暗号資産企業向けのSOC 2とISO 27001

CTK ·

機関カウンターパーティはデューデリジェンスの節目でSOC 2およびISO 27001の証憑を要求する。SOC 2はAICPA基準に基づき公認CPAが実施するアテステーションで、Trust Services Criteria(セキュリティ、可用性、処理の完全性、機密性、プライバシー)に対する統制の設計と運用性を報告する。Type Iは単一時点の設計適合性を、Type IIは3~12か月の運用有効性を検証し、機関は最終的にType IIを求める。SOC 2報告書はNDA下で共有される。ISO 27001は認定認証機関が2段階監査で情報セキュリティ管理システム(ISMS)を認証する制度で、2022年版は文書化されたリスク評価・処理、Annex Aの93コントロールを含む適用宣言(SoA)、内部監査、経営レビューを要求する。認証は3年間有効で年次監視監査と再認証が必要である。両フレームワークは統制面で大きく重複するため、両方にマッピングする単一の統制セットを構築するとコスト削減になる。地域や買い手に従え:米国企業・金融機関はSOC 2を、欧州・中東・アジアの買い手はISO 27001を好む。スコープは買い手が評価する範囲に設定し、顧客資産に関与するウォレットや署名インフラは必ず含める。実務上は鍵管理、変更管理、デプロイ前レビュー・テスト、ベンダー管理、オンチェーン事象を含むインシデント対応、資産監視、復旧訓練とその記録が重点領域である。証跡は作業と同時に生成し、PBCリスト構成で整理して監査を短縮する。外部監査前に内部監査を行い、暗号資産経験のある監査人や認証機関(ISOはANAB/UKAS等の認定を確認)を選定すること。独立性規則に従い、証明を行うCPAや認証機関が統制設計を行ってはならない。準備期間は成熟度により2~6か月、Type IIの観察期間は3~12か月(初回は3~6か月が一般的)、現地作業と報告でさらに4~8週間を見込む。準備サービスは独立した外部業者や自社で行う必要がある。

DYAX投資家予測

上昇(ロング) 52% · 下落(ショート) 48%

合計405人参加

関連ニュース

원문 보기 — CTK