전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 250305

2025. 3. 5. 18:21

q1: 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등)

a1:

전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등)
① 금융회사 또는 전자금융업자는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하고자 하는 경우 다음 각 호의 절차를 수행하여야 한다.<개정 2018. 12. 21.>

1. 다음 각 목의 기준에 따른 이용업무의 중요도 평가<개정 2022. 11. 23.>
가. 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성<신설 2022. 11. 23.>
나. 클라우드컴퓨팅서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향<신설 2022. 11. 23.>
다. 전자적 침해행위 발생 시 고객에게 미치는 영향<신설 2022. 11. 23.>
라. 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 클라우드컴퓨팅서비스 제공자에 대한 종속 위험<신설 2022. 11. 23.>
마. 클라우드컴퓨팅서비스 이용에 대한 금융회사 또는 전자금융업자의 내부통제 및 법규 준수 역량<신설 2022. 11. 23.>
바. 그 밖에 금융감독원장이 정하여 고시하는 사항<신설 2022. 11. 23.>

2. 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등에 대한 평가(단, 제1호의 평가를 통해 비중요업무로 분류된 업무에 대해서는 <별표 2의2>의 평가항목 중 필수항목만 평가할 수 있다.)<개정 2022. 11. 23.>

3. 클라우드컴퓨팅서비스 이용과 관련한 업무 연속성 계획 및 안전성 확보조치의 수립ㆍ시행(단, 제1호의 평가를 통해 비중요업무로 분류된 업무에 대해서는 <별표 2의3> 및 <별표 2의4>의 필수 사항만 수립ㆍ시행할 수 있다.)<개정 2022. 11. 23.>

② 금융회사 또는 전자금융업자는 제1항 각 호에 따른 평가결과, 업무연속성 계획 및 안전성 확보조치에 대하여 제8조의2에 따른 정보보호위원회의 심의ㆍ의결을 거쳐야 한다.<개정 2018. 12. 21., 2022. 11. 23.>

③ 금융회사 또는 전자금융업자는 제1항제2호의 평가를 직접 수행하거나 제37조의6제1항의 침해사고대응기관이(금융보안원) 수행한 평가 결과를 활용할 수 있다.<개정 2018. 12. 21, 2022. 11. 23., 2025. 2. 5.>

④ 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사유가 발생한 날로부터 3개월 이내에 금융감독원장에게 보고하여야 하고, 관련 서류를 최신상태로 유지하여야 한다.<신설 2018. 12. 21., 개정 2022. 11. 23., 2025. 2. 5.>
1. 클라우드컴퓨팅서비스 이용계약을 신규로 체결하거나, 기존 클라우드컴퓨팅서비스 이용계약을 통해 신규 업무를 처리하는 경우<신설 2022. 11. 23., 개정 2025. 2. 5.>
2. 클라우드컴퓨팅서비스 제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등 중대한 변경사항이 발생한 경우<개정 2022. 11. 23.>
3. 클라우드컴퓨팅서비스 제공자가 서비스품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우<개정 2022. 11. 23.>
4. 제1항제2호 또는 제3호에 관한 중대한 변경사항이 발생한 경우<개정 2022. 11. 23.>

⑤ 제4항의 보고에 관한 양식, 첨부서류 등에 관해서는 금융감독원장이 정하는 바에 따른다.<신설 2018. 12. 21., 개정 2022. 11. 23., 2025. 2. 5.>

⑥ 금융감독원장은 제4항에 따라 제출한 보고 서류가 누락되거나, 중요도 평가 또는 업무연속성계획ㆍ안전성 확보조치 등이 충분하지 않다고 판단하는 경우에는 금융회사 또는 전자금융업자에 대하여 개선ㆍ보완을 요구할 수 있다.<개정 2018. 12. 21., 2022. 11. 23.><종전의 제7항에서 이동, 2025. 2. 5.>

⑦ 제1항의 절차를 거친 클라우드컴퓨팅서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조제1호 및 제2호, 제15조제1항제5호를 적용하지 아니한다. 다만, 금융회사 또는 전자금융업자(전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자는 제외한다)가 고유식별정보 또는 개인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제11조제2호를 적용하고, 해당 정보처리시스템을 국내에 설치하여야 한다. <단서신설 2018. 12. 21><개정 2022. 11. 23., 2025. 2. 5.>

⑧ 그 밖에 금융회사 또는 전자금융업자의 클라우드컴퓨팅서비스 이용에 대해서는 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따른다.<신설 2018. 12. 21.><종전의 제9항에서 이동, 2025. 2. 5.>

MezzanineX

전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 250305

+ Recent posts

티스토리툴바