금융보안원 2019. 1. 제공
금융회사는 클라우드서비스 이용 시 다음 절차에 따라 필요한 조치를 수행함으로써 감독규정 제14조의2(클라우드서비스 이용 절차)를 준수하고 적절한 보안수준을 확보하여야 한다. 통상 아래와 같은 이용절차를 밟게 됩니다.
1.
사전 준비
1)
업무 선정 및 평가
가. 이용 대상 정보처리업무 선정
금융회사는 정보처리 업무 중 정보처리의 규모, 클라우드서비스 이용에 따른 비용절감, 업무 효율성 증가 등을 종합적으로 검토하여 클라우드 서비스 이용 여부를 결정하여야 한다.
나. 이용 대상 정보처리업무 중요도 평가
금융회사는 해당 업무가 취급하는 정보의 중요도(중요정보(고유식별정보 또는 개인신용정보)의 포함 여부 등), 클라우드서비스 이용이 전자금융거래의 안전성 및 신뢰성에 미치는 영향 등을 바탕으로 중요도 평가를 수행하여야 한다.
2)
계획 수립
가. 업무연속성 계획 및 안전성 확보조치 방안 수립
금융회사는 클라우드서비스 이용에 따른 업무연속성 계획, 안전성 확보 조치 방안 등을 수립하여야 한다. 특히, 업무연속성 계획에는 금융회사의 클라우드서비스 이용 중단 또는 종료 시 데이터의 반환 및 파기 절차, 위탁계약의 종료, 중단, 변경 시 데이터 반환・파기에 관한 사항 등(이하 ‘출구 전략’)이 반영되어야 한다.
나. 업무 위수탁 기준 보완 (클라우드서비스 이용관련)
금융회사는 중요도가 높은 업무의 위탁을 추진하는 경우 감독규정 별표2의3(업무위탁 운영기준 보완사항)의 내용을 내부 업무 위수탁 기준에 반영하고 준수하여야 한다. 클라우드서비스 이용은 업무위탁에 해당하므로 「자본시장법」 제42조제7항에 따른 업무위탁운영기준 또는 「금융기관의 업무위탁 등에 관한 규정」 제3조의2에 따른 업무 위수탁 기준 등도 준수 필요.
3)
계약 준비
가. 클라우드서비스 제공자의 건전성・안전성 등 평가
금융회사는 계약 준비단계에서 클라우드서비스 제공자의 건전성 및 안전성을 평가하여야 하며(금융분야 클라우드컴퓨팅서비스 제공기준 참고), 평가결과에 따라 보완조치를 요구하거나 다른 클라우드서비스 제공자를 대상으로 신규 평가 실시 등을 추진할 수 있다. 평가결과의 수용 및 계약 추진 여부에 대한 판단 기준은 금융회사가 자율적으로 정함.
나. 정보보호위원회 심의・의결
금융회사는 업무추진 과정의 객관성・공정성 제고,
책임인식 강화를 위해 다음 사항을 정보보호위원회에서 심의・의결하여야 한다.
자사 정보처리업무의 중요도 평가결과, 클라우드서비스 제공자의 건전성・안전성 등 평가결과, 자체 업무 위수탁 운영기준
2.
계약 체결
가. 클라우드서비스 이용 계약 체결
금융회사는 클라우드서비스 이용 계약 체결 시 감독규정 별표2의3 중 ‘위수탁 계약서 주요 기재사항’을 반영하여야 한다. 특히, 데이터 처리 위치, 훈련(비상대응, 침해사고대응) 및 취약점 분석 평가 등에 대한 협조, 위탁업무의 이전・반환 등에 관한 사항이 누락되지 않도록 하고, 금융회사의 클라우드서비스 이용 관련 금융당국 검사・감독이 원활하게 수행될 수 있도록 금융당국의 조사・접근(데이터센터 등 현장방문 포함)에 협조할 의무를 반드시 명시하여야 한다.
3.
보고 및 이용
가. 관련 서류 구비 및 금융당국 보고
클라우드서비스를 이용하고자 하는 모든 금융회사는 클라우드서비스 이용과 관련하여 다음의 서류를 구비하여야 한다.
「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조제1항 각 호의 서류
이용 대상 정보처리업무의 중요도 평가 기준 및 결과
클라우드서비스 이용 관련 업무연속성 계획 및 안전성 확보조치
클라우드서비스 이용 관련 정보보호위원회 심의・의결 결과
특히, 「이용 대상 정보처리업무 중요도 평가」 결과 중요도가 높은 업무에 대해서는 클라우드서비스를 실제 이용하려는 날의 7영업일 이전에 금융감독원장에게 상기 서류를 보고하여야 한다.
나. 서류 최신성 유지 및 수시 보고
금융회사는 클라우드서비스 이용 관련 서류를 최신 상태로 유지하고, 금융감독원장 요청 시 지체 없이 제공하여야 한다. 관련 서류의 최신성 유지 의무는 금융감독원장 보고 의무와 관계없이 모든 정보처리업무의 클라우드서비스 이용에 적용.
금융회사는 다음의 변경사항이 발생하는 경우, 발생일로부터 7영업일 이내에 발생 사유, 관련 자료 및 대응계획을 포함하여 금융감독원장에게 보고하여야 한다.
클라우드서비스 제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등의 사유로 클라우드서비스 이용 계약에 중대한 변경사항이 발생한 경우, 클라우드서비스 제공자가 서비스품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우, 이용 대상 정보처리업무의 중요도 평가 기준・결과, 업무연속성 계획 및 안전성 확보조치에 관한 중대한 변경사항이 발생한 경우
다. 리스크 관리
금융회사는 클라우드서비스 이용 시 사전에 수립한 업무연속성 계획 및 안전성 확보조치 등을 준수하여 리스크를 관리하고, 필요 시 클라우드 서비스 제공자에게 협조를 요청하여야 한다.
4.
이용 종료
금융회사는 클라우드서비스 이용이 종료(업무 장애・지연 등으로 인한 일시적 서비스 이전 등 포함)되는 경우 사전 수립된 출구 전략에 따라 적절한 조치를 취해야 한다.
정회목 변호사
댓글 없음:
댓글 쓰기