금융보안원 2019. 1. 제공
1.
서류 구비 및 사전 보고
금융회사는 제3장의 중요도 평가 결과와 무관하게 클라우드서비스 이용 전 다음 각 서류를 구비하여야 하고, 중요도 평가 결과 중요 업무의 경우, 클라우드서비스를 실제로 이용하려는 날의 7영업일 이전에 금융감독원에 이를 보고하여야 한다.
▶ 감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 中
③ 금융회사 또는 전자금융업자는 제1항제1호에 따라 다음 각 호의 어느 하나에 해당한다고 평가하는 경우에는 클라우드컴퓨팅서비스를 실제로 이용하려는 날의 7영업일 이전에 금융감독원장이 정하는 양식에 따라 제4항 각 호의 서류를 첨부하여 금융감독원장에게 보고하여야 한다. 이 경우 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조제1항 및 제2항에 따라 보고한 것으로 본다.
1. 고유식별정보
또는 개인신용정보를 처리하는 경우
2. 전자금융거래의
안전성 및 신뢰성에 중대한 영향을 미치는 경우
④ 제3항에 따라 금융감독원장에게 보고할 경우 첨부해야 하는 서류는 다음 각 호와 같다.
1. 「금융회사의
정보처리 업무 위탁에 관한 규정」 제7조제1항 각 호에 관한 서류
2. 제1항제1호에
따른 자체 중요도 평가 기준 및 결과
3. 클라우드컴퓨팅서비스
이용 관련 업무 연속성 계획 및 안전성 확보조치에 관한 사항
4. 제2항에
따른 정보보호위원회 심의・의결 결과
|
① 업무 위탁 관련 서류
※ 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조제1항 각 호에 관한 서류
∙
위탁계약서(안) 사본
∙
「금융기관의 업무위탁 등에 관한 규정」 제3조의2에 따라 금융기관이 마련하고 준수하여야 할 ‘업무위수탁 운영기준’(제4장 참조)
∙
업무위탁 계약이 위탁 규정 등 관련법령에 위배되지 아니한다는 준법감시인(준법감시인이 없는 경우, 감사 등 이에 준하는 자)의 검토 의견 및 관련자료 사본
∙
위탁의 필요성 및 기대효과
∙
위탁에 따른 업무처리절차의 주요 변경내용
∙
정보처리업무 운영에 대한 감독기관의 실질적 감독가능성을 확인할 수 있는 서류
∙
위탁계약 상대방(재위탁 예정 시 재위탁계약 상대방 포함)에 관한 사항 (상호, 자본금 규모, 소재지, 주된 업종, 개인의 경우 대표자 인적사항 등)
∙
전산사고 및 정보유출 등 발생 시 피해자 구제절차
② 자체 중요도 평가 기준 및 결과(제3장 참조)
③ 업무 연속성 계획 및 안전성 확보조치에 관한 사항(제4장 참조)
④ 정보보호위원회 심의・의결 결과(제5장 참조)
2.
서류 최신성 유지 및 수시 보고
가. 서류 최신성 유지
▶ 감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 中
⑤ 클라우드컴퓨팅서비스를 이용하는 금융회사 또는 전자금융업자는 제3항에 따른 보고의무와 관계없이 제4항 각호에 따른 서류를 최신상태로 유지하여야 하며, 금융감독원장의 요청이 있을 경우 이를 지체없이 제공하여야 한다.
|
구비한 각 서류를 최신상태로 유지하고, 금융감독원장 요청 시 이를 지체 없이 제공할 것. 최신성 유지 및 요청 시 제공 의무는 중요도 평가 결과 및 사전 보고 여부와 관계없이 클라우드서비스를 이용하는 모든 금융회사가 부담하며, 고유식별정보・개인신용정보를 처리하지 않는 경우에도 해당.
나. 수시 보고
▶ 감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 中
⑥ 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 변경사항이 발생한 날로부터 7영업일 이내에 발생 사유, 관련 자료 및 대응계획을 첨부하여 금융감독원장에게 보고하여야 한다.
1. 클라우드컴퓨팅서비스
제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등의 사유로 클라우드컴퓨팅서비스 이용계약에 중대한 변경사항이 발생한 경우
2. 클라우드컴퓨팅서비스
제공자가 서비스품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우
3. 제4항제2호
또는 제3호에 관한 중대한 변경사항이 발생한 경우
|
감독규정 제14조의2제3항에 따른 보고 대상 업무에 대해 다음 중 어느 하나에 해당하는 변경사항이 발생한 경우 7영업일 이내에 발생 사유, 관련 자료 및 대응 계획을 첨부하여 금융감독원장에게 보고할 것.
클라우드서비스 제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등의 사유로 이용 계약에 중대한 변경 사항이 발생한 경우. 클라우드서비스 제공자가 서비스품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 않은 경우. 중요도 평가, 업무 연속성 계획 및 안전성 확보조치에 중대한 변경 사항이 발생한 경우.
3.
리스크 관리
기 수립된 업무 연속성 계획(출구 전략 포함) 및 안전성 확보조치 방안을 준수하여 서비스 중단 및 보안 관련 리스크를 관리할 것. 리스크 관리를 위해 필요 시 침해사고대응기관에 협조를 요청할 수 있음.
수립된 업무 연속성 계획 및 안전성 확보조치 방안 이행 등 규제 준수를 위해 클라우드서비스 제공자에게 협조를 요구할 것. 특히 금융당국의 조사・접근(현장방문 포함) 협조 의무, 통합보안관제・취약점 분석평가・비상대응훈련 등의 수행을 위한 협조 의무 등을 명확히 할 것. 다만, 불필요한 현장방문을 지양하고, 금융당국의 요구, 사고 발생, 제공자 평가 등 필요성이 있는 경우에 접근권을 행사하여야 함.
클라우드서비스 제공자의 재위탁 현황을 관리하고, 재위탁 발생 및 변경시 관련 보안리스크를 평가하고 관리할 것. 특정 클라우드서비스 제공자에 서비스가 집중되지 않도록 관리하고, 특히 중요도가 높은 정보처리시스템에 대해서는 클라우드서비스 제공자에 대한 의존도가 과다하지 않도록 관리할 것.
정회목 변호사
댓글 없음:
댓글 쓰기