[금융보안원][정보보호] 금융분야 클라우드 컴퓨팅서비스 이용 가이드 (2023.02)

안녕하세요. 황컴플라이언스 입니다.

[금융보안원][정보보호] 금융분야 클라우드 컴퓨팅서비스 이용 가이드 (2023.02) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 금융분야 클라우드 컴퓨팅서비스 이용 가이드

○ 발행일 : 2023년 02월

○ 주관부처 : 금융보안원

---

[개요]

□ 추진배경

• 본 가이드는 금융회사 또는 전자금융업자(이하 ‘금융회사’)가 클라우드컴퓨팅 서비스(이하 ‘클라우드서비스’)를 이용하고자 할 경우 요구되는 세부절차와 금융시스템 안전성 및 금융소비자 보호를 위해 필요한 사항을 안내하는 것을 목적으로 함금융회사는 클라우드서비스를 이용함에 있어 적절한 보안 대책을 수립･운영하기위해 이 가이드를 활용할 것을 권고함

---

금융분야 클라우드컴퓨팅서비스 이용 가이드(부분개정)_FN.pdf

10.59MB

금융분야 클라우드 컴퓨팅서비스 이용 가이드 (2023.02) : 금융보안원

---

□ 기대 효과

• 금융회사가 클라우드서비스를 이용하고자 할 경우 ｢전자금융감독규정｣(이하 ‘감독규정’), ｢금융회사의 정보처리 업무 위탁에 관한 규정｣(이하 ‘정보처리위탁규정’) 등을 반드시 준수하여야 함 이 가이드의 내용과 관련 법규가 서로 일치하지 않는 경우에는 법규에 규정된 내용이 가이드보다 우선함 가이드에 포함되어 있으나 법규에는 규정되지 않는 내용을 금융회사가 준수할 의무는 없음

□ 구성

• 본문에서는 금융회사가 클라우드서비스 이용 시 준수해야 할 절차, 보안대책 등을 설명하고 있으며, 부록에서는 금융회사가 감독규정 제14조의2제1항제1호에따른 업무중요도 평가방법 및 사례 안내, 제1항제2호에 따른 클라우드서비스 제공자의 안전성을 평가하기 위한 세부기준을 안내하고, 별첨에서는 금융위원회에서 발표한 전자금융감독규정 개정에 따른 FAQ 내용을 포함하고 있음

□ 기본 원칙

• 전자금융업무와 관련한 정보처리시스템을 해당 금융회사를 위하여 운영하는 사업자는 전자금융보조업자에 해당하므로, 전자금융업무 관련 정보처리에 클라우드서비스를 이용하는 경우 클라우드서비스 제공자 또한 전자금융보조업자에 해당함
• 정보처리의 위탁이라 함은 금융회사가 자신의 정보처리(전산설비를 활용하여 정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 및 기타 유사한 행위를 하는 것) 업무를 제3자로 하여금 계속적으로 처리하도록 하는 행위를 말하므로, 금융회사가 클라우드서비스 제공자와 계약을 체결하고 클라우드서비스를 이용하는 행위는 정보처리위탁규정 제2조제6항에따라 정보처리의 위탁에 해당함
• 전자금융거래법 제11조에 따라 전자금융거래와 관련하여 클라우드서비스 제공자의고의나 과실은 금융회사의 고의나 과실로 봄 전자금융사고 발생 시 클라우드서비스 이용을 이유로 금융회사의 책임이 면제되지 않으며, 금융회사는 클라우드서비스 제공자가 관계 법령을 준수하도록 관리･ 감독 하여야 함

□ 적용 범위

• 감독규정 제14조의2는 금융회사가 클라우드컴퓨팅법 제2조제3호*에 따른 클라우드컴퓨팅서비스를 이용하는 경우 관련 절차를 준수하도록 규정
• * 클라우드컴퓨팅법 제2조제3호에서 규정하고 있는 것 이외의 클라우드서비스를 이용하는 경우에는감독규정 제14조의2의 절차를 준수하지 않아도 무방(다만, 같은 조 제8항에 따른 예외 필요 시 제1항의 절차 준수 필요)

---

[목차]

제1장 가이드 개요

• 1. 목적 
• 2. 가이드의 효력
• 3. 구성 
• 4. 기본 원칙 
• 5. 적용 범위(예시) 
• 6. 용어

제 2 장 클라우드서비스 이용 절차

• 1. 클라우드서비스 이용 절차 개요

제 3 장 업무 선정 및 중요도 평가

• 1. 이용대상 선정
• 2. 중요도 평가 기준 및 항목 
• 3. 중요도 평가 절차

제 4 장 클라우드서비스 제공자 평가 

• 1. 클라우드서비스 제공자 안전성 평가 개요 
• 2. 평가 절차 및 방법 
• 3. 평가 항목 및 생략기준

제 5 장 업무 연속성 계획 및 안전성확보조치 방안 수립

• 1. 업무 연속성 계획 수립
• 2. 안전성 확보조치 방안 수립

제 6 장 정보보호위원회 심의･의결

제 7 장 계약 체결

• 1. 기본 포함사항 
• 2. 추가 포함사항

제 8 장 이용 및 보고 

• 1. 보고 
• 2. 업무위수탁 운영기준 
• 3. 보고 방법 
• 4. 클라우드 이용 관련 리스크 관리

제 9 장 이용 종료

---

부록 1 업무중요도 평가 방법 및 사례 예시

부록 2 금융회사의 클라우드 서비스 제공자 집중 리스크 관리시 고려사항

• 1. 금융회사의 클라우드서비스 제공자 집중 리스크 관리시 고려사항
• 2. 국외 클라우드 서비스 제공자(제3자)에 대한 리스크 대응방안

별 첨 금융분야 망분리 및 클라우드 규제개선 관련 FAQ

• 1. FAQ 답변 활용 시 고려사항 
• 2. SaaS 서비스 이용 시 고려사항 
• 3. 금융분야 망분리 및 클라우드 규제개선 관련 FAQ

---

※ 해당 가이드라인은 금융보안원 홈페이지 자료마당 메뉴에서 확인할 수 있습니다.

※ 바로 이동하시려면 여기를 클릭해주세요.

금융보안원

※ 더 많은 자료 찾아보기

황컴플라이언스의 공간