일, 9월 30일 종료 -
어떤 AWS 서비스가 SOC 보고서의 범위에 포함됩니까?
SOC 보고서 범위에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오. 이러한 서비스 사용에 대해 자세히 알아보려는 경우 또는 다른 서비스에 관심이 있는 경우, AWS에 문의하시기 바랍니다.
-
AWS SOC 보고서에 포함되는 리전은 어디입니까?
범위 내 리전의 전체 목록은 AWS SOC 3 보고서를 참조하십시오.
-
SOC 보고서 작성을 위해 AWS를 감사하는 독립적인 타사 감사 조직은 어디입니까?
Ernst & Young LLP에서 AWS SOC 1, SOC 2 및 SOC 3 감사를 수행합니다.
-
AWS SOC 보고서는 얼마나 자주 발행되며 새 보고서는 언제 발표되나요?
AWS는 SOC 1 보고서는 분기별로 발행하고 SOC 2/3 보고서를 연 2회 발행합니다. 각 보고서는 12개월의 기간을 다룹니다. 새 SOC 보고서는 감사 기간이 종료되고 약 6~7주 후에 발표됩니다(SOC 1의 경우 2월 중순과 8월 중순, SOC 1/2/3의 경우 5월 중순과 11월 중순).
-
ISAE 3402 보고서가 있나요?
AWS SOC 1 감사는 ISAE 3402(International Standards for Assurance Engagements)에 따라 수행됩니다. ISAE 3402 보고서가 필요한 고객은 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털인 AWS Artifact를 사용하여 AWS SOC 1 유형 II 보고서를 요청해야 합니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보십시오.
-
AWS SOC 보고서를 받기 위해서는 NDA(Nondisclosure Agreement)가 필요합니까?
AWS SOC 1 및 SOC 2 보고서를 보려면 NDA가 필요합니다. AWS SOC 3 보고서는 AWS SOC 2 보고서의 요약본으로 누구나 볼 수 있습니다. AWS SOC 3 보고서에는 AWS가 SOC 2에 명시된 AICPA의 신뢰 보안 원칙을 준수한다는 내용이 간략하게 정리되어 있으며, 제어 운영에 대한 외부 감사자의 의견이 포함되어 있습니다. 최신 AWS SOC 3 보고서는 AWS 웹 사이트에서 읽을 수 있습니다.
-
AWS SOC 1 또는 SOC 2 보고서를 요청하려면 어떻게 해야 합니까?
AWS SOC 1 또는 SOC 2 보고서는 AWS의 규정 준수 보고서에 온디맨드 방식으로 액세스할 수 있는 셀프 서비스 포털인 AWS Artifact를 통해 고객에게 제공됩니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보십시오.
-
AWS SOC 3 보고서는 어디에서 찾을 수 있습니까?
최신 AWS SOC 3 보고서는 AWS 웹 사이트에 공개되어 있습니다.
-
새로운 리전은 언제부터 SOC 보고서 대상이 되나요?
AWS에서는 6개월간 진행된 내용을 포함하여(10월 1일~3월 31일과 4월 1일~9월 30일) 1년에 2번 SOC 1, SOC 2 및 SOC 3 보고서를 발행합니다. 이에 따라 새로운 리전은 다음 검토 주기부터 SOC 리포트 대상에 포함될 예정입니다.