SOC에 대하여

SOC(Service Organization Controls) Report에 대해서 들어본 사람이 있을까? 이게 무엇이며 왜 필요한지 또한 모르는 사람들도 많을 것이다. 결론 부터 말하면 이것은 잠재적인 고객이 조직의 보안 통제 평가를 확인 할 수 있는 보고서이다.

---

서론 

 

보안통제 항목의 평가나 감사활동의 결과, 침투테스트의 결과는 모두 비밀로 여겨지고는 한다. 조직의 취약성이 들어나는 곳이기도 할뿐더러, 어떠한 통제항목이 적용되어 평가되는지에 대한 내용은 조직입장에서는 지켜야할 자산이지만, 잠재적인 고객의 입장에서는 이를 모르는 상태로 나의 정보를 맡기거나 서비스를 위탁하는부담이 있을 것이다. 이에따라 정보누출 수준별로, 통제의 민감성에 따른 정보통제결과를 보고서화 할 수 있는 표준이 필요하였으니, 바로 SOC Report(Service Organization Controls) Report이다. SOC는 수준에 따라 SOC 1/2/3으로 분류되는데 자세한 점은 아래를 참고하자

---

SOC Report 1

고객의 재정상태에 서비스가 직접적인 영향을 미친다고 판단이 되면, SSAE 16 보고 표준에 따라 SOC 1이 생성이 되어야한다. SOC1은 아래와 같이 두가지로 구분된다.

• Type 1 : 검사/감사는 일회적으로 수행되었고, 운영상에 효과성을 검증하지는 않는다.
• Type 2 : 검사/감사는 사용자의 재정적인 불일치를 효과적으로 통제하기 위해서 수행되며, 시간이 지나감에 따라 지속적으로 수행된다. 표본방식또한 방법론적으로 정확한 것을 사용한다.

 

SOC Report 2

SOC Report 2는 다음과 같은 항목의 보고서 이다. AT 101의 보고 표준을 준수한다.

• 보안 통제(필수)
• 가용성 통제
• 무결성 처리 통제
• 기밀성 통제
• 개인정보 통제

SOC Report 2또한 2가지의 Type으로 분류된다.

• Type 1 : 검사/감사는 일회적으로 수행되었고, 상단의 통제들만을 평가한다.
• Type 2 : 검사/감사는 사용자의 재정적인 불일치를 효과적으로 통제하기 위해서 수행되며, 시간이 지나감에 따라 지속적으로 수행된다. 표본방식또한 방법론적으로 정확한 것을 사용한다.

 

SOC Report 3

SOC Report 3는 SOC Report 2의 Type 2방식을 민간에 Open할 수 있도록 기밀의 정보등을 제거한 보고서이다. 따라서 자세한 통제의 결과나 취약성은 공개되어있지 않다.

 

---

듣자하니 요즘 ISC2문제에 SOC를 물어보는 문제들이 많아서 종류만 정리를 해보았다. 한국어로 어떻게 번역이 되고 있는지는 모르겠지만... 정리에 다음의 글들을 공부하며 올려놓은 것이니, 궁금한 사람들은 참고하자 우리나라의 표준이 아닌만큼 자격증 공부제외 알아둘 일은 없을거 같다.

SOC Report Types: Type 1 vs Type 2 SOC Reports/Audits

 

Service Organization Controls (SOC) Reports: What You Need to Know