1. 금융권 클라우드 관련 컴플라이언스 및 가이드
< 관련 컴플라이언스 >
- 클라우드법(클라우드 컴퓨팅 법)
- 전자 금융법
전자금융감독규정
www.law.go.kr
전자금융 감동 규정 해설서 -
- 금융회사 및 전자금융업자는 클라우드컴퓨팅 등을 이용하기 위하여 고유식별정보 및 「신용 정보의 이용 및 보호에 관한 법률」에 따른 개인신용정보를 제외한 정보를 처리하는 시스템을 비중요 정보처리시스템으로 지정할 수 있음
- 전산실 및 재해복구센터의 국내 설치(제11조제11호), 무선통신망의 설치 금지 (제11조제12호) 및 전산센터 물리적망분리(제15조제1항제5호) 규정의 적용을 받지 않을 수 있음
- 클라우드컴퓨팅 서비스 이용을 위해 반드시 비중요정보처리시스템의 지정이 필요한 것은 아니며, 비중요정보처리시스템 지정시 적용되지 않는 규정(제11조제11호 및 제12호, 제15조제1항제5호) 및 전자금융감독규정시행세칙 제2조의2(망분리 예외 적용시) 등을 모두 준수할 경우 비중요정보처리시스템의 지정 없이 클라우드컴퓨팅 서비스 이용이 가능
- 또한 개인의 고유식별정보와 신용정보법에 의한 개인신용정보를 법규상 절차에 따라 비식별화 조치를 한 경우에도 비중요정보처리시스템으로 지정 가능
- 논리적 및 물리적 망분리를 함에 있어 클라우드컴퓨팅서비스를 이용한 인터넷망 구성이 「전자금융감독 규정」상 망분리 규정을 충족하는지 여부
- 「전자금융감독규정」 제15조제1항에서는 전자금융거래의 안전성 학보를 위해 정보처리시스템 및 정보통신 망의 해킹 방지를 위해 내부 업무용시스템은 인터넷 등 외부통신망과 분리・차단하도록 하고 있고, 전산실 내에 위치한 정보처리시스템과 이에 접속하는 단말기는 외부통신망과 물리적으로 분리를 하도록 하고 있으나, 망분리 방식을 특정하고 있지는 않습니다. 따라서 클라우드컴퓨팅서비스 이용 여부와 상관없이 망구성만으로 망분리 규정 만족 여부를 판단하시면 됩니다. 다만, 망분리를 위한 시스템 설치 및 운영을 외부업체에 위탁할 경우, 「전자금융거래법」 제40조제6항의 정보보호 관련 업무 재위탁 금지, 「전자금융감독규정」 제15조제2항의 정보보호시스템의 설치 및 운영기준, 같은 규정 제60조의 외부주문등에 대한 기준 및 「금융회사의 정보처리 업무 위탁에 관한 규정」 등 관련 규정을 준수하여야 할 것입니다.
- 「전자금융감독규정」상 망분리 방식은 특정하고 있지 않으며, 금융회사가 적절한 방식을 선택할 수 있다.
- 데이터 3법(개인정보보호법, 신용정보법, 정보통신망법)
< 가이드 >
- 금융보안원 - 금융분야 클라우드컴퓨팅서비스 이용 가이드(2019)
- KISA - 클라우드 취약점 점검 가이드
https://isms.kisa.or.kr/main/csap/notice/
KISA 정보보호 및 개인정보보호관리체계 인증
isms.kisa.or.kr
- KISA - 클라우드 서비스 보안인증제도 평가기준 해설서(2020.11)
https://isms.kisa.or.kr/main/csap/notice/
KISA 정보보호 및 개인정보보호관리체계 인증
isms.kisa.or.kr
- 망분리
2. 금융권 클라우드 동향
https://home.kpmg/kr/ko/home/insights/2020/03/issue-monitor-123.html
구름 위의 혁신: 금융권을 중심으로 본 클라우드 활용
클라우드 컴퓨팅은 데이터 활용 수요 증대에 따라, 비즈니스 적시성 향상과 초기 투자 비용 절감이라는 장점으로 인해 시장 규모가 지속적으로 늘어나고 있습니다.
home.kpmg
'클라우드' 카테고리의 다른 글
| SaaS보안 (0) | 2022.10.24 |
|---|---|
| 베어메탈(Baremetal Server) (0) | 2022.03.11 |
| 테라폼 - 기초 튜토리얼 (0) | 2022.03.11 |
| 클라우드 환경 망구성(보안장비&네트워크) (0) | 2021.10.17 |
| KISA - 클라우드 보안인증제 (0) | 2021.08.30 |
