SERVICES

COMPLIANCE SERVICES

SAK의 컴플라이언스 서비스입니다.

금융분야 CSP 안전성 평가 컨설팅

2023-07-04
조회수 1697

금융분야 CSP 안전성 평가 컨설팅


당사는 CSP 안전성 평가를 원하는 클라우드 서비스 제공 기업에게 다음의 컨설팅 서비스를 제공합니다.

1) CSP 안전성 평가 신청 전에 그 평가 요구사항(11개 분야, 54개 항목, 200여개 세부항목)을 기업이 만족하는데 필요한 자문을 제공합니다. 이 과정에서 기업의 보안통제에 갭(Gap)이 확인되는 경우, 당사는 그 갭을 개선하는데 필요한 자문을 기업에게 추가 제공할 수 있습니다.

2) 기업이 평가기관(예: 금융보안원, 금융회사)에 CSP 자체 평가서를 제공하는데 필요한 문서화 및 자문을 제공합니다. 이 과정에서 평가기관의 증거 요청, 시연, 현장실사 등이 예상되는 경우, 필요한 자문을 기업에게 추가 제공할 수 있습니다. 

3) 기업이 평가기관의 현장 평가를 준비하고 대응하는데 필요한 자문을 제공합니다.

4) 기업이 받은 평가 결과, 즉 결함사항을 개선하는데 필요한 자문을 제공합니다.

5) 기업이 평가기관의 확인 평가를 준비하고 대응하는데 필요한 자문을 제공합니다. 

6) 해외 기업인 경우, 당사는 상기 전체 과정에서 필요한 번역 및 통역을 기업에게 제공할 수 있습니다.  


컨설팅 기간은 기업의 평가 범위(예: IaaS, PaaS, SaaS) 그리고 기업과 계약하는 컨설팅 범위에 따라 5개월에서 9개월이 소요될 수 있습니다. 컨설팅 절차는 다음과 같습니다.

1) 기업 문의에 따른 기본 상담 : 당사는 상담 과정에서 기업의 CSP 안전성 평가를 준비하는데 필요한 최소한의 기업 보안통제, 보안조직 등의 여부를 확인합니다. 그 결과에 따라서는 컨설팅이 보류될 수 있습니다.

2) 컨설팅 업무 범위, 수행 기간 등을 고려한 견적서 및 표준 계약서(SOW) 제공. 해외 출장 평가가 포함되는 경우, 컨설턴트의 해외 출장에 필요한 제반 경비가 견적에 포함될 수 있습니다.

3) 계약 체결

4) 컨설팅 수행

5) 계약 종료


다음은 CSP 안전성 평가에 관한 근거 법령입니다.

전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) ① 금융회사 또는 전자금융업자는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다. <개정 2018. 12. 21.>

1. 다음 각 목의 기준에 따른 이용업무의 중요도 평가 <개정 2022. 11. 23.>

가. 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성 <신설 2022. 11. 23.>

나. 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향 <신설 2022. 11. 23.>

다. 전자적 침해행위 발생 시 고객에게 미치는 영향 <신설 2022. 11. 23.>

라. 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 클라우드컴퓨팅서비스 제공자에 대한 종속 위험 <신설 2022. 11. 23.>

마. 클라우드컴퓨팅서비스 이용에 대한 금융회사 또는 전자금융업자의 내부통제 및 법규 준수 역량 <신설 2022. 11. 23.>

바. 그 밖에 금융감독원장이 정하여 고시하는 사항 <신설 2022. 11. 23.>

2. 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등에 대한 평가(단, 제1호의 평가를 통해 비중요업무로 분류된 업무에 대해서는 <별표 2의2>의 평가항목 중 필수항목만 평가할 수 있다.) <개정 2022. 11. 23.>

3. 클라우드컴퓨팅서비스 이용과 관련한 업무 연속성 계획 및 안전성 확보조치의 수립ㆍ시행(단, 제1호의 평가를 통해 비중요업무로 분류된 업무에 대해서는 <별표 2의3> 및 <별표 2의4>의 필수 사항만 수립ㆍ시행할 수 있다.) <개정 2022. 11. 23.>

