본문 바로가기
IT/밥벌이 보안

[금융권] 클라우드 컴퓨팅 이용 가이드

by Work_Asalia 2021. 11. 22.

1. 클라우드 컴퓨팅 이용 절차

1) 금융회사는 클라우드서비스 이용 시 다음 절차에 따라 필요한 조치를 수행함으로써 감독규정 제14조의2(클라우드서스 이용 절차)를 준수하고 적절한 보안수준을 확보하여야 한다.

클라우드 컴퓨팅 이용 가이드
클라우드 컴퓨팅 이용 가이드

2. 클라우드 이용 보고 관련 제출 서류 리스크에 대한 간략 설명

1) 클라우드 컴퓨팅 서비스 이용대상 정보처리시스템 지정 보고서에 대한 내용

  •  현재 서비스 하려고 하는 서비스에 대한 전체적인 시스템, 개요, 처리 절차, 시스템 개요, 계약 관련 내용, 책임자 등을 한개의 보고서 형식으로 작성

2) 금융 회사의 정보처리 업무 위탁에 관한 규정 제 7조1항 각호에 대한 서류

1. 위탁계약서(안) 사본 
 - > CSP와의 계약서 사본

2. 「금융기관의 업무위탁 등에 관한 규정」 제3조의2에 따라 금융기관이 마련하고 준수하여야 할 ‘업무위수탁 운영기준’ 
 -> 내부 위수탁 관련 정책


3. 업무위탁 계약이 이 규정 등 관련법령에 위배되지 아니한다는 준법감시인(준법감시인이 없는 경우, 감사 등 이에 준하는 자)의 검토의견 및 관련자료 사본 
 -> 내부 준법감시인 검토 의견 사본


4. 위탁의 필요성 및 기대효과 
 -> 위수탁에 대한 기대효과에 대한 내용


5. 위탁에 따른 업무처리절차의 주요 변경내용 
 -> 위탁 업무 진행 절차


6. 정보처리업무 운영에 대한 감독기관의 실질적 감독가능성을 확인할 수 있는 서류 
 -> CSP에 요청(사건 사고 또는 관련된 내용에 대해서 감독이 필요할 경우 수용한다는 서류


7. 위탁계약 상대방(재위탁 예정시 재위탁계약 상대방 포함)에 관한 사항(상호, 자본금 규모, 소재지, 주된 업종, 개인의 경우 대표자 인적사항 등)
 -> CSP의 재정관련 사항


8. 전산사고 및 정보유출 등 발생시 피해자 구제절차
 -> 사건 사고에 대한 구제절차 내용

3) 클라우드컴퓨팅서비스 이용 대상 정보처리시스템 중요도 평가 기준 및 평가결과

  • 내부에 정의되어 있는 중요도 평가 정책에 따라 해당 서비스를 평가하고 승인 받은 내용

4) 클라우드컴퓨팅서비스 이용관련 업무 연속성 계획 및 안전성 확보조치에 관한 사항

  • 업무 연속성 계획은 내부 정책을 기반으로 클라우드 서비스에 맞게 재정의
  • 안전성 확보조치 사항에 대해서 클라우드 서비스에 맞춰서 체크(적합, 부적합) 및 증적 필요

5) 클라우드컴퓨팅서비스 이용대상 정보처리 시스템 중요도와 클라우드컴퓨팅 서비스 제공자의 전성성,안전성 등 평가결과 및 자체 업무 위수탁 운영기준에 대한 정보보호위원회 심의 의결 결과(회의록 포함)

  • 내부 정보보호 심의 의원회 통과된 승인 문서

6) 클라우드 컴퓨팅서비스 제공자의 건정성 및 안전성 등 평가

  • CSP 건전성 평가 결과는 CSP에 요청
  • CSP 기본보호조치 평가 결과는 예외처리 가능(보안 인증 취득 내용)

    기본보호조치
    생략 가능
    국내외 인증    		 국내
    -클라우드 서비스 보안인증제(CSAP) (Naver Cloud, NHN Cloud, KT Cloud)
    해외
    - FedRAMP(High) (미국) (Google, AWS, Azure)
    - CSA STAR Certification(Gold) (Global) (Azure, AWS)
    - MTCS(Level 3) (싱가포르) (Azure, AWS)

    클라우드 컴퓨팅 이용 가이드
    클라우드 컴퓨팅 이용 가이드
  • CSP 금융부문 추가 보호조치 평가 결과는 금감원 통하여 해당 금융권이 CSP와의 안정 점검을 통해서 진행 (대표 점검)
    클라우드 컴퓨팅 이용 가이드
    클라우드 컴퓨팅 이용 가이드

https://www.fsec.or.kr/user/bbs/fsec/147/315/bbsDataView/1155.do?page=1&column=&search=&searchSDate=&searchEDate=&bbsDataCategory=

 

위 클라우드 이용 보고의 경우 서비스 이용일 7일 완료해야 한다고 되어 있습니다.

그러나 금융보안원 평가 인력이 한정되어 있기 때문에 최소 3~4개월 이전에 미리 연락해보고 일정을 확인하는 것이 좋습니다.

다른 사람들이 흥미롭게 읽은 포스팅

728x90
저작자표시 변경금지

'IT > 밥벌이 보안' 카테고리의 다른 글

패스워드(암호) 관리 정책에 대해서  (0) 2021.08.22
통신보안인증- GSMA SAS 인증  (0) 2021.08.22
정보보안 인증 - PCI DSS(카드 데이터)  (0) 2021.08.22
정보보안 관련 인증-ISO27001:2013  (0) 2021.08.22
[개인 시선] 일상적인 보안 활동_업무중  (0) 2021.08.22

관련글

댓글

티스토리툴바