개요
금융권으로 이직하여 조직의 클라우드 전환을 시작하려 한다. 이에 따라 금융보안원의 프로세스를 분석한 뒤 정리해두고자 한다.
주요 단계
1. 사전준비 -> 2. 계약 체결 -> 3. 보고 및 이용 -> 4. 이용 종료
1. 사전준비
1.1. 업무 선정 및 평가
1.1.1. 이용 대상 정보처리업무 선정
클라우드에 쓰일 업무를 금융사에서 선정
1.1.2. 이용 대상 정보처리업무 중요도 평가
중요정보(고유식별정보 또는 개인 신용정보) 포함여부에 따라 중요도 평가를 수행
1.2. 계획 수립
1.2.1. 업무연속성 계획 및 안전성 확보조치 방안 수립
금융사에서 수립해야
1.2.2. 업무 위수탁 기준 보완(클라우드서비스 이용관련)
중요도가 높은 업무의 위탁을 추진하는 경우 2/3의 업무위탁 운영기준 보완사항을 내부 업무 위수탁 기준
에 반영하고 준수해야함
1.3. 계약 준비
1.3.1. 클라우드서비스 제공자의 건전성/안전성 등 평가
- 금융사가 아닌 클라우드 서비스 제공자의 건전성/안전성을 평가해야함
- 평가결과의 수용 및 계약 추진 여부에 대한 판단 기준은 금융회사가 자율적으로 정함
1.3.2. 정보보호위원회 심의/의결
- 아래 사항을 정보보호위원회에서 심의/의결해야함
- 자사 정보처리업무의 중요도 평가 결과
- 클라우드서비스 제공자의 건전성/안전성 등 평가결과
- 자체 업무 위수탁 운영기준
2. 계약 체결
2.1. 클라우드서비스 이용 계약 체결
- 금융사는
위수탁 계약서 주요 기재사항
2/3을 반영해야함 - 데이터 처리 위치, 훈련(비상대응, 침해사고대응) 및 취약점 분석 평가 등에 대한 협조, 위탁업무의 이전/반환에 대한 사항이 누락되지 않아야 함
- 금융사는 금융당국의 조사/접근에 협조할 의무를 반드시 명시해야함
3. 보고 및 이용
3.1. 관련 서류 구비 및 금융당국 보고
- 금융사는 클라우드서비스 이용과 관련하여 다음 서류를 구비해야함
금융회사의 정보처리 업무 위탁에 관한 규정
제 7조 제 1항 각 호의 서류- 이용 대상 정보처리업무의 중요도 평가 기준 및 결과
- 클라우드서비스 이용 관련 업무연속성 계획 및 안전성 확보조치
- 클라우드서비스 이용 관련 정보보호위원회 심의/의결 결과
>이용 대상 정보처리업무의 중요도 평가
중요도가 높은 업무는 실제 클라우드 사용 7 영업일 이전에 금융 감독원장에게 상기 서류를 보고해야함
3.2. 서류 최신성 유지 및 수시 보고
- 금융사는 클라우드서비스 이용 관련 서류를 최신 상태로 유지해야함, 더불어 금융감독원장 요칭 시 지체없이 제공해야함
- 금융사는 다음 변경사항 발생 시 7 영업일 이내에 발생 사유, 관련자료 및 대응계획을 포함하여 금융감독원장에게 보고해야함
- 클라우드서비스 제공자의 합병 등 중대한 변경이 발생한 경우
- 클라우드서비스 제공자가 중요 계약사항을 이행하지 아니한 경우
- 이용 대상 정보처리업무의 중요도 평가 기준/결과, 업무연속성 계획 및 안전성 확보조치에 관한 중대한 변경사항이 발생한 경우
3.3. 리스크 관리
- 금융사는 클라우드서비스 이용 시 사전에 수립한 업무연속성 계획 및 안전성 확보조치를 준수하여 리스크를 관리하고 필요 시 CSP에 협조를 요청해야 한다.
4. 이용 종료
- 금융사는 클라우드 서비스 이용이 종료되는 경우 사전 수립된 출구 전략에 따라 적절한 조치를 취해야 한다.