금융분야 클라우드컴퓨팅서비스 이용 가이드-FN.pdf
8.41MB
주요 변경(?)에 대한 내용 중심으로 정리
1. 평가항목의 변경
- (기존) 기본보호조치(109개)+금융추가보호조치(32개) = 141개
- (변경) 기본보호조치를 총 54개로 변경하고 금융추가보호조치 32개는 삭제함
- 다만, 32개가 그냥 사라진게 아니라 개선된 항목에 녹아들어갔다고 보면됨
2. 평가 시 대체항목에 대한 "평가생략" 가능
- 금융회사가 클라우드를 이용하려고 할 때 대체항목에 대한 평가 생략이 가능한 요건이 생김. 즉, 생략되면 16개 항목에 대해서만 평가를 하면됨 (기존에는 국내외 주요 보안인증을 취득하였을 시 기본보호조치항목 평가 생략이 가능하였음)
- 중요 업무 여부는 중요도 평가(전자금융감독규정 제14조의2제1항제1호)로 금융회사가 판단함
1) 중요 업무의 경우
- 이용하려는 CSP가 아래의 주요 국내외 보안인증을 취득한 경우 대체항목 평가 생략 가능
2) 비중요 업무의 경우
- 비중요는 별도 요건 없이 대체항목 평가 생략 가능
3. 중요도 평가에 대한 예시를 제시
- 전자금융감독규정 제14조의제1항제1호 따라서 중요도 평가를 하라고만 되어 있지 어떻게 하여야 하는지 구체적 예시 등이 없었음
| 1. 다음 각 목의 기준에 따른 이용업무의 중요도 평가 가. 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성 나. 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향 다. 전자적 침해 행위 발생시 고객에게 미치는 영향 라. 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 클라우드컴퓨팅서비스 제공자에 대한 종속 위험 마. 클라우드컴퓨팅서비스 이용에 대한 금융회사 또는 전자금융업자의 내부통제 및 법규 준수 역량 바. 그 밖에 금융감독원장이 정하여 고시하는 사항 |
- 금번 개정본에는 각 목에 따른 예시를 제공함
- 그리고 중요도 평가에 대한 구체적인 기준(평가지표 예시)을 명시하였음
(일이 있어서...일단 여기까지 ㅠ_ㅠ)
**참고**
11/25 기준 law.go.kr에 입법예고된 전자금융감독규정 내용에 일부 오류가 있음
기존 제3항은 삭제되고 제3항이 신설되는 것으로 되어 있었는데 그냥 제3항의 내용만 바꾼듯함
'F-GRC > FSI' 카테고리의 다른 글
| 정보보호 상시평가제는? (0) | 2021.02.24 |
|---|