② 금융회사 또는 전자금융업자는 제1항 각 호에 따른 평가결과, 업무연속성 계획 및 안전성 확보조치에 대하여 제8조의2에 따른 정보보호위원회의 심의ㆍ의결을 거쳐야 한다. <개정 2018. 12. 21., 2022. 11. 23.>

③ 금융회사 또는 전자금융업자는 제1항제2호의 평가를 직접 수행하거나 제37조의4제1항의 침해사고대응기관이 수행한 평가 결과를 활용할 수 있다. <개정 2018. 12. 21, 2022. 11. 23.>

④ 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사유가 발생한 날로부터 3개월 이내에 발생 사유, 관련 자료 및 대응계획을 첨부하여 금융감독원장에게 보고하여야 한다.<신설 2018. 12. 21., 개정 2022. 11. 23.> 

1. 클라우드컴퓨팅서비스 이용계약을 신규로 체결하는 경우 <신설 2022. 11. 23.>

2. 클라우드컴퓨팅서비스 제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등 중대한 변경사항이 발생한 경우 <개정 2022. 11. 23.>

3. 클라우드컴퓨팅서비스 제공자가 서비스품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우 <개정 2022. 11. 23.>

4. 제1항제2호 또는 제3호에 관한 중대한 변경사항이 발생한 경우 <개정 2022. 11. 23.>

⑤ 제4항에 따라 금융감독원장에게 보고할 경우 첨부해야 하는 서류는 다음 각 호와 같다.<신설 2018. 12. 21., 개정 2022. 11. 23.> 

1. 「금융회사의 정보처리 업무 위탁에 관한 규정」 제7조제1항 각 호에 관한 서류 

2. 제1항제1호에 따른 업무의 중요도 평가 기준 및 결과 <개정 2022. 11. 23.>

3. 제1항제2호에 따른 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등에 대한 평가 결과 <신설 2022. 11. 23.>

4. 제1항제3호에 따른 업무 연속성 계획 및 안전성 확보조치에 관한 사항 <개정 2022. 11. 23.>

5. 제2항에 따른 정보보호위원회 심의ㆍ의결 결과 <개정 2022. 11. 23.>

6. <별표 2의5>의 계약서 주요 기재사항을 포함한 클라우드컴퓨팅서비스 이용계약서 <신설 2022. 11. 23.>

⑥ 클라우드컴퓨팅서비스를 이용하는 금융회사 또는 전자금융업자는 제4항에 따른 보고의무와 관계없이 제5항 각호에 따른 서류를 최신상태로 유지하여야 하며, 금융감독원장의 요청이 있을 경우 이를 지체 없이 제공하여야 한다.<신설 2018. 12. 21., 개정 2022. 11. 23.> 

⑦ 금융감독원장은 제4항에 따라 제출한 보고 서류가 누락되거나, 중요도 평가 또는 업무연속성계획ㆍ안전성 확보조치 등이 충분하지 않다고 판단하는 경우에는 금융회사 또는 전자금융업자에 대하여 개선ㆍ보완을 요구할 수 있다. <개정 2018. 12. 21., 2022. 11. 23.>

⑧ 제1항의 절차를 거친 클라우드컴퓨팅서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조제11호 및 제12호, 제15조제1항제5호를 적용하지 아니한다. 다만, 금융회사 또는 전자금융업자(전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자는 제외한다)가 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제11조제12호를 적용하고, 해당 정보처리시스템을 국내에 설치하여야 한다. <단서신설 2018. 12. 21., 개정 2022. 11. 23.> 

⑨ 그 밖에 금융회사 또는 전자금융업자의 클라우드컴퓨팅서비스 이용에 대해서는 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따른다. <신설 2018. 12. 21.>


첨부 자료: *출처: 금융보안원(FSI)

(1) 금융분야 클라우드컴퓨팅서비스 이용 가이드 (2023년도 개정) PDF




© 2023 한국정보보호인식(주). All Rights Reserved