<B1DDC0B6C8B8BBE720C1A4BAB8B1E2BCFA BACEB9AE20BAB8C8A3BEF7B9AB20B8F0B9FCB1D4C1D82E687770>

Transcription

1 금융회사 정보기술(IT)부문 보호업무 모범규준 금융위원회 금융감독원

2 목 차 Ⅰ. 총 칙 1. 목적 1 2. 용어정의 1 3. 적용범위 3 4. 전자금융거래법등과 관계 3 Ⅱ. 인력 및 예산 부문 5. 인력 및 예산 4 Ⅲ. 정보기술부문 6. 취약점 분석 평가 전산실등 보호대책 단말기 보호대책 전산자료 보호대책 정보처리시스템 보호대책 해킹 등 침해행위 방지대책 15 Ⅳ. 정보기술부문 내부통제 12. 정보기술부문계획 수립 및 운용 정보기술부문 내부통제 비상대책 수립 운용 등 침해사고 대응 등 28

3 Ⅴ. 전자금융업무등 감독 16. 보안성 심의 정보기술부문 실태 평가 등 외부주문 등에 대한 기준 정보기술부문 및 전자금융사고 보고 35 Ⅵ. 부 칙 1. 시행일 이행계획 제출 37 별표 별표1 전자금융거래법에서 정한 금융기관의 범위 38 별표2 정보기술부문 인력 및 정보보호 인력 기준 40 별표3 정보기술부문 및 정보보호 예산 기준 45 별표4 금융회사등의 취약점 분석 평가 주기 기준 50 별표5 정보기술부문 실태 평가 대상 금융기관 52 별지 별지제1호서식 비상 대응 훈련 결과 보고서 53 별지제2호서식 보안성 심의 신청서 55 별지제2호서식 정보기술부문 및 전자금융사고 보고서 59

4 Ⅰ. 총 칙 1. 목적 이 규준은 전자금융거래의 안전성을 확보하고 정보기술부문의 보호 업무에 필요한 사항을 규정함으로써 전자금융거래법, 동 법 시행령 및 전자금융감독규정의 원활한 시행을 도모하는 것을 목적으로 한다. 2. 용어 정의 1 전자금융기반시설 이라 함은 금융회사등의 전자적 제어 관리 처리 시스템 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제1항제1호의 규정에 따른 정보통신망을 말한다. 2 정보보호 또는 정보보안 이라 함은 컴퓨터 등 정보처리능력을 가진 장치를 이용하여 수집 가공 저장 검색 송신 또는 수신되는 정보의 유출 위변조 훼손 등을 방지하기 위하여 기술적 물리적 관리적 수단을 강구 하는 일체의 행위를 말하며 사이버안전을 포함한다. 3 정보보호시스템 이라 함은 정보처리시스템내 정보를 유출 위변조 훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위 등으로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다

5 4 해킹 이라 함은 접근을 허가받지 아니하고 정보처리시스템 및 정보통신망에 불법적으로 침투하거나 허가받지 아니한 권한을 불법적으로 갖는 행위 또는 정보처리시스템 및 정보통신망을 공격하거나 해를 끼치는 행위를 말한다. 5 컴퓨터악성코드 (이하 악성코드 라 한다)라 함은 컴퓨터에서 사용자의 허락 없이 스스로를 복사하거나 변형한 뒤 정보유출, 시스템 파괴 등의 작업을 수행하여 사용자에게 피해를 주는 프로그램을 말한다. 6 공개용 웹서버 라 함은 인터넷 사용자들이 웹페이지를 자유롭게 보고 웹 서비스(월드 와이드 웹을 이용한 서비스를 말한다)를 이용할 수 있게 해주는 프로그램이 실행되는 장치를 말한다. 7 정보통신망 (이하 통신망 이라 한다)이라 함은 유 무선, 광선 등 정보통신 수단에 의하여 부호 문자 음향 영상 등을 처리 저장 및 송 수신할 수 있는 정보통신 조직형태를 말한다. 8 주요정보 라 함은 전자금융거래와 관련하여 이용자의 동의를 얻지 아니하고 이를 타인에게 제공ㆍ누설하거나 업무상 목적 외에 사용하여서는 아니되는 정보로 전자금융거래법 제26조에서 정한 전자금융거래정보를 말한다. <전자금융거래정보(법 26)> ⑴ 이용자의 인적 사항 ⑵ 이용자의 계좌, 접근매체 및 전자금융거래의 내용과 실적에 관한 정보 또는 자료 9 그 밖의 이 규준에서 사용하는 용어의 정의는 전자금융거래법, 동법 시행령 및 전자금융감독규정에서 정한 바에 따른다

6 3. 적용 범위 이 규준은 전자금융거래법 제2조 제3호의 규정에서 정한 금융기관 및 전자금융업자(이 규준에서 금융회사등 이라 한다)에 적용한다. <별표1> 전자금융거래법에서 정한 금융기관의 범위 4. 전자금융거래법등과의 관계 1 (관계법규) 이 규준에서 따로 정하지 아니한 사항은 전자금융거래법, 동법 시행령, 전자금융감독규정 및 동 규정 시행세칙에서 정한 바에 따른다. 2 (해석) 이 규준을 적용함에 있어 해석이 필요한 사항은 금융위원회가 해석한 바에 따른다

