금융분야 클라우드컴퓨팅서비스 이용 가이드

From IT Wiki
Revision as of 15:48, 10 May 2020 by 보안기사 (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)


개요

  • 발행자: 금융보안원
  • 발간일: 2019년 1월

목차

  • 제1장 가이드 개요
  • 제2장 클라우드서비스 이용 절차
  • 제3장 업무 선정 및 평가
  • 제4장 계획 수립
  • 제5장 계약 준비
  • 제6장 계약 체결
  • 제7장 보고 및 이용
  • 제8장 이용 종료

주요 내용

클라우드 이용 절차

사전 준비 - 계약 체결 - 보고 및 이용 - 이용 종료

절차 주요 활동 비고
사전 준비
  • 이용 대상 선정 및 중요도 평가
  • 업무연속성 계획 및 안전성확보조치 방안 수립
  • 업무 위수탁 운영기준 보완
  • 제공자 후보 선정 및 평가
  • 정보보호위원회 심의·의결
금융보안원 지원
계약 체결
  • 클라우드서비스 이용 계약 체결
보고 및 이용
  • 서류 구비 및 사전 보고
  • 서류 최신성 유지 및 수시 보고
금융감독원 보고
이용 종료
  • 출구 전략 이행

업무 선정 및 평가

  • 이용대상 선정
    • 금융회사는 정보처리업무 중 클라우드서비스 이용에 따른 효율성 등을 감안하여 이용대상을 선정
    • 금융회사의 핵심 업무 수행을 위한 정보처리에 대해서는 효율성 이외에도 업무 중요도, 취급 정보의 민감도, 경영전략 등 다양한 요소를 종합적으로 고려
  • 중요도 평가 실시
    • 금융회사는 자체적으로 중요도 평가 기준을 수립하고, 클라우드서비스 이용 대상 업무에 대해 중요도 평가를 실시
    • 고유식별정보 또는 개인신용정보 처리 시 중요 업무로 취급
    • 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미칠 경우 중요 업무로 취급

계획 수립

  • 업무 연속성 계획 수립
    • 데이터 백업
    • 훈련 및 사고 관리
  • 출구 전략 수립 (업무 연속성 계획에 포함)
    • 출구 전략 이행 지표 설정
    • 출구 전략 이행 절차 정의
    • 출구 전략 수립 관련 고려사항
  • 안전성 확보조치 방안 수립
    • 계정 관리
    • 접근 통제
    • 내부 시스템・단말기와의 연계
    • 암호화 및 키 관리
    • 로깅
    • 가상 환경 보안
    • 보안 모니터링 및 취약점 분석・평가
    • 인적 보안
  • 업무 위수탁 운영기준 마련

계약 준비

  • 클라우드서비스 제공자 평가
  • 정보보호위원회 심의・의결

계약 체결

  • 서비스 위탁 관련 명시사항
    • 서비스 범위 및 물리적 위치에 관한 사항
    • 접근권 및 감사권 수용 의무에 관한 사항
    • 재위탁 관리에 관한 사항
    • 서비스 중지 등 서비스 수준에 관한 사항
  • 보안 관련 명시사항
    • 데이터 관리 및 보호에 관한 사항
    • 사고대응 및 취약점 분석・평가에 관한 사항
    • 기타 보안요구사항
  • 출구 전략 이행을 위한 명시사항
  • 책임관계 명확화
    • 대외적 책임(금융소비자 피해 발생 시 손해배상 책임)
    • 계약 당사자간 책임관계(금융회사와 클라우드서비스 제공자간)

보고 및 이용

  • 서류 구비 및 사전 보고
  • 서류 최신성 유지 및 수시 보고
  • 리스크 관리

이용 종료

  • 수립한 출구 전략에 의거하여 데이터 이전 및 파기 등을 실시

가이드 원본 보기