오늘은 클라우드컴퓨팅 서비스 이용보고에 대해 설명드리려고 해요.
클라우드컴퓨팅 이용보고란 무엇인가!
금융권에서 퍼블릭 클라우드를 이용해 시스템을 구축하고 이용할 경우 금융감독원에 보고해야 하는데요.
이는 『전자금융감독규정』 제14조의2(클라우드컴퓨팅서비스 이용절차 등)에 근거해서 진행하고 있습니다.
클라우드컴퓨팅 서비스 이용 절차는 크게
'사전 준비 > 계약 체결 > 보고 및 이용 > 이용 종료' 의 순서로 진행됩니다.
금융감독원 보고 시 필요 서류는 다음과 같습니다.
1. 위탁계약서(안) 사본
2. 업무위수탁 운영 기준(『금융기관의 업무위탁 등에 관한 규정』 제3조의2 근거)
3. 업무위탁 계약이 위탁 규정 등 관련 법령에 위배되지 아니한다는 준법감시인(준법감시인이 없는 경우, 감사 등 이에 준하는 자)의 검토 의견 및 관련 자료 사본
4. 위탁의 필요성 및 기대효과
5. 위탁에 따른 업무처리 절차의 주요 변경 내용
6. 정보처리업무 운영에 대한 감독기관의 실질적 감독가능성을 확인할 수 있는 서류
7. 위탁계약 상대방(재위탁 예정시 재위탁 계약 상대방 포함)에 관한 사항(상호, 자본금, 규모, 소재지, 주된 업종, 개인의 경우 대표자 인적사항 등)
8. 전산사고 및 정보유출 등 발생시 피해구제 절차
9. 자체 중요도 평가 기준 및 결과
10. 업무연속성 계획 및 안전성 확보조치에 관한 사항
11. 정보보호위원회 심의/의결 결과
클라우드컴퓨팅 서비스의 중요도에 상관없이 관련 서류는 항상 최신화하여 구비해야 하고요.
고유식별정보 또는 개인신용정보를 처리하는 경우 또는 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 경우에는 이용일 기준 7영업일 이전 금융감독원에 보고해야 합니다.
비중요 업무의 경우에도 『금융기관의 업무위탁 등에 관한 규정』 제7조에 근거해서 위탁보고를 수행해야 합니다.
이 경우 위 서류의 '1'~'8'까지 준비하셔서 제출하셔야 합니다.
해당 내용은 금융보안원에서 발간한 『금융분야 클라우드컴퓨팅서비스 이용 가이드(2019.1)』을 참고하여 작성했습니다.
가이드 링크를 아래와 같이 첨부합니다.
https://www.fsec.or.kr/user/bbs/fsec/147/315/bbsDataView/1155.do?page=1&column=&search=&searchSDate=&searchEDate=&bbsDataCategory=
제14조의2(클라우드컴퓨팅서비스 이용절차 등) ① 금융회사 또는 전자금융업자는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다. <개정 2018. 12. 21.>
1. 자체적으로 수립한 기준에 따른 이용대상 정보처리시스템의 중요도 평가
2. <별표 2의2>의 항목을 포함한 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등 평가
3. <별표 2의3>에서 정하는 사항을 반영한 자체 업무 위수탁 운영기준의 마련 및 준수
② 금융회사 또는 전자금융업자는 제1항에 따른 평가결과 및 자체 업무 위수탁 운영기준에 대하여 제8조의2에 따른 정보보호위원회의 심의ㆍ의결을 거쳐야 한다. <개정 2018. 12. 21.>
③ 금융회사 또는 전자금융업자는 제1항제1호에 따라 다음 각 호의 어느 하나에 해당한다고 평가하는 경우에는 클라우드컴퓨팅서비스를 실제로 이용하려는 날의 7영업일 이전에 금융감독원장이 정하는 양식에 따라 제4항 각 호의 서류를 첨부하여 금융감독원장에게 보고하여야 한다. 이 경우 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조 제1항부터 제3항까지의 규정에 따라 보고한 것으로 본다. <개정 2018. 12. 21.>
1. 고유식별정보 또는 개인신용정보를 처리하는 경우
2. 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 경우
④ 제3항에 따라 금융감독원장에게 보고할 경우 첨부해야 하는 서류는 다음 각 호와 같다. <신설 2018. 12. 21.>
1. 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조제1항 각 호에 관한 서류
2. 제1항제1호에 따른 자체 중요도 평가 기준 및 결과
3. 클라우드컴퓨팅서비스 이용 관련 업무 연속성 계획 및 안전성 확보조치에 관한 사항
4. 제2항에 따른 정보보호위원회 심의ㆍ의결 결과
⑤ 클라우드컴퓨팅서비스를 이용하는 금융회사 또는 전자금융업자는 제3항에 따른 보고의무와 관계없이 제4항 각호에 따른 서류를 최신상태로 유지하여야 하며, 금융감독원장의 요청이 있을 경우 이를 지체 없이 제공하여야 한다. <신설 2018. 12. 21.>
⑥ 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 변경사항이 발생한 날로부터 7영업일 이내에 발생 사유, 관련 자료 및 대응계획을 첨부하여 금융감독원장에게 보고하여야 한다. <신설 2018. 12. 21.>
1. 클라우드컴퓨팅서비스 제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등의 사유로 클라우드컴퓨팅서비스 이용계약에 중대한 변경사항이 발생한 경우
2. 클라우드컴퓨팅서비스 제공자가 서비스품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우
3. 제4항제2호 또는 제3호에 관한 중대한 변경사항이 발생한 경우
⑦ 금융감독원장은 제3항 또는 제6항에 따라 제출한 보고 서류가 누락되거나, 중요도 평가 또는 업무연속성계획ㆍ안전성 확보조치 등이 충분하지 않다고 판단하는 경우에는 금융회사 또는 전자금융업자에 대하여 개선ㆍ보완을 요구할 수 있다. <개정 2018. 12. 21.>
⑧ 제2항의 절차를 거친 클라우드컴퓨팅서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조제11호 및 제12호, 제15조제1항제5호를 적용하지 아니한다. 다만, 금융회사 또는 전자금융업자(전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자는 제외한다)가 제3항제1호에 따른 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제11조제12호를 적용하고, 해당 정보처리시스템을 국내에 설치하여야 한다. <단서신설 2018. 12. 21.>
⑨ 그 밖에 금융회사 또는 전자금융업자의 클라우드컴퓨팅서비스 이용에 대해서는 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따른다. <신설 2018. 12. 21.>
[본조신설 2016. 10. 5.]
국가법령정보센터 > 전자금융감독규정(시행 2019. 1. 1)