금융분야 클라우드컴퓨팅서비스 이용 가이드: Difference between revisions

From CS Wiki
(새 문서: 분류:금융 == 개요 == * 발행자: 금융보안원 * 발간일: 2019년 1월 == 목차 == * 제1장 가이드 개요 * 제2장 클라우드서비스 이용 절차 * 제3장...)
 
No edit summary
 
Line 1: Line 1:
[[분류:금융]]
[[분류:금융]]


== 개요 ==
==개요==
* 발행자: 금융보안원
* 발간일: 2019년 1월


== 목차 ==
*발행자: 금융보안원
* 제1장 가이드 개요
*발간일: 2019년 1월
* 제2장 클라우드서비스 이용 절차
* 제3장 업무 선정 및 평가
* 제4장 계획 수립
* 제5장 계약 준비
* 제6장 계약 체결
* 제7장 보고 및 이용
* 제8장 이용 종료


== 주요 내용 ==
==목차==
=== 클라우드 이용 절차 ===
 
* 사전 준비 - 계약 체결 - 보고 및 이용 - 이용 종료
*제1장 가이드 개요
*제2장 클라우드서비스 이용 절차
*제3장 업무 선정 및 평가
*제4장 계획 수립
*제5장 계약 준비
*제6장 계약 체결
*제7장 보고 및 이용
*제8장 이용 종료
 
==주요 내용==
===클라우드 이용 절차===
'''사전 준비 - 계약 체결 - 보고 및 이용 - 이용 종료'''
{| class="wikitable"
|+
!절차
!주요 활동
!비고
|-
|사전 준비
|
* 이용 대상 선정 및 중요도 평가
* 업무연속성 계획 및 안전성확보조치 방안 수립
* 업무 위수탁 운영기준 보완
* 제공자 후보 선정 및 평가
* 정보보호위원회 심의·의결
|금융보안원 지원
|-
|계약 체결
|
* 클라우드서비스 이용 계약 체결
|
|-
|보고 및 이용
|
* 서류 구비 및 사전 보고
* 서류 최신성 유지 및 수시 보고
|금융감독원 보고
|-
|이용 종료
|
* 출구 전략 이행
|
|}
 
=== 업무 선정 및 평가 ===
 
* '''이용대상 선정'''
** 금융회사는 정보처리업무 중 클라우드서비스 이용에 따른 효율성 등을 감안하여 이용대상을 선정
** 금융회사의 핵심 업무 수행을 위한 정보처리에 대해서는 효율성 이외에도 업무 중요도, 취급 정보의 민감도, 경영전략 등 다양한 요소를 종합적으로 고려
* '''중요도 평가 실시'''
** 금융회사는 자체적으로 중요도 평가 기준을 수립하고, 클라우드서비스 이용 대상 업무에 대해 중요도 평가를 실시
** 고유식별정보 또는 개인신용정보 처리 시 중요 업무로 취급
** 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미칠 경우 중요 업무로 취급
 
=== 계획 수립 ===
 
* 업무 연속성 계획 수립
** 데이터 백업
** 훈련 및 사고 관리
* 출구 전략 수립 (업무 연속성 계획에 포함)
** 출구 전략 이행 지표 설정
** 출구 전략 이행 절차 정의
** 출구 전략 수립 관련 고려사항
* 안전성 확보조치 방안 수립
** 계정 관리
** 접근 통제
** 내부 시스템・단말기와의 연계
** 암호화 및 키 관리
** 로깅
** 가상 환경 보안
** 보안 모니터링 및 취약점 분석・평가
** 인적 보안
* 업무 위수탁 운영기준 마련
 
=== 계약 준비 ===
 
* 클라우드서비스 제공자 평가
* 정보보호위원회 심의・의결
 
=== 계약 체결 ===
 
* 서비스 위탁 관련 명시사항
** 서비스 범위 및 물리적 위치에 관한 사항
** 접근권 및 감사권 수용 의무에 관한 사항
** 재위탁 관리에 관한 사항
** 서비스 중지 등 서비스 수준에 관한 사항
* 보안 관련 명시사항
** 데이터 관리 및 보호에 관한 사항
** 사고대응 및 취약점 분석・평가에 관한 사항
** 기타 보안요구사항
* 출구 전략 이행을 위한 명시사항
* 책임관계 명확화
** 대외적 책임(금융소비자 피해 발생 시 손해배상 책임)
** 계약 당사자간 책임관계(금융회사와 클라우드서비스 제공자간)
 
