금융분야 클라우드컴퓨팅서비스 이용 가이드-FN.pdf
8.41MB

주요 변경(?)에 대한 내용 중심으로 정리

 

1. 평가항목의 변경

  • (기존) 기본보호조치(109개)+금융추가보호조치(32개) = 141개
  • (변경) 기본보호조치를 총 54개로 변경하고 금융추가보호조치 32개는 삭제함

              - 다만, 32개가 그냥 사라진게 아니라 개선된 항목에 녹아들어갔다고 보면됨

2. 평가 시 대체항목에 대한 "평가생략" 가능

  • 금융회사가 클라우드를 이용하려고 할 때 대체항목에 대한 평가 생략이 가능한 요건이 생김. 즉, 생략되면 16개 항목에 대해서만 평가를 하면됨 (기존에는 국내외 주요 보안인증을 취득하였을 시 기본보호조치항목 평가 생략이 가능하였음)
  • 중요 업무 여부는 중요도 평가(전자금융감독규정 제14조의2제1항제1호)로 금융회사가 판단함

         1) 중요 업무의 경우

              - 이용하려는 CSP가 아래의 주요 국내외 보안인증을 취득한 경우 대체항목 평가 생략 가능

2022.11 기준 인정되는 주요 국내외 보안인증
2019.01 기준 인정되는 주요 국내외 보안인증

         2) 비중요 업무의 경우

              - 비중요는 별도 요건 없이 대체항목 평가 생략 가능 

 

3. 중요도 평가에 대한 예시를 제시

  • 전자금융감독규정 제14조의제1항제1호 따라서 중요도 평가를 하라고만 되어 있지 어떻게 하여야 하는지 구체적 예시 등이 없었음
1. 다음 각 목의 기준에 따른 이용업무의 중요도 평가
   가. 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성
   나. 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향
   다. 전자적 침해 행위 발생시 고객에게 미치는 영향
   라. 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 클라우드컴퓨팅서비스 제공자에 대한 종속 위험
   마. 클라우드컴퓨팅서비스 이용에 대한 금융회사 또는 전자금융업자의 내부통제 및 법규 준수 역량   바. 그 밖에 금융감독원장이 정하여 고시하는 사항
  • 금번 개정본에는 각 목에 따른 예시를 제공함

  • 그리고 중요도 평가에 대한 구체적인 기준(평가지표 예시)을 명시하였음

 

(일이 있어서...일단 여기까지 ㅠ_ㅠ)

**참고**

11/25 기준 law.go.kr에 입법예고된 전자금융감독규정 내용에 일부 오류가 있음

기존 제3항은 삭제되고 제3항이 신설되는 것으로 되어 있었는데 그냥 제3항의 내용만 바꾼듯함

 

저작자표시 비영리 동일조건

'F-GRC > FSI' 카테고리의 다른 글

정보보호 상시평가제는?  (0) 2021.02.24
  • 2020.12.07 금융위원회에서는 금융권 개인신용정보 보호실태를 상시적·체계적으로 점검하는 "정보보호 상시평가제(이하 "상시평가제")"를 도입한다고 언론보도함 (언론보도 링크)
  • 상시평가제란 "금융권이 활용·관리하는 개인신용정보에 대한 보호실태를 총체적으로 점검하는 체계"임 (금융위원회/금융보안원, 금융권 정보보호 상시평가제 도입방안, 2020.12,  pp.3)
  • (History) 참고로 상시평가제 이전에는 2018.12.31 시행 신용정보법 제20조제5항에 따라 신용정보 관리·보호인(이하 "CIAP")가 수행해야하는 업무에 대해서 금융위윈회에 제출을 하는 절차였다가, 2020.02.04에 개정되어 지금의 상시평가제가 탄생(?)하게 된 것임
  • 상시평가제 절차는 다음과 같음
    1. 금융회사 등이 제공된 체크리스트를 이용하여 자체 평가를 수행
    2. 금융위원회가 정하여 고시하는 기준(신용정보업감독규정 제22조의2제3항)과 서식(동규정 별지8의3)에 따라 평가 결과와 신용정보법 제20조제4항제1호 각 목의 업무를 대표자 및 이사회에 보고한 내용을 금융위원회에 제출(금융보안원 정보보호 상시평가제 사이트에 제출)
    3. 금융보안원은 결과에 대한 평가 실시 및 금융당국에 결과 보고

(참고) 평가 결과에 대하여 대표자 및 이사회에 보고하여야 한다는 명시적 근거는 없음.

