2023 클라우드 보안 가이드_ AWS.pdf
15.79MB
2023 클라우드 보안 가이드_ Azure.pdf
15.52MB
2023 클라우드 보안 가이드_ GCP.pdf
17.75MB
금융분야 클라우드컴퓨팅서비스 이용 가이드-FN.pdf
8.41MB
주요 변경(?)에 대한 내용 중심으로 정리
- 다만, 32개가 그냥 사라진게 아니라 개선된 항목에 녹아들어갔다고 보면됨
1) 중요 업무의 경우
- 이용하려는 CSP가 아래의 주요 국내외 보안인증을 취득한 경우 대체항목 평가 생략 가능
2) 비중요 업무의 경우
- 비중요는 별도 요건 없이 대체항목 평가 생략 가능
| 1. 다음 각 목의 기준에 따른 이용업무의 중요도 평가 가. 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성 나. 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향 다. 전자적 침해 행위 발생시 고객에게 미치는 영향 라. 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 클라우드컴퓨팅서비스 제공자에 대한 종속 위험 마. 클라우드컴퓨팅서비스 이용에 대한 금융회사 또는 전자금융업자의 내부통제 및 법규 준수 역량 바. 그 밖에 금융감독원장이 정하여 고시하는 사항 |
(일이 있어서...일단 여기까지 ㅠ_ㅠ)
**참고**
11/25 기준 law.go.kr에 입법예고된 전자금융감독규정 내용에 일부 오류가 있음
기존 제3항은 삭제되고 제3항이 신설되는 것으로 되어 있었는데 그냥 제3항의 내용만 바꾼듯함
| 정보보호 상시평가제는? (0) | 2021.02.24 |
|---|
- macOS 12.5.1
- brew
- pyenv
- python 3.9.13
- vscode 1.71.2
1) Homebrew 설치
- 터미널에서 아래 명령어를 실행 (비밀번호 입력 후 이후는 그냥 엔터 입력)
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"- 만약 PATH 에러가 나면 아래의 환경변수를 zshrc 파일에 추가하고 위 명령어를 다시 실행 (파일이 없다고 하면 파일을 생성하면 되며, 가급적 설치하기 전에 zshrc 파일 생성을 추천)
touch ~/.zshrc //파일 생성
vim ~/.zshrc //에디터로 파일 수정
export PATH=/opt/homebrew/bin:$PATH //해당 내용 추가
2) pyenv 설치
- 파이썬 설치를 위해 다양한 파이썬 버전들을 관리하는 도구인 pyenv 설치하고, pyenv를 이용해 쉽게 파이썬을 설치할 수 있음
brew install pyenv
3) python 설치
- 설치 가능한 파이썬 버전은 아래 명령어로 확인이 가능함 (pyenv 2.3.4 기준 설치 가능한 패키지는 581개씩(?)이나 됨)
pyenv install 3.9.13 // pyenv install [리스트 중 설치하려는 패키지명을 입력]- global 옵션으로 설치된 여러 파이썬 버전 중 사용할(적용할) 버전을 선택함
pyenv global 3.9.13
python global 3.9.13- (선택) 파이썬3 부터는 버전 확인하려면 python3을 붙여야 하는 번거로움이 있어서 경로를 바꿔줘도 됨
ls -l /usr/local/bin/ //설치된 파이썬 버전을 확인하고 원하는 버전 선택
sudo ln -s -f /usr/local/bin/python3.9 /usr/local/bin/python //3.9 버전 선택 예시
4) vscode 설치
- 사이트에서 다운로드 및 설치(이건 별내용 없어서 skip) (Link : https://code.visualstudio.com/download)
- python extension 설치 (기본 Python만 설치해도 되고 Python 관련 다른 extension들도 필요에 따라 설치할 수 있음.)
이후 파일 생성하고 개발하면 됨 :)
(참고) 평가 결과에 대하여 대표자 및 이사회에 보고하여야 한다는 명시적 근거는 없음.
