1. 정보통신망을 이용하여 신규전자금융업무를 수행하는 경우 <별표 1>의 기준에 따라 보안성심의를 실시한 후 정보보호최고책임자의 승인을 받을 것
2. 공동으로 전자금융거래 관련 표준을 제정하는 경우 <별표 1의2>의 기준에 따라 보안성심의를 실시할 것(다만, 이 경우 특정 금융회사 또는 전자금융업자가 다른 금융회사등을 대표하여 규정 제36조제2항에 따른 자체 보안성심의 결과보고서를 제출할 수 있음).<개정2014. 3. 31., 2016. 7. 27.>
② 금융회사또는자금융업자가규 제36조제항에따라제출하는자체보안성심의결과보고서의양식은제항제호의경우별지제3호서식에,제항제호의경우별지제호서식에각각따른다[]<개정2014. 3. 31., 2016. 7. 27.>
③ 금융회사 또는 전자금융업자는 제1항에 따른 자체 보안성심의를 수행함에 있어 필요한 경우 규정 제37조의4제1항의 침해사고대응기관, 「정보통신기반보호법」 제16조제1항의 정보공유ㆍ분석센터 등 외부기관에 보안대책의 적정성 여부 등에 대한 검토를 의뢰할 수 있다.<신설 2014. 3. 31.>
④ 규정 제36조 제2항 단서에서 "금융감독원장이 인정하는 기준"이란 다음 각 호에서 정하는 요건을 충족하는 것을 말한다.<신설 2016. 5. 12.>
1. 전자금융업자 : 법 제28조에 따라 금융위원회로부터 허가를 받았거나 금융위원회에 등록한 날 및 전자금융업무를 신규로 수행한 날로부터 1년이 경과하였을 것.