금융분야 클라우드컴퓨팅서비스 이용 가이드: Difference between revisions
From CS Wiki
(새 문서: 분류:금융 == 개요 == * 발행자: 금융보안원 * 발간일: 2019년 1월 == 목차 == * 제1장 가이드 개요 * 제2장 클라우드서비스 이용 절차 * 제3장...) |
No edit summary |
||
Line 1: | Line 1: | ||
[[분류:금융]] | [[분류:금융]] | ||
== 개요 == | ==개요== | ||
*발행자: 금융보안원 | |||
*발간일: 2019년 1월 | |||
* | |||
* | |||
== 주요 내용 == | ==목차== | ||
=== 클라우드 이용 절차 === | |||
*제1장 가이드 개요 | |||
*제2장 클라우드서비스 이용 절차 | |||
*제3장 업무 선정 및 평가 | |||
*제4장 계획 수립 | |||
*제5장 계약 준비 | |||
*제6장 계약 체결 | |||
*제7장 보고 및 이용 | |||
*제8장 이용 종료 | |||
==주요 내용== | |||
===클라우드 이용 절차=== | |||
'''사전 준비 - 계약 체결 - 보고 및 이용 - 이용 종료''' | |||
{| class="wikitable" | |||
|+ | |||
!절차 | |||
!주요 활동 | |||
!비고 | |||
|- | |||
|사전 준비 | |||
| | |||
* 이용 대상 선정 및 중요도 평가 | |||
* 업무연속성 계획 및 안전성확보조치 방안 수립 | |||
* 업무 위수탁 운영기준 보완 | |||
* 제공자 후보 선정 및 평가 | |||
* 정보보호위원회 심의·의결 | |||
|금융보안원 지원 | |||
|- | |||
|계약 체결 | |||
| | |||
* 클라우드서비스 이용 계약 체결 | |||
| | |||
|- | |||
|보고 및 이용 | |||
| | |||
* 서류 구비 및 사전 보고 | |||
* 서류 최신성 유지 및 수시 보고 | |||
|금융감독원 보고 | |||
|- | |||
|이용 종료 | |||
| | |||
* 출구 전략 이행 | |||
| | |||
|} | |||
=== 업무 선정 및 평가 === | |||
* '''이용대상 선정''' | |||
** 금융회사는 정보처리업무 중 클라우드서비스 이용에 따른 효율성 등을 감안하여 이용대상을 선정 | |||
** 금융회사의 핵심 업무 수행을 위한 정보처리에 대해서는 효율성 이외에도 업무 중요도, 취급 정보의 민감도, 경영전략 등 다양한 요소를 종합적으로 고려 | |||
* '''중요도 평가 실시''' | |||
** 금융회사는 자체적으로 중요도 평가 기준을 수립하고, 클라우드서비스 이용 대상 업무에 대해 중요도 평가를 실시 | |||
** 고유식별정보 또는 개인신용정보 처리 시 중요 업무로 취급 | |||
** 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미칠 경우 중요 업무로 취급 | |||
=== 계획 수립 === | |||
* 업무 연속성 계획 수립 | |||
** 데이터 백업 | |||
** 훈련 및 사고 관리 | |||
* 출구 전략 수립 (업무 연속성 계획에 포함) | |||
** 출구 전략 이행 지표 설정 | |||
** 출구 전략 이행 절차 정의 | |||
** 출구 전략 수립 관련 고려사항 | |||
* 안전성 확보조치 방안 수립 | |||
** 계정 관리 | |||
** 접근 통제 | |||
** 내부 시스템・단말기와의 연계 | |||
** 암호화 및 키 관리 | |||
** 로깅 | |||
** 가상 환경 보안 | |||
** 보안 모니터링 및 취약점 분석・평가 | |||
** 인적 보안 | |||
* 업무 위수탁 운영기준 마련 | |||
=== 계약 준비 === | |||
* 클라우드서비스 제공자 평가 | |||
* 정보보호위원회 심의・의결 | |||
=== 계약 체결 === | |||
* 서비스 위탁 관련 명시사항 | |||
** 서비스 범위 및 물리적 위치에 관한 사항 | |||
** 접근권 및 감사권 수용 의무에 관한 사항 | |||
** 재위탁 관리에 관한 사항 | |||
** 서비스 중지 등 서비스 수준에 관한 사항 | |||
* 보안 관련 명시사항 | |||