7 Ⅱ. 인력 및 예산 부문 5. 인력 및 예산 1 (인력) 금융회사등은 별표3 에 따라 총 임직원수의 100분의 5이상을 정보기술부문 인력으로, 정보기술부문 인력의 100분의 5이상을 정보 보호인력으로 각각 확보하도록 노력하여야 한다. <별표3> 정보기술부문 인력 및 정보보호인력 기준 <인력비율 산정 예시> ⑴ 총임직원수 : 10,000명 ⑵ 정보기술부문 인력 비율 : 5% [(500명/10,000명) 100] 금융기관 내부인력 정규직 (1) 계약직 (2) 금융지주회사 전산자회사상주인력 정규직 ⑶ 계약직 재하청 ⑷ 인력 ⑸ 금융기관 상주외주 인력⑹ 내부정보 기술부문 인력 (7=1+2) 전산 자회사 상주인력 (8=3+4)* 인정 상주 외주인력 ⑼** 정보기술 부문인력 (7+8+9) 150명 50명 70명 30명 100명 600명 200명 100명 200명 500명 *금융지주회사의 전산자회사인력(200명)중 전산자회사의 재하청인력(100명)을 제외한 정규직(70명) 및 계약직(30명) 인력을 정보기술부문 인력(100명)으로 인정 **상주외주인력(600명)중 내부IT인력(200명)을 초과하는 인력(400명)은 제외하고 내부IT 인력(200명)범위 내에서 상주외주인력(200명)을 정보기술부문 인력으로 인정 ⑶ 정보보호 인력 비율 : 5% [(25명/500명) 100] 금융기관 내부인력 정규직 (1) 계약직 (2) 금융지주회사 전산자회사상주인력 정규직 ⑶ 계약직 ⑷ 재하청 인력⑸ 금융기관 상주외주 인력⑹ 내부정보 기술부문 인력 (7=1+2) 전산 자회사 상주인력 (8=3+4)* 인정상주 외주인력 ⑼** 정보보호 인력 (7+8+9) 7명 3명 3명 2명 10명 30명 10명 5명 10명 25명 *금융지주회사의 전산자회사인력(15명)중 전산자회사의 재하청인력(10명)을 제외한 정규직(3명) 및 계약직(2명) 인력을 정보보호인력(5명)으로 인정 **상주외주인력(30명)중 내부IT인력(10명)을 초과하는 인력(20명)은 제외하고 내부정보보호인력 (10명) 범위내에서 상주외주인력(10명)을 정보보호 인력으로 인정 - 4 -

8 <상주외주인력 산정시 고려사항> ⑴ 정보기술부문과 관련하여 개발 프로젝트를 수행하기 위하여 일정기간 금융회사등에 상주하는 외주업체(SI업체 등)의 IT개발인력을 제외한 IT기획, IT운영, IT보안 등 IT업무종사자 기준 ⑵ 서버 등 정보처리시스템 하드웨어의 유지보수를 수행하기 위하여 금융회사등의 정보 처리시스템이 설치된 전산실에 상주하는 제조사의 기술인력은 포함 ⑶ 정보처리시스템을 운영하는 외주업체의 인력중 해당 금융회사등이 소유하는 건물내에 위치한 정보처리시스템이 설치된 전산실(재해복구센터 포함)내에서 상주하지 아니한 인력은 제외 ⑷ 그 밖의 금융위원회가 상주외주인력에 포함 또는 제외하는 것이 필요하다고 인정한 인력은 해당인력을 상주외주인력에 포함시키거나 제외할 수 있음 ⑸ 향후 제도 정착 추이를 고려하여 상주외주인력 인정 범위를 단계적으로 축소해 나갈 예정 2 (조직등) 금융회사등은 정보처리시스템 및 전자금융업무 관련 전담조직을 확보하여야 하고, 외부주문 등에 관한 계약 내용의 적정성을 검토하고 이를 자체적으로 통제가 가능하도록 회사내부에 조직과 인력을 갖추어야 한다. 3 (예산) 금융회사등은 별표4 에 따라 정보기술부문 예산의 100분의 7 이상을 정보보호 예산으로 확보하도록 노력하여야 한다. <별표4> 정보기술부문 및 정보보호예산 기준 <정보기술부문 예산 산정시 고려사항> 당해 연도의 정보기술부문 예산이 직전 3개년간 평균 정보기술부문 예산의 100분의 150 이상인 경우에는 직전 3개년 평균 정보기술예산을 기준으로 적용 정보기술부문 예산 및 정보보호 예산의 세부 항목은 금융위원회가 인정한 경우 가감할 수 있음 - 5 -