[관련 법령 내용]
신용정보법 제20조
| 제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) ⑥ 대통령령으로 정하는 신용정보회사등의 신용정보관리ㆍ보호인은 처리하는 개인신용정보의 관리 및 보호 실태를 대통령령으로 정하는 절차와 방법에 따라 정기적으로 점검하고, 그 결과를 금융위원회에 제출하여야 한다. |
신용정보법 제45조의5
| 제45조의5(개인신용정보 활용ㆍ관리 실태에 대한 상시평가) ① 금융위원회는 대통령령으로 정하는 신용정보회사등이 제20조제6항에 따라 신용정보관리ㆍ보호인을 통하여 점검한 결과를 제출받아 확인하고, 그 결과를 점수 또는 등급으로 표시할 수 있다. ② 금융위원회는 제1항에 따라 표시한 점수 또는 등급, 그 밖에 대통령령으로 정하는 사항을 금융감독원장에게 송부하여 제45조제3항에 따른 검사에 활용하도록 할 수 있다. ③ 제1항에 따른 점검결과의 확인 및 점수ㆍ등급의 표시, 제2항에 따른 송부의 방법 및 절차 등에 대해서는 금융위원회가 정하여 고시한다. |
신용정보법 시행령 제17조
| 제17조(신용정보관리ㆍ보호인의 지정 등) ⑦ 법 제20조제6항에서 “대통령령으로 정하는 신용정보회사등”이란 다음 각 호의 기관을 말한다. 1. 신용정보회사, 본인신용정보관리회사, 채권추심회사 및 신용정보집중기관 2. 제5조제2항제1호부터 제20호까지의 규정에 따른 금융기관(제14호, 제17호 및 제19호에 따른 금융기관은 제외한다) 3. 제21조제2항제4호, 제5호, 제8호, 제16호, 제18호 및 제19호(직전 사업연도 말 기준으로 총 자산이 100억원을 초과하는 기관에 한정한다)의 기관 4. 그 밖에 금융위원회가 정하여 고시하는 기관 ⑧ 법 제20조제6항에서 “대통령령으로 정하는 절차와 방법”이란 신용정보관리ㆍ보호인이 법 제20조제4항제1호 각 목에 따른 업무에 대하여 연 1회 이상 점검을 실시한 후, 그 결과를 대표자 및 이사회에 보고하고 금융위원회가 정하여 고시하는 기준과 서식에 따라 금융위원회에 제출하는 것을 말한다. |
신용정보법 시행령 제37조
| 제37조(권한의 위임 또는 위탁) ⑥ 금융위원회는 법 제49조에 따라 다음 각 호의 업무를 금융보안원에 위탁한다. 1. 법 제20조제6항에 따른 개인신용정보의 관리 및 보호 실태 점검 결과의 접수 2. 법 제45조의5제1항에 따른 신용정보관리ㆍ보호인의 점검 결과 제출의 확인, 그 결과의 점수 또는 등급 표시 및 같은 조 제2항에 따른 그 결과의 송부 ⑦ 금융감독원장, 종합신용정보집중기관, 데이터전문기관, 신용정보협회 및 금융보안원은 제2항부터 제6항까지의 규정에 따라 위탁받은 업무의 처리 내용을 6개월마다 금융위원회에 보고해야 한다. |
신용정보업감독규정 제22조의2
| 제22조의2(신용정보관리·보호인의 지정대상 등) ① 영 제17조제2항제3호 후단에 따라 상시 종업원 수를 산정하는 경우「소득세법」에 따른 원천징수의무자가 근로소득세를 원천징수한 자의 수로 한다. ② 종합신용정보집중기관의 신용정보관리·보호인은 법 제20조제5항에 따라 보고서를 대표자 및 이사회에 보고하기 전에 영 제17조제8항에 따른 신용정보집중관리위원회(이하 "신용정보집중관리위원회"라 한다)에 보고하여야 한다. ③ 법 제20조제6항에 따라 신용정보관리·보호인은 다음 각 호의 사항을 당해 연도 1분기 말일까지 별지 제8호의3 서식에 따라 영 제36조의5제4항의 기관에 제출하여야 한다. 1. 신용정보관리·보호인이 직전 연도 중 법 제20조제4항제1호의 업무를 수행한 실적 2. 제1호의 실적을 기재한 보고서를 대표이사 또는 대표자 및 이사회에 보고한 실적 |
※ (사견) 참고로 신용정보업감독규정 제22조의2제3항에 명시된 "영 제36조의5제4항" 부분이 잘못된 생각이 듬. 찾아보면, 해당 조항이 없음............아마도, 추측컨데 영 제37조제6항이 맞지 않을까함.