** 데이터 관리 및 보호에 관한 사항 | |||
** 사고대응 및 취약점 분석・평가에 관한 사항 | |||
** 기타 보안요구사항 | |||
* 출구 전략 이행을 위한 명시사항 | |||
* 책임관계 명확화 | |||
** 대외적 책임(금융소비자 피해 발생 시 손해배상 책임) | |||
** 계약 당사자간 책임관계(금융회사와 클라우드서비스 제공자간) | |||
=== 보고 및 이용 === | |||
* 서류 구비 및 사전 보고 | |||
* 서류 최신성 유지 및 수시 보고 | |||
* 리스크 관리 | |||
=== 이용 종료 === | |||
* 수립한 출구 전략에 의거하여 데이터 이전 및 파기 등을 실시 | |||
== 가이드 원본 보기 == | |||
* [https://www.fsec.or.kr/user/bbs/fsec/147/315/bbsDataView/1155.do 금융보안원 가이드 자료실] |
Latest revision as of 01:48, 10 May 2020
개요[edit | edit source]
- 발행자: 금융보안원
- 발간일: 2019년 1월
목차[edit | edit source]
- 제1장 가이드 개요
- 제2장 클라우드서비스 이용 절차
- 제3장 업무 선정 및 평가
- 제4장 계획 수립
- 제5장 계약 준비
- 제6장 계약 체결
- 제7장 보고 및 이용
- 제8장 이용 종료
주요 내용[edit | edit source]
클라우드 이용 절차[edit | edit source]
사전 준비 - 계약 체결 - 보고 및 이용 - 이용 종료
절차 | 주요 활동 | 비고 |
---|---|---|
사전 준비 |
|
금융보안원 지원 |
계약 체결 |
|
|
보고 및 이용 |
|
금융감독원 보고 |
이용 종료 |
|
업무 선정 및 평가[edit | edit source]
- 이용대상 선정
- 금융회사는 정보처리업무 중 클라우드서비스 이용에 따른 효율성 등을 감안하여 이용대상을 선정
- 금융회사의 핵심 업무 수행을 위한 정보처리에 대해서는 효율성 이외에도 업무 중요도, 취급 정보의 민감도, 경영전략 등 다양한 요소를 종합적으로 고려
- 중요도 평가 실시
- 금융회사는 자체적으로 중요도 평가 기준을 수립하고, 클라우드서비스 이용 대상 업무에 대해 중요도 평가를 실시
- 고유식별정보 또는 개인신용정보 처리 시 중요 업무로 취급
- 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미칠 경우 중요 업무로 취급
계획 수립[edit | edit source]
- 업무 연속성 계획 수립
- 데이터 백업
- 훈련 및 사고 관리
- 출구 전략 수립 (업무 연속성 계획에 포함)
- 출구 전략 이행 지표 설정
- 출구 전략 이행 절차 정의
- 출구 전략 수립 관련 고려사항
- 안전성 확보조치 방안 수립
- 계정 관리
- 접근 통제
- 내부 시스템・단말기와의 연계
- 암호화 및 키 관리
- 로깅
- 가상 환경 보안
- 보안 모니터링 및 취약점 분석・평가
- 인적 보안
- 업무 위수탁 운영기준 마련
계약 준비[edit | edit source]
- 클라우드서비스 제공자 평가
- 정보보호위원회 심의・의결
계약 체결[edit | edit source]
- 서비스 위탁 관련 명시사항
- 서비스 범위 및 물리적 위치에 관한 사항
- 접근권 및 감사권 수용 의무에 관한 사항
- 재위탁 관리에 관한 사항
- 서비스 중지 등 서비스 수준에 관한 사항
- 보안 관련 명시사항
- 데이터 관리 및 보호에 관한 사항
- 사고대응 및 취약점 분석・평가에 관한 사항
- 기타 보안요구사항
- 출구 전략 이행을 위한 명시사항
- 책임관계 명확화
- 대외적 책임(금융소비자 피해 발생 시 손해배상 책임)
- 계약 당사자간 책임관계(금융회사와 클라우드서비스 제공자간)
보고 및 이용[edit | edit source]
- 서류 구비 및 사전 보고
- 서류 최신성 유지 및 수시 보고
- 리스크 관리
이용 종료[edit | edit source]
- 수립한 출구 전략에 의거하여 데이터 이전 및 파기 등을 실시