전자금융감독규정 제37조의2

IT 위키

내용

제37조의2(전자금융기반시설의 취약점 분석ㆍ평가 주기, 내용 등)
  • ① 전자금융기반시설의 취약점 분석ㆍ평가는 총자산이 2조원 이상이고, 상시 종업원 수(「소득세법」에 따른 원천징수의무자가 근로소득세를 원천징수한 자를 기준으로 한다. 이하 같다) 300명 이상인 금융회사 또는 전자금융업자이거나 「수산업협동조합법」, 「산림조합법」, 「신용협동조합법」, 「상호저축은행법」 및 「새마을금고법」에 따른 중앙회의 경우 연 1회 이상(홈페이지에 대해서는 6개월에 1회 이상) 실시하여야 한다.
  • ② 금융회사 및 전자금융업자는 취약점 분석ㆍ평가를 위하여 정보보호최고책임자(정보보호최고책임자가 없는 경우 최고경영자가 지정한다)를 포함하여 5인 이상으로 자체전담반을 구성하여야 하며, 구성원 중 100분의 30 이상은 「정보보호산업의 진흥에 관한 법률 시행규칙」 제8조의 정보보호 전문서비스 기업 지정기준에서 정한 고급 기술인력 이상의 자격을 갖춘 자이어야 한다. 다만, 제37조의3제1항에 따른 평가전문기관에 위탁하는 경우에는 자체전담반을 구성하지 아니할 수 있다.<개정 2016. 6. 30.>
  • ③ 제1항에 따른 금융회사 및 전자금융업자 이외의 자의 경우 연 1회 이상(홈페이지에 대해서는 6개월에 1회 이상) 실시하되 자체전담반을 구성하지 아니할 수 있다. 이 경우 취약점 분석ㆍ평가의 내용은 금융감독원장이 정한다.
  • ④ 금융회사 및 전자금융업자는 해당 주기 내에 평가 대상 시설과 평가기간을 나누어 평가할 수 있다.
  • ⑤ 금융회사 또는 전자금융업자는 취약점 분석ㆍ평가에 따라 이행계획을 수립ㆍ시행하여야 하며 다음 각 호의 사항을 준수하여야 한다.
    • 1. 취약점 분석ㆍ평가 결과에 따른 취약점의 제거 또는 이에 상응하는 조치의 시행
    • 2. 취약점의 제거 또는 이에 상응하는 조치가 불가한 경우에는 최고경영자 승인을 득할 것
    • 3. 이행계획의 시행 결과는 최고경영자에게 보고할 것
  • ⑥ 금융회사 또는 전자금융업자는 제1항 또는 제3항에 따른 의무의 이행을 위하여 전자금융보조업자에게 협조를 요청할 수 있다.<신설 2018. 12. 21.>

해설