[첨부] 별표8호의3 서식
[별지 8의3] 신용정보관리ㆍ보호인의 점검 결과(제22조의2제3항 관련).hwp
0.01MB
신용정보업감독규정 제45조의2
| 제45조의2(개인신용정보 활용·관리 실태에 대한 상시평가) ① 법 제45조의5제3항에 따른 점검결과의 확인 및 점수·등급의 표시, 송부의 방법 및 절차 등(이하 "상시평가"라 한다)은 다음 각 호와 같다. 1. 법 제20조제6항에 따른 신용정보관리·보호인은 제22조의2제3항에 따른 점검 결과를 컴퓨터 등 정보처리가 가능한 형태로 전송한다. 2. 금융보안원은 제1호에 따른 점검 결과를 제출받아 서면점검하여 점수 또는 등급으로 표시한다. 3. 금융보안원은 금융위원회가 승인한 사항을 금융감독원장에게 컴퓨터 등 정보처리가 가능한 형태로 송부할 수 있다. ② 금융위원회는 법 제45조의5제1항의 업무를 공정하고 객관적으로 운영하기 위하여 금융보안원에 다음 각 호의 업무를 수행하는 상시평가위원회를 둘 수 있다. 1. 영 제17조제8항에 따른 기준 및 관련 서식의 제·개정(법 제20조제4항제1호 각 목의 사항을 포함하여 제·개정) 2. 상시평가 절차·방법 등 중요 사항의 심의 3. 상시평가 결과의 점수·등급 표시 방안의 심의 4. 영 제36조의5제3항에 따른 인증마크의 부여 및 취소의 세부 기준·방법·절차 등 중요 사항의 심의 ③ 제2항에 따른 상시평가위원회는 금융위원회에 제2항 각 호의 사항에 대한 의견을 제시할 수 있다. |
[미준수 시 제재]
신용정보법 제20조제6항
| 제52조(과태료) ② 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다. 1. 제12조를 위반하여 허가받은 신용정보회사, 본인신용정보관리회사, 채권추심회사 또는 신용정보집중기관이 아님에도 불구하고 상호 또는 명칭 중에 신용정보ㆍ신용조사ㆍ개인신용평가ㆍ신용관리ㆍ마이데이터(MyData)ㆍ채권추심 또는 이와 비슷한 명칭을 사용한 자 2. 제15조제2항을 위반한 자 2의2. 제17조의2제2항을 위반하여 가명처리 또는 익명처리가 되지 아니한 상태로 전달한 자 3. 제19조를 위반한 자 4. 제20조제6항을 위반한 자 |
| 금융분야 클라우드컴퓨팅서비스 이용 가이드 (2022.11) (0) | 2022.11.25 |
|---|
개인정보_보호_법령_및_지침_고시_해설(2020.12).pdf
6.20MB
[관련 법령 내용]
1. 개인정보 보호책임자(CPO) 지정 근거
개인정보 보호법 제31조
|
제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. ② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. 1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리ㆍ감독 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무 ③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다. ④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다. ⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다. ⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다. |
개인정보 보호법 시행령 제32조
|
제32조(개인정보 보호책임자의 업무 및 지정요건 등) ① 법 제31조제2항제7호에서 “대통령령으로 정한 업무”란 다음 각 호와 같다. 1. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행 2. 개인정보 보호 관련 자료의 관리 3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기 ② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다. <개정 2016. 7. 22.> 1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 “고위공무원”이라 한다) 또는 그에 상당하는 공무원 나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원 다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원 라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장 마. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원 바. 시ㆍ군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원 사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람 아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다. 2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람 가. 사업주 또는 대표자 나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장) ③ 제2항에도 불구하고 개인정보처리자가 「소상공인기본법」 제2조에 따른 소상공인에 해당하는 경우에는 별도의 지정 없이 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 본다. 다만, 개인정보처리자가 별도로 개인정보 보호책임자를 지정한 경우에는 그렇지 않다. ④ 보호위원회는 개인정보 보호책임자가 법 제31조제2항의 업무를 원활히 수행할 수 있도록 개인정보 보호책임자에 대한 교육과정을 개설ㆍ운영하는 등 지원을 할 수 있다. |