=== 보고 및 이용 ===
 
* 서류 구비 및 사전 보고
* 서류 최신성 유지 및 수시 보고
* 리스크 관리
 
=== 이용 종료 ===
 
* 수립한 출구 전략에 의거하여 데이터 이전 및 파기 등을 실시
 
== 가이드 원본 보기 ==
 
* [https://www.fsec.or.kr/user/bbs/fsec/147/315/bbsDataView/1155.do 금융보안원 가이드 자료실]

Latest revision as of 01:48, 10 May 2020


개요[edit | edit source]

  • 발행자: 금융보안원
  • 발간일: 2019년 1월

목차[edit | edit source]

  • 제1장 가이드 개요
  • 제2장 클라우드서비스 이용 절차
  • 제3장 업무 선정 및 평가
  • 제4장 계획 수립
  • 제5장 계약 준비
  • 제6장 계약 체결
  • 제7장 보고 및 이용
  • 제8장 이용 종료

주요 내용[edit | edit source]

클라우드 이용 절차[edit | edit source]

사전 준비 - 계약 체결 - 보고 및 이용 - 이용 종료

절차 주요 활동 비고
사전 준비
  • 이용 대상 선정 및 중요도 평가
  • 업무연속성 계획 및 안전성확보조치 방안 수립
  • 업무 위수탁 운영기준 보완
  • 제공자 후보 선정 및 평가
  • 정보보호위원회 심의·의결
금융보안원 지원
계약 체결
  • 클라우드서비스 이용 계약 체결
보고 및 이용
  • 서류 구비 및 사전 보고
  • 서류 최신성 유지 및 수시 보고
금융감독원 보고
이용 종료
  • 출구 전략 이행

업무 선정 및 평가[edit | edit source]

  • 이용대상 선정
    • 금융회사는 정보처리업무 중 클라우드서비스 이용에 따른 효율성 등을 감안하여 이용대상을 선정
    • 금융회사의 핵심 업무 수행을 위한 정보처리에 대해서는 효율성 이외에도 업무 중요도, 취급 정보의 민감도, 경영전략 등 다양한 요소를 종합적으로 고려
  • 중요도 평가 실시
    • 금융회사는 자체적으로 중요도 평가 기준을 수립하고, 클라우드서비스 이용 대상 업무에 대해 중요도 평가를 실시
    • 고유식별정보 또는 개인신용정보 처리 시 중요 업무로 취급
    • 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미칠 경우 중요 업무로 취급

계획 수립[edit | edit source]

  • 업무 연속성 계획 수립
    • 데이터 백업
    • 훈련 및 사고 관리
  • 출구 전략 수립 (업무 연속성 계획에 포함)
    • 출구 전략 이행 지표 설정
    • 출구 전략 이행 절차 정의
    • 출구 전략 수립 관련 고려사항
  • 안전성 확보조치 방안 수립
    • 계정 관리
    • 접근 통제
    • 내부 시스템・단말기와의 연계
    • 암호화 및 키 관리
    • 로깅
    • 가상 환경 보안
    • 보안 모니터링 및 취약점 분석・평가
    • 인적 보안
  • 업무 위수탁 운영기준 마련

계약 준비[edit | edit source]

  • 클라우드서비스 제공자 평가
  • 정보보호위원회 심의・의결

계약 체결[edit | edit source]

  • 서비스 위탁 관련 명시사항
    • 서비스 범위 및 물리적 위치에 관한 사항
    • 접근권 및 감사권 수용 의무에 관한 사항
    • 재위탁 관리에 관한 사항
    • 서비스 중지 등 서비스 수준에 관한 사항
  • 보안 관련 명시사항
    • 데이터 관리 및 보호에 관한 사항
    • 사고대응 및 취약점 분석・평가에 관한 사항
    • 기타 보안요구사항
  • 출구 전략 이행을 위한 명시사항
  • 책임관계 명확화
    • 대외적 책임(금융소비자 피해 발생 시 손해배상 책임)
    • 계약 당사자간 책임관계(금융회사와 클라우드서비스 제공자간)

보고 및 이용[edit | edit source]

  • 서류 구비 및 사전 보고
  • 서류 최신성 유지 및 수시 보고
  • 리스크 관리

이용 종료[edit | edit source]

  • 수립한 출구 전략에 의거하여 데이터 이전 및 파기 등을 실시

가이드 원본 보기[edit | edit source]