전자금융감독규정 제13조

내용

제13조(전산자료 보호대책)

• ① 금융회사 또는 전자금융업자는 전산자료의 유출, 파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호대책을 수립ㆍ운용하여야 한다.<개정 2013. 12. 3.>
  • 1. 사용자계정과 비밀번호를 개인별로 부여하고 등록ㆍ변경ㆍ폐기를 체계적으로 관리할 것
  • 2. 외부사용자에게 사용자계정을 부여하는 경우 최소한의 작업권한만 할당하고 적절한 통제장치를 갖출 것
  • 3. 전산자료의 보유현황을 관리하고 책임자를 지정ㆍ운영할 것
  • 4. 전산자료의 입력ㆍ출력ㆍ열람을 함에 있어 사용자의 업무별로 접근권한을 통제할 것
  • 5. 전산자료 및 전산장비의 반출ㆍ반입을 통제할 것
  • 6. 비상시에 대비하여 보조기억매체 등 전산자료에 대한 안전지출 및 긴급파기 계획을 수립ㆍ운용할 것<개정 2013. 12. 3.>
  • 7. 정기적으로 보조기억매체의 보유 현황 및 관리실태를 점검하고 책임자의 확인을 받을 것
  • 8. 중요도에 따라 전산자료를 정기적으로 백업하여 원격 안전지역에 소산하고 백업내역을 기록ㆍ관리할 것
  • 9. 주요 백업 전산자료에 대하여 정기적으로 검증할 것
  • 10. 이용자 정보의 조회ㆍ출력에 대한 통제를 하고 테스트 시 이용자 정보 사용 금지(다만, 법인인 이용자 정보는 금융감독원장이 정하는 바에 따라 이용자의 동의를 얻은 경우 테스트 시 사용 가능하며, 그 외 부하 테스트 등 이용자 정보의 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제하여야 한다)<개정 2013. 12. 3., 2016. 10. 5.>
  • 11. 정보처리시스템의 가동기록은 1년 이상 보존할 것
  • 12. 정보처리시스템 접속 시 5회 이내의 범위에서 미리 정한 횟수 이상의 접속 오류가 발생하는 경우 정보처리시스템의 사용을 제한할 것
  • 13. 단말기에 이용자 정보 등 주요정보를 보관하지 아니하고, 단말기를 공유하지 아니할 것(다만, 불가피하게 단말기에 보관할 필요가 있는 경우 보관사유, 보관기간 및 관리 비밀번호 등을 정하여 책임자의 승인을 받아야 한다)
  • 14. 사용자가 전출ㆍ퇴직 등 인사조치가 있을 때에는 지체 없이 해당 사용자 계정 삭제, 계정 사용 중지, 공동 사용 계정 변경 등 정보처리시스템에 대한 접근을 통제할 것<개정 2013. 12. 3.>
• ② 제1항제1호의 사용자계정의 공동 사용이 불가피한 경우에는 개인별 사용내역을 기록ㆍ관리하여야 한다.
• ③ 금융회사 또는 전자금융업자는 단말기를 통한 이용자 정보 조회 시 사용자, 사용일시, 변경ㆍ조회내용, 접속방법이 정보처리시스템에 자동적으로 기록되도록 하고, 그 기록을 1년 이상 보존하여야 한다.<개정 2013. 12. 3.>
• ④ 제1항제11호의 정보처리시스템 가동기록의 경우 다음 각 호의 사항이 접속의 성공여부와 상관없이 자동적으로 기록ㆍ유지되어야 한다.
  • 1. 정보처리시스템에 접속한 일시, 접속자 및 접근을 확인할 수 있는 접근기록
  • 2. 전산자료를 사용한 일시, 사용자 및 자료의 내용을 확인할 수 있는 접근기록
  • 3. 정보처리시스템내 전산자료의 처리 내용을 확인할 수 있는 사용자 로그인, 액세스 로그 등 접근기록
• ⑤ 금융회사 또는 전자금융업자는 단말기와 전산자료의 접근권한이 부여되는 정보처리시스템 관리자에 대하여 적절한 통제장치를 마련ㆍ운용하여야 한다. 다만, 정보처리시스템 관리자의 주요 업무 관련 행위는 책임자가 제28조제2항에 따라 이중확인 및 모니터링을 하여야 한다.<개정 2013. 12. 3.>

해설