2. 신용정보 관리·보호인(CIAP) 지정 근거
신용정보법 제20조
|
제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) ① 신용정보회사등은 신용정보의 수집ㆍ처리ㆍ이용 및 보호 등에 대하여 금융위원회가 정하는 신용정보 관리기준을 준수하여야 한다. <개정 2015. 3. 11.> ② 신용정보회사등은 다음 각 호의 구분에 따라 개인신용정보의 처리에 대한 기록을 3년간 보존하여야 한다. <개정 2020. 2. 4.> 1. 개인신용정보를 수집ㆍ이용한 경우 가. 수집ㆍ이용한 날짜 나. 수집ㆍ이용한 정보의 항목 다. 수집ㆍ이용한 사유와 근거 2. 개인신용정보를 제공하거나 제공받은 경우 가. 제공하거나 제공받은 날짜 나. 제공하거나 제공받은 정보의 항목 다. 제공하거나 제공받은 사유와 근거 3. 개인신용정보를 폐기한 경우 가. 폐기한 날짜 나. 폐기한 정보의 항목 다. 폐기한 사유와 근거 4. 그 밖에 대통령령으로 정하는 사항 ③ 신용정보회사, 본인신용정보관리회사, 채권추심회사, 신용정보집중기관 및 대통령령으로 정하는 신용정보제공ㆍ이용자는 제4항에 따른 업무를 하는 신용정보관리ㆍ보호인을 1명 이상 지정하여야 한다. 다만, 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 자는 신용정보관리ㆍ보호인을 임원(신용정보의 관리ㆍ보호 등을 총괄하는 지위에 있는 사람으로서 대통령령으로 정하는 사람을 포함한다)으로 하여야 한다. ④ 제3항에 따른 신용정보관리ㆍ보호인은 다음 각 호의 업무를 수행한다. 1. 개인신용정보의 경우에는 다음 각 목의 업무 가. 「개인정보 보호법」 제31조제2항제1호부터 제5호까지의 업무 나. 임직원 및 전속 모집인 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검 다. 그 밖에 신용정보의 관리 및 보호를 위하여 대통령령으로 정하는 업무 2. 기업신용정보의 경우 다음 각 목의 업무 가. 신용정보의 수집ㆍ보유ㆍ제공ㆍ삭제 등 관리 및 보호 계획의 수립 및 시행 나. 신용정보의 수집ㆍ보유ㆍ제공ㆍ삭제 등 관리 및 보호 실태와 관행에 대한 정기적인 조사 및 개선 다. 신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제 라. 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영 마. 임직원 및 전속 모집인 등에 대한 신용정보보호 교육계획의 수립 및 시행 바. 임직원 및 전속 모집인 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검 사. 그 밖에 신용정보의 관리 및 보호를 위하여 대통령령으로 정하는 업무 ⑤ 신용정보관리ㆍ보호인의 업무수행에 관하여는 「개인정보 보호법」 제31조제3항 및 제5항의 규정을 준용한다. ⑥ 대통령령으로 정하는 신용정보회사등의 신용정보관리ㆍ보호인은 처리하는 개인신용정보의 관리 및 보호 실태를 대통령령으로 정하는 절차와 방법에 따라 정기적으로 점검하고, 그 결과를 금융위원회에 제출하여야 한다. ⑦ 제3항에 따른 신용정보관리ㆍ보호인의 자격요건과 그 밖에 지정에 필요한 사항, 제6항에 따른 제출 방법에 대해서는 대통령령으로 정한다. ⑧ 「금융지주회사법」 제48조의2제6항에 따라 선임된 고객정보관리인이 제6항의 자격요건에 해당하면 제3항에 따라 지정된 신용정보관리ㆍ보호인으로 본다. |
신용정보법 시행령 제17조
|
제17조(신용정보관리ㆍ보호인의 지정 등) ① 법 제20조제3항 본문에서 “대통령령으로 정하는 신용정보제공ㆍ이용자”란 제5조제2항제1호부터 제21호까지 및 제21조제2항제1호부터 제21호까지의 규정에 해당하는 자를 말한다. ② 법 제20조제3항 단서에서 “총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다. 1. 종합신용정보집중기관 2. 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 및 본인신용정보관리회사 3. 신용조사회사, 채권추심회사 및 제1항에서 정하는 자로서 직전 사업연도 말 기준으로 총자산이 2조원 이상이고 상시 종업원 수가 300명 이상인 자. 이 경우 상시 종업원 수의 산정방식은 금융위원회가 정하여 고시한다. ③ 법 제20조제3항 본문에 따라 지정하는 신용정보관리ㆍ보호인은 다음 각 호의 어느 하나에 해당하는 사람으로 하여야 한다. 1. 사내이사 2. 집행임원(「상법」 제408조의2에 따라 집행임원을 둔 경우로 한정한다) 3. 