[관련 법령 내용]

 

  • 신용정보법 제20조제6항에는 CIAP가 개인신용정보의 관리 및 보호 실태 점검 결과(상시평가제 자체 평가 결과 동일)를 금융위에 제출할 것이 명시됨
  • 신용정보법 제45조의5에는 실태 점검 결과에 대한 점수/등급화가 명시됨
  • 신용정보법 시행령 제17조제7항, 제8항에는 대상이 누구인지, 어떻게 해야하는지가 명시됨
  • 신용정보법 시행령 제37조제6항에는 금융보안원에 실태 점검 결과 접수 및 점수/등급 표시를 위탁 내용이 명시됨
  • 신용정보업감독규정 제22조의2제3항에는 실태 점검 결과를 당해 연도 1분기 말일까지 금융보안원에 제출하는 내용이 명시됨
  • 신용정보업감독규정 제45조의2에는 상시평가제에 대한 구체적인 내용이 명시됨

신용정보법 제20조

제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존)
⑥ 대통령령으로 정하는 신용정보회사등의 신용정보관리ㆍ보호인은 처리하는 개인신용정보의 관리 및 보호 실태를 대통령령으로 정하는 절차와 방법에 따라 정기적으로 점검하고, 그 결과를 금융위원회에 제출하여야 한다.

 

신용정보법 제45조의5

제45조의5(개인신용정보 활용ㆍ관리 실태에 대한 상시평가) ① 금융위원회는 대통령령으로 정하는 신용정보회사등이 제20조제6항에 따라 신용정보관리ㆍ보호인을 통하여 점검한 결과를 제출받아 확인하고, 그 결과를 점수 또는 등급으로 표시할 수 있다.
② 금융위원회는 제1항에 따라 표시한 점수 또는 등급, 그 밖에 대통령령으로 정하는 사항을 금융감독원장에게 송부하여 제45조제3항에 따른 검사에 활용하도록 할 수 있다.
③ 제1항에 따른 점검결과의 확인 및 점수ㆍ등급의 표시, 제2항에 따른 송부의 방법 및 절차 등에 대해서는 금융위원회가 정하여 고시한다.

 

신용정보법 시행령 제17조

제17조(신용정보관리ㆍ보호인의 지정 등)
⑦ 법 제20조제6항에서 “대통령령으로 정하는 신용정보회사등”이란 다음 각 호의 기관을 말한다.
1. 신용정보회사, 본인신용정보관리회사, 채권추심회사 및 신용정보집중기관
2. 제5조제2항제1호부터 제20호까지의 규정에 따른 금융기관(제14호, 제17호 및 제19호에 따른 금융기관은 제외한다)
3. 제21조제2항제4호, 제5호, 제8호, 제16호, 제18호 및 제19호(직전 사업연도 말 기준으로 총 자산이 100억원을 초과하는 기관에 한정한다)의 기관
4. 그 밖에 금융위원회가 정하여 고시하는 기관
⑧ 법 제20조제6항에서 “대통령령으로 정하는 절차와 방법”이란 신용정보관리ㆍ보호인이 법 제20조제4항제1호 각 목에 따른 업무에 대하여 연 1회 이상 점검을 실시한 후, 그 결과를 대표자 및 이사회에 보고하고 금융위원회가 정하여 고시하는 기준과 서식에 따라 금융위원회에 제출하는 것을 말한다.

 

신용정보법 시행령 제37조

제37조(권한의 위임 또는 위탁)
⑥ 금융위원회는 법 제49조에 따라 다음 각 호의 업무를 금융보안원에 위탁한다.
1. 법 제20조제6항에 따른 개인신용정보의 관리 및 보호 실태 점검 결과의 접수
2. 법 제45조의5제1항에 따른 신용정보관리ㆍ보호인의 점검 결과 제출의 확인, 그 결과의 점수 또는 등급 표시 및 같은 조 제2항에 따른 그 결과의 송부
⑦ 금융감독원장, 종합신용정보집중기관, 데이터전문기관, 신용정보협회 및 금융보안원은 제2항부터 제6항까지의 규정에 따라 위탁받은 업무의 처리 내용을 6개월마다 금융위원회에 보고해야 한다.

