Q> 전자화폐 발행 및 관리회사인데요, 클라우드에서 정보시스템 개발할때 보안에 대한 문의

전자화폐를 발행 및 관리하는 회사입니다. 지금 개발하고자 하는 서비스 대부분이 클라우드에 위치해 있는데요.
전자금융감독규정 등 우리가 준수해야 하는 관련의 내용은 무엇입니까?


A>

전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) - 시행 2019.01.01은 아래와 같이 정의하고 있습니다.
제1항) 금융회사 및 전자금융업자가 클라우드컴퓨팅을 이용하고자 하는 경우에는 아래 절차를 수행해야 한다

- 정보처리시스템의 중요도 평가 (금융기업 자체)
- CSP의 건전성 및 안전성 등의 평가
- 업무 위수탁 운영기준의 마련 및 준수 (금융기업 자체)
- 위의 3가지의 결과를 정보보호위원회의 심의.결의해야 함 (심의안, 결의안)
- 관련 서류를 최신상태로 유지, 금융감독원장 요청시 지체없이 제공해야함

제3,4항) 시스템이 고유식별정보 또는 개인신용정보를 처리하거나 전자금융거래의 안전성과 신뢰성에 중대한 영향을 미치는 경우

아래의 서류들을 영업일 7일 이전에 금융감독원장에게 보고해야 한다.
- 금융회사의 정보처리 업무위탁에 관한 규정에 관한 서류
- 정보처리시스템의 중요도 평가 (금융기업 자체)
- 클라우드컴퓨팅서비스 이용관련 업무연속성 계획 및 안전성 확보조치에 관한 사항
- 정보보호위원회의 심의.결의해야 함 (심의안, 결의안)

제6항) 아래의 변경사항 발생시 영업일 7일 이내에 해당 사항, 관련서류들을 첨부하여 금융감독원장에게 보고해야 함

- CSP의 합병, 분할, 계약상 지위의 양도, 재위탁 등의 사유로 이용계약에 중대한 변경사항이 발생한 경우
- CSP의 서비스품질유지, 안전성 확보 등과 관련된 중요 계약사항을 이행하지 않은 경우
- 기타 중요한 변경사항 발생시

o CSP의 클라우드서비스의 건전성 및 안전성 평가시, 기본 보호조치와 금융부문 추가보호 조치를 확인

- CSP의 클라우드서비스 건전성 및 안전성을 평가할때는 기본 보호조치(관리적, 기술적, 물리적 보호조치)와 금융부문 추가 보호조치를 평가.확인해야 한다
- 다만, CSP가 국내외의 클라우드 서비스 관련 보안인증(클라우드서비스 보안인증제, ISO/IEC 27001 인증)을 취득 및 유지중임을 확인한 경우에는 기본 보호조치에 대한 평가는 생략할 수 있다.

o 보다더 자세한 가이드: 금융보안원의 금융권 클라우드 서비스 이용 가이드