금융분야 클라우드컴퓨팅서비스 이용 가이드
From CS Wiki
개요[edit | edit source]
- 발행자: 금융보안원
- 발간일: 2019년 1월
목차[edit | edit source]
- 제1장 가이드 개요
- 제2장 클라우드서비스 이용 절차
- 제3장 업무 선정 및 평가
- 제4장 계획 수립
- 제5장 계약 준비
- 제6장 계약 체결
- 제7장 보고 및 이용
- 제8장 이용 종료
주요 내용[edit | edit source]
클라우드 이용 절차[edit | edit source]
사전 준비 - 계약 체결 - 보고 및 이용 - 이용 종료
절차 | 주요 활동 | 비고 |
---|---|---|
사전 준비 |
|
금융보안원 지원 |
계약 체결 |
|
|
보고 및 이용 |
|
금융감독원 보고 |
이용 종료 |
|
업무 선정 및 평가[edit | edit source]
- 이용대상 선정
- 금융회사는 정보처리업무 중 클라우드서비스 이용에 따른 효율성 등을 감안하여 이용대상을 선정
- 금융회사의 핵심 업무 수행을 위한 정보처리에 대해서는 효율성 이외에도 업무 중요도, 취급 정보의 민감도, 경영전략 등 다양한 요소를 종합적으로 고려
- 중요도 평가 실시
- 금융회사는 자체적으로 중요도 평가 기준을 수립하고, 클라우드서비스 이용 대상 업무에 대해 중요도 평가를 실시
- 고유식별정보 또는 개인신용정보 처리 시 중요 업무로 취급
- 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미칠 경우 중요 업무로 취급
계획 수립[edit | edit source]
- 업무 연속성 계획 수립
- 데이터 백업
- 훈련 및 사고 관리
- 출구 전략 수립 (업무 연속성 계획에 포함)
- 출구 전략 이행 지표 설정
- 출구 전략 이행 절차 정의
- 출구 전략 수립 관련 고려사항
- 안전성 확보조치 방안 수립
- 계정 관리
- 접근 통제
- 내부 시스템・단말기와의 연계
- 암호화 및 키 관리
- 로깅
- 가상 환경 보안
- 보안 모니터링 및 취약점 분석・평가
- 인적 보안
- 업무 위수탁 운영기준 마련
계약 준비[edit | edit source]
- 클라우드서비스 제공자 평가
- 정보보호위원회 심의・의결
계약 체결[edit | edit source]
- 서비스 위탁 관련 명시사항
- 서비스 범위 및 물리적 위치에 관한 사항
- 접근권 및 감사권 수용 의무에 관한 사항
- 재위탁 관리에 관한 사항
- 서비스 중지 등 서비스 수준에 관한 사항
- 보안 관련 명시사항
- 데이터 관리 및 보호에 관한 사항
- 사고대응 및 취약점 분석・평가에 관한 사항
- 기타 보안요구사항
- 출구 전략 이행을 위한 명시사항
- 책임관계 명확화
- 대외적 책임(금융소비자 피해 발생 시 손해배상 책임)
- 계약 당사자간 책임관계(금융회사와 클라우드서비스 제공자간)
보고 및 이용[edit | edit source]
- 서류 구비 및 사전 보고
- 서류 최신성 유지 및 수시 보고
- 리스크 관리
이용 종료[edit | edit source]
- 수립한 출구 전략에 의거하여 데이터 이전 및 파기 등을 실시