 

신용정보업감독규정 제22조의2

제22조의2(신용정보관리·보호인의 지정대상 등) ① 영 제17조제2항제3호 후단에 따라 상시 종업원 수를 산정하는 경우「소득세법」에 따른 원천징수의무자가 근로소득세를 원천징수한 자의 수로 한다.
② 종합신용정보집중기관의 신용정보관리·보호인은 법 제20조제5항에 따라 보고서를 대표자 및 이사회에 보고하기 전에 영 제17조제8항에 따른 신용정보집중관리위원회(이하 "신용정보집중관리위원회"라 한다)에 보고하여야 한다.
법 제20조제6항에 따라 신용정보관리·보호인은 다음 각 호의 사항을 당해 연도 1분기 말일까지 별지 제8호의3 서식에 따라 영 제36조의5제4항의 기관에 제출하여야 한다.
1. 신용정보관리·보호인이 직전 연도 중 법 제20조제4항제1호의 업무를 수행한 실적
2. 제1호의 실적을 기재한 보고서를 대표이사 또는 대표자 및 이사회에 보고한 실적

※ (사견) 참고로 신용정보업감독규정 제22조의2제3항에 명시된 "영 제36조의5제4항" 부분이 잘못된 생각이 듬. 찾아보면, 해당 조항이 없음............아마도, 추측컨데 영 제37조제6항이 맞지 않을까함.

 

[첨부] 별표8호의3 서식

[별지 8의3] 신용정보관리ㆍ보호인의 점검 결과(제22조의2제3항 관련).hwp
0.01MB

신용정보업감독규정 제45조의2

제45조의2(개인신용정보 활용·관리 실태에 대한 상시평가) ① 법 제45조의5제3항에 따른 점검결과의 확인 및 점수·등급의 표시, 송부의 방법 및 절차 등(이하 "상시평가"라 한다)은 다음 각 호와 같다.
1. 법 제20조제6항에 따른 신용정보관리·보호인은 제22조의2제3항에 따른 점검 결과를 컴퓨터 등 정보처리가 가능한 형태로 전송한다.
2. 금융보안원은 제1호에 따른 점검 결과를 제출받아 서면점검하여 점수 또는 등급으로 표시한다.
3. 금융보안원은 금융위원회가 승인한 사항을 금융감독원장에게 컴퓨터 등 정보처리가 가능한 형태로 송부할 수 있다.
② 금융위원회는 법 제45조의5제1항의 업무를 공정하고 객관적으로 운영하기 위하여 금융보안원에 다음 각 호의 업무를 수행하는 상시평가위원회를 둘 수 있다.
1. 영 제17조제8항에 따른 기준 및 관련 서식의 제·개정(법 제20조제4항제1호 각 목의 사항을 포함하여 제·개정)
2. 상시평가 절차·방법 등 중요 사항의 심의
3. 상시평가 결과의 점수·등급 표시 방안의 심의
4. 영 제36조의5제3항에 따른 인증마크의 부여 및 취소의 세부 기준·방법·절차 등 중요 사항의 심의
③ 제2항에 따른 상시평가위원회는 금융위원회에 제2항 각 호의 사항에 대한 의견을 제시할 수 있다.

[미준수 시 제재]

 

신용정보법 제20조제6항

제52조(과태료)
② 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.
1. 제12조를 위반하여 허가받은 신용정보회사, 본인신용정보관리회사, 채권추심회사 또는 신용정보집중기관이 아님에도 불구하고 상호 또는 명칭 중에 신용정보ㆍ신용조사ㆍ개인신용평가ㆍ신용관리ㆍ마이데이터(MyData)ㆍ채권추심 또는 이와 비슷한 명칭을 사용한 자
2. 제15조제2항을 위반한 자
2의2. 제17조의2제2항을 위반하여 가명처리 또는 익명처리가 되지 아니한 상태로 전달한 자
3. 제19조를 위반한 자
4. 제20조제6항을 위반한 자

 

저작자표시 비영리 동일조건

'F-GRC > FSI' 카테고리의 다른 글

금융분야 클라우드컴퓨팅서비스 이용 가이드 (2022.11)  (0) 2022.11.25

+ Recent posts

티스토리툴바