□ 금융회사의 클라우드서비스 이용은 금융회사의 정보처리 업무 위탁에 관한 규정 제2조 제5항 및 제6항에 따라 정보처리 위탁에 해당
o 자본시장법 제42조 및 금융기관의 업무위탁 등에 관한 규정 제3조에 따른 업무위탁에 해당됨
※ 클라우드서비스 이용은 정보를 제공하는 것이 아닌, 위탁 처리 하는 것으로 봄
□ 전자금융업무와 관련된 정보처리시스템을 위탁할 경우 클라우드서비스 제공자는 감독규정 제3조제3호 또는 제4호에 따라 전자금융보조업자에 해당
□ 클라우드서비스를 이용한다고 해서 금융회사의 책임이 면제되는 것이 아니며, 고객 손해 발생 시 금융 회사가 1차적 손해배상 책임의 주체이고, 클라우드 제공자는 수탁자로서 연대배상책임을 부담
o 따라서 금융회사는 전자금융보조업자(클라우드서비스 제공자)에 대한 감독 및 검사을 가짐 (위택계약 시정, 보완요구권, 수탁계약서 부속자료 등의 제출요구권)
이에 따라 보안, 비상, 백업 대책 등을 수립 운영하고 보안점검을 실시해야 함
□ 클라우드서비스 도입 절차
| 절차 | 특징 | 설명 |
| 사전 준비 | -업무 선정 및 위험도 평가 -업무 연속성 계획 및 안전성 확보조치 계획 수립 -위탁 사항 보완 -내부 심의 의결 |
-이용 대상 업무 선정 및 중요도 평가 -업무연속성 계획 및 안전성 확보조치 방안 수립 -감독규정 별표2의3(업무위탁 운영기준 보완사항) 내용 반영 및 준수 -클라우드서비스 제공자의 건전성, 안전성 등 평가 -정보보호위원회 심의 의결 |
| 계약 체결 | 감독규정 별표2의3 위수탁계약서 주요 기재사항 반영 | -클라우드서비스 이용 계약 체결 -데이터 처리 위치, 훈련(비상대응, 침해사고대응) 및 취약점 분석 평가 등에 대한 협조, 위탁업무의 이전・반환 등에 관한 사항 등 반영 -금융당국의 조사・접근(데이터센터 등 현장방문 포함)에 협조할 의무를 반드시 명시 |
| 보고 및 이용 | 서비스 이용 시 금감원 보고 서류 최신성 유지 업무 연속성 계획 및 안전성 확보 조치 |
-클라우드서비스를 이용하고자 하는 모든 금융회사는 클라우드서비스 이용과 관련하여 서류를 준비하고 보고 -서류 최신상태 유지 및 금감원 요청 시 지체없이 제공 -사전에 수립한 업무연속성 계획 및 안전성 확보조치 등을 준수하여 리스크를 관리하고, 필요 시 클라우드 서비스 제공자에게 협조를 요청 |
| 이용 종료 | 업무 장애・지연 등으로 인한 일시적 서비스 이전 등 | -금융회사는 클라우드서비스 이용이 종료되는 경우 사전 수립된 출구 전략에 따라 적절한 조치 |
'(부제) 나는 CISO 이다 > CSAP 인증심사' 카테고리의 다른 글
| (ISMS-P) 정보보호 공시제도 (0) | 2022.01.10 |
|---|---|
| (ISMS-P) 금융보안원의 클라우드 안전성 평가 (0) | 2022.01.10 |
| (CSAP) 이용자의 계정 및 패스워드 관리 절차 공지 (0) | 2021.11.09 |
| (CSAP) 정보보호시스템 등 도입/운용 관련 보안성 검증 (0) | 2021.08.31 |
| (CSAP) 클라우드 서비스 제공 과정에서 개인정보 처리 (2) | 2021.08.24 |
댓글