1.
(EU-EBA) 클라우드 아웃소싱 관련 권고 –
4.8 비상계획 및 출구전략 中
26)
CEBS 지침
6.1, 6(6)(e) 및
8(2)(d)에 명시된 바와 같이, 금융회사는 위탁 서비스 제공 업체가 실패하거나 부적절하게 수준으로 악화된 상태로 서비스를 제공하는 경우 사업의 연속성을 유지하기 위한 계획을 수립하고 이행해야한다. 이러한 준비에는 비상 계획 및 명확하게 정의 된 출구 전략이 포함되어야 한다. (중략)
2.
(미국-FFIEC)
아웃소싱 클라우드 컴퓨팅 –
7. 업무 연속성 계획
금융 기관의 비즈니스 연속성 계획 프로세스에는 아웃소싱 활동을 포함하여 전체 비즈니스의 복구, 재개 및 유지 관리가 포함된다. 금융 기관은 클라우드 컴퓨팅 서비스 공급자에게 아웃소싱 하는 것을 고려할 때, 서비스 제공 업체와 네트워크 제공자가 금융 기관의 운영 지속성을 보장 할 수 있는 적절한 계획과 자원을 보유하고 있는지, 예기치 않은 중단이 발생할 경우 운영을 복구 및 재개 할 수 있는 능력이 있는지를 판단할 필요가 있다.
3.
(영국-FCA)
클라우드 및 제3자 아웃소싱 관련 지침 –
<위탁 시 고려사항 – 연속성 및 비즈니스 계획>
기업은 예상치 못한 위탁 서비스 중단 시 계속해서 기능을 수행하고 규제 사항을 준수할 수 있도록 적절한 조치를 취해야한다. 기업은 다음을 수행해야한다.
∙
예상치 못한 혼란이 운영 연속성에 미칠 수 있는 영향 및 가능성을 고려해야한다.
∙
사고 복구를 포함하여 운영 연속성을 유지하기 위한 전략과, 상호 소통 및 전략의 적절성과 유효성을 정기적으로 테스트하기 위한 계획을 문서화해야 한다.
∙
정기적으로 업데이트 및 테스트를 실시하여 효율성을 확보해야 한다.
∙
파산이나 기타 혼란 상황이 발생했을 때 규제 기관이 데이터에 접근할 수 있도록 조치를 취해야 한다.
4.
(싱가포르-MAS)
아웃소싱 가이드라인 –
5.7 비즈니스 연속성 관리
5.7.1
기관은 아웃소싱 계약으로 인해 자사 비즈니스 연속성이 저해되지 않도록 주의해야 한다. 특히 기술 리스크 관리 공지에 따라 중요 시스템으로 규정된 시스템을 각별히 주의한다. 기관은 MAS에서 발간한 비즈니스 연속성 관리(“BCM”) 가이드라인에 기재된 건실한 실무 관례 및 표준을 이용하여 아웃소싱이 자사 리스크 프로필에 미치는 영향을 평가하고 효과적인 BCM을 실행한다.
5.7.2
BCM 가이드라인과 같은 맥락에서, 기관은 아웃소싱 계약으로 인해 발생하는 상호의존 리스크를 적절히 완화할 수 있는지 평가하고 자체적으로 확인해야 한다. 이렇게 해야 서비스가 중단되거나 오류가 발생하는 경우, 또는 아웃소싱 계약이 예기치 않게 해지되거나 서비스 제공업체가 파산하는 경우에도 자사 비즈니스를 결함 없이 사려 깊게 영위할 수 있다. 여기에는 다음과 같은 조치를 취하는 것이 포함 되어야 한다.
(a)
서비스 제공업체에 아웃소싱 계약의 성격, 범위 및 복잡성에 상응하는 만족스러운 비즈니스 연속성 계획(이하 “BCP”)이 마련되어 있는지 확인한다. 아웃소싱 계약서에 서비스 제공업체의 BCP 요구 사항, 특히 복구 목표 시간(Recovery Time Objectives, 이하 “RTO”) 및 복구 목표 지점(Recovery Point Objectives, 이하 “RPO”)과 운영 능력 재개 등에 관한 항목을 포함해야 한다.
(b)
사전 예방적인 형태로 서비스 제공업체의 BCP 준비 상태를 확인한다. 또는 가능한 경우 합동테스트에 참가한다. 서비스 제공업체가 자사 BCP 계획을 정기적으로 테스트하고 테스트를 통해 RTO, RPO 및 운영 능력 재개의 실현 가능성을 검증해야 한다. 그러한 테스트는 기관과 서비스 제공업체가 복구 프로세스에 익숙해지는 데 도움이 되고, 관계 당사자들의 조직력을 개선하는 효과도 있다. 기관은 서비스 제공업체에 서비스 제공업체의 이행 능력에 영향을 미칠 수 있는 테스트 결과가 나온 경우 그러한 사실을 자사에 알리도록 요구해야 한다. 또한 기관은 서비스 제공업체에 서비스 제공업체의 BCP 계획에 중대한 변동이 발생하였거나 기관에 제공되는 서비스에 중대한 영향을 미칠 가능성이 있는 불리한 상황이 전개되는 경우 그러한 사실을 모두 자사에 알리도록 요구해야 한다.
(c)
불리한 상황 또는 아웃소싱 계약의 해지 등과 같은 상황을 타개하기 위한 계획과 절차를 마련하여 기관이 비즈니스를 계속해서 영위할 수 있어야 하며, 이전에 서비스 제공업체에 제공한 모든 문서, 거래 기록 및 정보를 즉시 서비스 제공업체의 소유로부터 회수하여 삭제, 파기하거나 사용할 수 없게 만들어야 한다.
5.7.3
기관은 자사 BCP 계획의 기능성과 효과를 보장하기 위하여 아웃소싱 계약의 성격, 범위 및 복잡성에 상응하는 정기적이고 온전하며 유의미한 BCP 테스트를 고안하여 수행해야 한다. 온전하고 유의미한 테스트를 실시하기 위해 기관에서는 자사 BCP 검증 및 자사 임직원의 인식과 준비성 평가 과정에 서비스 제공업체를 관여시키는 것이 좋다. 이와 마찬가지로, 기관은 자사 서비스 제공업체의 BCP 및 재해 복구 연습에 참가해야 한다.
5.7.4
기관은 비즈니스 연속성 계획에서 최악의 상황을 가정한 시나리오를 감안해야 한다. 이러한 가상 시나리오의 몇 가지 예를 들면 아웃소싱 계약이 예기치 못하게 해지되어 서비스 제공업체를 이용할 수 없는 경우, 서비스 제공업체의 파산 및 광역 서비스 중단으로 인하여 기관과 서비스 제공업체 양측 모두에 부수적인 피해가 발생하는 경우 등이 있다. 금융 체제에 대한 기관의 상호의존도가 높은 경우, 기관의 비즈니스 연속성 준비성도 그에 따라 높은 수준으로 유지해야 한다. 감당할 수 없는 비용을 발생시키지 않고 운영을 재개하기 위한 현실적인 대안을 파악하는 것 또한 상호의존 리스크를 완화하는데 필수적이다.
정회목 변호사
댓글 없음:
댓글 쓰기