개요

금융권으로 이직하여 조직의 클라우드 전환을 시작하려 한다. 이에 따라 금융보안원의 프로세스를 분석한 뒤 정리해두고자 한다.

주요 단계

1. 사전준비 -> 2. 계약 체결 -> 3. 보고 및 이용 -> 4. 이용 종료

1. 사전준비

1.1. 업무 선정 및 평가

1.1.1. 이용 대상 정보처리업무 선정

클라우드에 쓰일 업무를 금융사에서 선정

1.1.2. 이용 대상 정보처리업무 중요도 평가

중요정보(고유식별정보 또는 개인 신용정보) 포함여부에 따라 중요도 평가를 수행

1.2. 계획 수립

1.2.1. 업무연속성 계획 및 안전성 확보조치 방안 수립

금융사에서 수립해야

1.2.2. 업무 위수탁 기준 보완(클라우드서비스 이용관련)

중요도가 높은 업무의 위탁을 추진하는 경우 2/3의 업무위탁 운영기준 보완사항을 내부 업무 위수탁 기준에 반영하고 준수해야함

1.3. 계약 준비

1.3.1. 클라우드서비스 제공자의 건전성/안전성 등 평가

  • 금융사가 아닌 클라우드 서비스 제공자의 건전성/안전성을 평가해야함
  • 평가결과의 수용 및 계약 추진 여부에 대한 판단 기준은 금융회사가 자율적으로 정함

1.3.2. 정보보호위원회 심의/의결

  • 아래 사항을 정보보호위원회에서 심의/의결해야함
    • 자사 정보처리업무의 중요도 평가 결과
    • 클라우드서비스 제공자의 건전성/안전성 등 평가결과
    • 자체 업무 위수탁 운영기준

2. 계약 체결

2.1. 클라우드서비스 이용 계약 체결

  • 금융사는 위수탁 계약서 주요 기재사항 2/3을 반영해야함
  • 데이터 처리 위치, 훈련(비상대응, 침해사고대응) 및 취약점 분석 평가 등에 대한 협조, 위탁업무의 이전/반환에 대한 사항이 누락되지 않아야 함
  • 금융사는 금융당국의 조사/접근에 협조할 의무를 반드시 명시해야함

3. 보고 및 이용

3.1. 관련 서류 구비 및 금융당국 보고

  • 금융사는 클라우드서비스 이용과 관련하여 다음 서류를 구비해야함
    • 금융회사의 정보처리 업무 위탁에 관한 규정 제 7조 제 1항 각 호의 서류
    • 이용 대상 정보처리업무의 중요도 평가 기준 및 결과
    • 클라우드서비스 이용 관련 업무연속성 계획 및 안전성 확보조치
    • 클라우드서비스 이용 관련 정보보호위원회 심의/의결 결과
      > 이용 대상 정보처리업무의 중요도 평가 중요도가 높은 업무는 실제 클라우드 사용 7 영업일 이전에 금융 감독원장에게 상기 서류를 보고해야함

3.2. 서류 최신성 유지 및 수시 보고

  • 금융사는 클라우드서비스 이용 관련 서류를 최신 상태로 유지해야함, 더불어 금융감독원장 요칭 시 지체없이 제공해야함
  • 금융사는 다음 변경사항 발생 시 7 영업일 이내에 발생 사유, 관련자료 및 대응계획을 포함하여 금융감독원장에게 보고해야함
    • 클라우드서비스 제공자의 합병 등 중대한 변경이 발생한 경우
    • 클라우드서비스 제공자가 중요 계약사항을 이행하지 아니한 경우
    • 이용 대상 정보처리업무의 중요도 평가 기준/결과, 업무연속성 계획 및 안전성 확보조치에 관한 중대한 변경사항이 발생한 경우

3.3. 리스크 관리

  • 금융사는 클라우드서비스 이용 시 사전에 수립한 업무연속성 계획 및 안전성 확보조치를 준수하여 리스크를 관리하고 필요 시 CSP에 협조를 요청해야 한다.

4. 이용 종료

  • 금융사는 클라우드 서비스 이용이 종료되는 경우 사전 수립된 출구 전략에 따라 적절한 조치를 취해야 한다.

참고자료