금융보안원 2019. 1. 제공
1.
이용대상 선정
금융회사는 정보처리업무 중 클라우드서비스 이용에 따른 효율성 등을 감안하여 이용대상을 선정하여야 한다. 다음의 예시와 같이 자체 시스템 구축에 비하여 클라우드서비스 이용이 유리하다고 판단되는 경우 클라우드서비스 이용을 적극 고려할 수 있다.
① AI, 빅데이터 등 신기술 활용으로 대량의 컴퓨팅 자원이 단기간에 요구되는 경우
② 신규 또는 파일럿 서비스를 구축하여야 하나, 시스템 사용량 규모에 대한 사전 예측이 어려운 경우
③ 시스템 사용량의 변동이 매우 큰 서비스인 경우
④ 짧은 시간 안에 구축이 필요하거나 기술 변화에 대한 민첩한 대응이 요구되는 경우
⑤ 사전 테스트 등 임시적으로 대용량의 시스템이 필요한 경우
⑥ 클라우드서비스 도입 또는 전환에 필요한 초기 투자비용보다 클라우드서비스 이용에 따른 운영비용 절감이 더 크다고 판단되는 경우
⑦ 자체 시스템을 안전하게 보유・운영할 역량이 부족하나, 내부 운영 인력 등이 클라우드서비스 이용에 필요한 역량을 충분히 갖추고 있는 경우
⑧ 기타 금융회사의 전략 이행을 위해 필요하다고 판단되는 경우
그러나, 금융회사의 핵심 업무 수행을 위한 정보처리에 대해서는 효율성 이외에도 업무 중요도, 취급 정보의 민감도, 경영전략 등 다양한 요소를 종합적으로 고려해야 한다.
2.
중요도 평가 실시
금융회사는 개별 업무 특성과 다음 사항을 고려하여 자체적으로 중요도 평가 기준을 수립하고, 클라우드서비스 이용 대상 업무에 대해 중요도 평가를 실시하여야 한다.
▶ 감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등)
① 금융회사 또는 전자금융업자는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다.
1.
자체적으로 수립한 기준에 따른 이용대상 정보처리시스템의 중요도 평가
|
가. 고유식별정보 또는 개인신용정보 처리 시 중요 업무로 취급
(1)
고유식별정보는 개인정보보호법 제24조제1항에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 면허번호, 외국인등록번호 등이 해당.
(2)
개인신용정보는 「신용정보의 이용 및 보호에 관한 법률」 제2조제2호에 따라 신용정보 중 개인의 신용도와 신용거래능력을 판단할때 필요한 정보. 다만, 전자금융거래와 관련이 없고 고객정보와 무관한 정보 처리 시 해당되지 않음(예, 내부직원 정보).
나. 고유식별정보 또는 개인신용정보를 직접 처리하지 않는 경우에도 아래 사항을 고려하여 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미칠 경우 중요 업무로 취급
① 처리 정보의 중요도 및 정보 위・변조・유출 시 금융회사 및 금융소비자에 미칠 수 있는 영향
② 업무 중단 발생 시 주요 금융 기능 이행 및 운영・법적・평판 리스크에 미치는 영향
③ 업무 중단이 금융회사의 수익 및 운영 비용에 미치는 영향
④ 사고 또는 장애 발생 시 타 시스템의 업무 연속성 저해 수준 등 타시스템과의 연계성
⑤ 복구 목표시간 등 해당 정보처리시스템의 업무 중요도
⑥ 운영, 개발, 테스트 시스템 등 정보처리시스템의 용도
⑦ 고객 또는 사내직원 등 이용자 유형에 따른 해당 정보처리시스템 이용자 수 등
정회목 변호사
댓글 없음:
댓글 쓰기