- 버전
- 다운로드 0
- 파일 크기 36.00 KB
- 파일 수 1
- 생성 날짜 2023년 2월 7일
- 마지막 업데이트 2024년 2월 13일
[금융보안원] 금융분야 클라우드컴퓨팅서비스 이용 가이드(2023.02)
금융보안원에서 발간한
금융분야 클라우드컴퓨팅서비스 이용 가이드입니다.
업무에 참고 바랍니다.
○ 자료명 : 금융분야 클라우드컴퓨팅서비스 이용 가이드
○ 발간일 : 2023년 2월
제 1장 가이드 개요
■ 목적
이 가이드는 금융회사 또는 전자금융업자(이하 '금융회사')가 클라우드컴퓨팅서비스(이하 '클라우드서비스')를 이용할 때 요구되는 세부절차와 금융시스템 안전성 및 금융소비자 보호를 위해 필요한 사항을 안내하는 것을 목적으로 했다.
금융회사는 클라우드서비스를 이용하는데 있어 적절한 보안 대책을 수립하고 운영하기 위해 이 가이드 활용할 것을 권고한다.
■ 가이드의 효력
금융회사가 클라우드서비스를 이용하고자 할 경우에는 「전자금융감독규정」(이하 '감독규정'), 「금융회사의 정보처리 업무 위탁에 관한 규정」 (이하 '정보처리위탁규정') 등을 반드시 준수해야 한다.
이 가이드의 내용과 관련 법규가 서로 일치하지 않으면 법규에 규정된 내용이 가이드보다 우선해야 한다.
■ 구성
이 가이드는 본문에서 금융회사가 클라우드서비스 이용 시에 준수해야 할 절차와 보안대책 등을 설명하고 있다. 부록에서는 금융회사가 감독 규정 제14조의2제1항제1호에 따른 업무 중요도 평가방법 및 사례 안내, 제1항제1호에 따른 클라우드서비스 제공자의 안전성을 평가하기 위한 세부 기준을 안내해야 한다.
■ 적용범위(예시)
감독규정 제14조의 2는 금융회사가 클라우드컴퓨팅법 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하는 경우 관련 절차를 준수하도록 규정한다.
클라우드컴퓨팅법 제2조 제3호에 따른 '클라우드컴퓨팅서비스'란 클라우드컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신자원을 제공하는 서비스를 의미한다. ①서버 저장장치, 네트워크 등을 제공하는 서비스 ②응용프로그램 등 소프트웨어를 제공하는 서비스 ③응용프로그램 등 소프트웨어의 개발·배포·운영 등을 위한 환경을 제공하는 서비스 ④그 밖에 1~3의 서비스를 둘 이상 복합하는 경우를 의미한다.
■ 적용 대상 클라우드(예시)
- 무상으로 제공해도 광고를 통해 수익을 올리는 등 상업용으로 제공 중인 클라우드 서비스
- 자체적으로 구축하거나 협회 ,단체, 계열사 등이 구축한 클라우드시스템이라도 서비스의 전부 또는 일부를 소속 구성원 이외를 대상으로 상용 및 제공하고 있다면 그 범위 내에서 대상에 포함
■ 미적용 대상 클라우드(예시)
- 금융지주, 금융IT회사, 협회 등이 소속 구성원 전용으로 구축한 클라우드 서비스
- 기업홍보 등의 목적으로 유튜브 및 페이스북과 같은 클라우드 기반의 웹 서비스를 단순 이용하는 경우
제 2장 클라우드서비스 이용 절차
금융회사는 클라우드서비스 이용 시 다음 절차에 따라 필요한 조치를 수행하고 감독규정 제14조의2(클라우드서비스 이용 절차)를 준수, 적절한 보안 수준을 확보해야 한다.
클라우드서비스 이용 절차 개요
가. 업무 선정 및 중요도 평가(제3장)
- 이용 대상 정보처리 업무 선정
- 금융회사는 정보처리 업무 중 정보처리의 규모와 클라우드서비스 이용에 따른 비용 절감, 업무 효율성 증가 등을 종합적으로 검토한다. 클라우드 서비스 이용 여부를 결정한다.
- 이용 대상 정보처리 업무 중요도 평가
- 금융 회사는 해당 업무가 취급하는 정보의 중요도와 클라우드서비스 이용이 전자금융거래의 안전성 및 신뢰성에 미치는 영향 등을 바탕으로 중요도 평가를 수행해야 한다.
나. 업무 선정 및 중요도 평가(제4장)
- 이용 목적, 업무 중요도, 현재 위수탁 현황 등을 고려해 업체를 선정해야 한다.
- 클라우드서비스 제공자 건정성 및 안전성 평가를 수행한다.
다. 업무 연속성 계획 및 안전성 확보조치 방안 수립(제5장)
- 업무 연속성 계획(출구전략 포함) 및 안전성 확보조치 방안 수립
- 금융회사는 클라우드 서비스 이용에 따른 업무 연속성 계획과 안전성 확보조치 방안 등을 수립해야 한다.
라. 개인정보보호위원회 심의 및 의결(제6장)
- 정보보호위원회의 심의 및 의결을 통해 계약 추진 및 클라우드서비스 이용 여부를 최종 결정한다.
마. 계약 체결 (제7장)
- 본 가이드 제 7장의 내용을 참고하여 계약을 체결한다.
바. 이용 및 보고 (제8장)
- 관련 서류 구비, 최신성 유지 및 금융감독원장 요청 시 지체 없이 제공한다.
- 감독규정 제14조2의제4항 각 호의 사유가 발생하면 사유가 발생한 날로부터 3개월 이내에 보고해야 한다.
- 업무 연속성 계획 및 안전성 확보조치 방안 수립 단계에서 수립된 업무 연속성 계획 및 안전성 확보 조치를 준수, 클라우드 이용 관련 보안 관리를 실시해야 한다.
사. 이용 종료 (제9장)
- 클라우드서비스 제공자 파산, 서비스 중단, 서비스 품질 저하, 규제 환경 변화 또는 기타 금융회사의 필요에 따른 클라우드 서비스 전환 및 종료 시기 수립한 출구 전략에 의거 데이터 이전 및 파기 등 실시
※ 본 자료는 금융보안원에서 발간한 가이드북을 참고하여 재구성한 자료입니다.
※ 더 자세한 내용은 금융보안원에서 발표한 가이드북을 참고하시길 바랍니다.
함께 읽으면 좋은 글