「상법」제401조의2제1항제3호에 해당하는 자로서 신용정보의 제공ㆍ활용ㆍ보호 및 관리 등에 관한 업무집행 권한이 있는 사람 4. 그 밖에 신용정보의 제공ㆍ활용ㆍ보호 및 관리 등을 총괄하는 위치에 있는 직원 ④ 법 제20조제3항 단서에서 “대통령령으로 정하는 사람”이란 제3항제2호 또는 제3호에 해당하는 사람을 말한다. ⑤ 제3항 및 제4항에도 불구하고 신용정보회사등은 다른 법령에 따라 준법감시인을 두는 경우에는 그를 신용정보관리ㆍ보호인으로 지정할 수 있다. 다만, 법 제20조제3항 단서에 해당하는 경우 신용정보관리ㆍ보호인으로 지정될 수 있는 준법감시인은 제3항제1호부터 제3호까지의 규정의 어느 하나에 해당하는 사람으로 하여야 한다. ⑥ 제5항에 따라 준법감시인을 신용정보관리ㆍ보호인으로 지정한 경우에는 법 제20조제4항 각 호의 업무에 관한 사항을 준법감시인 선임의 근거가 된 법령에 따른 내부통제기준에 반영하여야 한다. ⑦ 법 제20조제6항에서 “대통령령으로 정하는 신용정보회사등”이란 다음 각 호의 기관을 말한다. 1. 신용정보회사, 본인신용정보관리회사, 채권추심회사 및 신용정보집중기관 2. 제5조제2항제1호부터 제20호까지의 규정에 따른 금융기관(제14호, 제17호 및 제19호에 따른 금융기관은 제외한다) 3. 제21조제2항제4호, 제5호, 제8호, 제16호, 제18호 및 제19호(직전 사업연도 말 기준으로 총 자산이 100억원을 초과하는 기관에 한정한다)의 기관 4. 그 밖에 금융위원회가 정하여 고시하는 기관 ⑧ 법 제20조제6항에서 “대통령령으로 정하는 절차와 방법”이란 신용정보관리ㆍ보호인이 법 제20조제4항제1호 각 목에 따른 업무에 대하여 연 1회 이상 점검을 실시한 후, 그 결과를 대표자 및 이사회에 보고하고 금융위원회가 정하여 고시하는 기준과 서식에 따라 금융위원회에 제출하는 것을 말한다. |
붙임1 CISO 관련 정보통신망법령 QA.pdf
0.16MB
구체적인 요건은 다음과 같음
[관련 법규 내용]
1. 전자금융거래법
|
제21조의2(정보보호최고책임자 지정) ① 금융회사 또는 전자금융업자는 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 총괄하여 책임질 정보보호최고책임자를 지정하여야 한다. <개정 2013. 5. 22.> ② 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자는 정보보호최고책임자를 임원(「상법」 제401조의2제1항제3호에 따른 자를 포함한다)으로 지정하여야 한다. <개정 2013. 5. 22.> ③ 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 금융회사 또는 전자금융업자의 정보보호최고책임자는 제4항의 업무 외의 다른 정보기술부문 업무를 겸직할 수 없다. <신설 2014. 10. 15.> ④ 제1항에 따른 정보보호최고책임자는 다음 각 호의 업무를 수행한다. <개정 2014. 10. 15.> 1. 제21조제2항에 따른 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립 2. 정보기술부문의 보호 3. 정보기술부문의 보안에 필요한 인력관리 및 예산편성 4. 전자금융거래의 사고 예방 및 조치 5. 그 밖에 전자금융거래의 안정성 확보를 위하여 대통령령으로 정하는 사항 ⑤ 정보보호최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다. <개정 2014. 10. 15.> |
2. 전자금융거래법 시행령
|
제11조의3(정보보호최고책임자 지정대상 금융회사 등) ① 법 제21조의2제2항에서 "대통령령으로 정하는 금융회사 또는 전자금융업자"란 직전 사업연도 말을 기준으로 총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사 또는 전자금융업자를 말한다. 이 경우 상시 종업원 수의 산정방식은 금융위원회가 정하여 고시한다. <개정 2013. 11. 22.> ② 법 제21조의2제3항에서 "대통령령으로 정하는 금융회사 또는 전자금융업자"란 직전 사업연도 말을 기준으로 총자산이 10조원 이상이고, 상시 종업원 수가 1,000명 이상인 금융회사를 말한다. 이 경우 상시 종업원 수의 산정방식은 제1항 후단을 준용한다. <신설 2015. 4. 14.> ③ 법 제21조의2제4항제5호에서 "대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다. <신설 2013. 11. 22., 2015. 4. 14.> 1. 전자금융업무 및 그 기반이 되는 정보기술부문 보안을 위한 자체심의에 관한 사항 2. 정보기술부문 보안에 관한 임직원 교육에 관한 사항 ④ 법 제21조의2제5항에 따른 정보보호최고책임자의 자격요건은 별표 1과 같다. <개정 2013. 11. 22., 2015. 4. 14.> [본조신설 2012. 5. 7.] [제목개정 2013. 11. 22.] [제11조의2에서 이동 <2013. 11. 22.>] |
3년 동안 개정판이 없음.
물론 큰 사건들이 없어서 그랬겠지만, 2020년에는 핫한 이슈들이 많아(데이터3법/마이데이터, COVID19 대응 등) 규정 개정과 해설서 개정판이 나올 것으로 혼자서 기대해봄.
출처: 금융감독원 (LINK)