9 4 (인력비율 적용 특례) 이 규준 시행일 현재 이 규준에서 정한 정보 기술부문인력비율(총임직원의 100분 5)과 정보보호인력비율(정보기술부문 인력의 100분5)을 초과하는 금융회사등은 합리적 사유가 있는 경우를 제외하고 2011년 11월 1일 현재 내부인력비율 이상을 유지하도록 노력하여야 한다. <인력비율 적용 특례 예시> ⑴ 이 규준 시행일 현재 정보기술부문 내부인력비율이 80%인 경우 이 규준 시행일 이후에도 정보기술부문 내부인력을 80%이상으로 유지 인력구분 금융기관 내부인력 인정 전산자회사 정규직(1) 계약직(2) 인력(3) 인정 상주외주 인력(4) 정보기술부문인력 (4= ) 인원 600명 200명 100명 100명 1,000명 비율 60% 20% 10% 10% 100% ⑵ 이 규준 시행일 현재 정보보호 내부인력비율이 80%인 경우 이 규준 시행일 이후에도 정보보호 내부인력비율을 80%이상으로 유지 인력구분 금융기관 내부인력 정규직(1) 계약직(2) 인정 전산자회사 인력(3) 인정 상주외주 인력(4) 정보기술부문인력 (4= ) 인원 60명 20명 10명 10명 100명 비율 60% 20% 10% 10% 100% 5 (예산비율 적용 특례) 이 규준 시행일 현재 이 규준에서 정한 정보보호예산 비율(정보기술부문 예산의 100분 7)을 초과하는 금융회사등은 합리적 사유가 있는 경우를 제외하고 2011년 11월 1일 현재 비율 이상을 유지하도록 노력하여야 한다. 6 (권고수준미충족시조치) 이 규준에서 정한 인력 및 예산의 권고수준을 충족시키지 못할 경우 그 사유 및 이용자 보호에 미치는 영향 등을 홈페이지 등을 통해 매사업연도 종료후 1개월이내 공시하여야 한다

10 <정보기술부문 관련 공시제도 운영방안(예시)> (공시의무기관) 인력 및 예산 권고수준 미충족 금융회사등 (공시내용) 1공시사유 2인력및예산권고수준 3공시일 현재 금융회사등의 인력 및 예산비율 4권고수준 미충족 사유 5권고수준 미충족으로 인해 이용자 보호에 미치는 영향 6그 밖의 금융위원회가 이용자 보호를 위하여 공시가 필요하다고 정한 사항 (공시주체) 공시의무금융회사등의 최고정보책임자(CIO)와 정보보호최고책임자(CISO)가 주관하여 공시 (공시내용에 대한 최고경영자(CEO)에게 사전 보고 및 최고경영자 (CEO)의 공시내용 확인 후 공시) (공시시점) 금융회사등은 사업연도 종료일 기준으로 정보기술부문의 인력 및 예산 비율이 권고수준을 미충족할 경우 매사업연도 종료후 1개월이내, 지체없이 이를 공시하고 이용자 보호를 위하여 공시한 사업연도 반기(반기가 시작되는 월 기준)마다 주기적 으로 재공시 (공시기간은 공시일로부터 15일 동안 공시) (공시방법) 전자금융감독규정( 404)에서 정한 약관변경 게시 방법을 준용하여 전자금융거래를 수행하거나 이용자의 접근이 용이한 전자적 장치에 이용자가 쉽게 공시된 내용을 식별하고 이를 신속하게 인지할 수 있는 방법(인터넷팝업창, 이메일 등)을 통해 공시 (공시자료관리) 공시기한이 완료된 공시내용에 대해서는 이용자가 언제든지 해당 내용을 열람할 수 있도록 공시매체의 특정위치(홈페이지 매뉴바 등)를 지정하여 해당 자료를 저장 관리 (불성실공시제재) 금융회사등이 1공시불이행(공시기한내 미공시, 허위 공시) 2 공시번복(기공시내용 전면취소, 부인 등) 3공시변경(중요부분 변경)등 불성실공시에 대해서는 제재 부과 가능 금융회사등의 공시 실효성을 확보하고 이용자의 공시정보 접근 편의성을 제공할 수 있도록 공시정보를 통합 관리하기 위하여 금융위원회의 금융정보보호공유시스템을 활용한 금융IT공시종합관리시스템 운영 예정 *상장회사의 기업재무정보 공시의 경우 금융감독원과 한국거래소에서 전자공시시스템을 운영 중 - 7 -

11 <정보기술부문 공시 절차> - 8 -

12 <정보기술부문 공시 인터넷팝업창 화면(예시)> (금융기관명) 정보기술(IT)부문 공시 전자금융감독규정 제8조 제3항에 따라 다음 사항에 대해 공시합니다. 1. 공시 사유 전자금융감독규정 제8조 제2항에서 권고한 정보기술부문인력비율 및 정보보호예산비율 미충족 2. 전자금융감독규정 권고 수준 정보기술부문인력비율 정보보호인력비율 정보보호예산비율 총임직원수의 5% 이상 (000명) 정보기술부문인력의 5%이상 (00명) 정보기술부문예산의 7%이상 (000백만원) 3. 권고수준 충족 여부 및 현재 인력 및 예산 비율(공시일 현재기준) 정보기술부문인력비율 정보보호인력비율 정보보호예산비율 미충족 충족 미충족 4.3%(000명) 7.5%(00명) 6.5%(000백만원) 4. 전자금융감독규정 권고수준을 충족하지 못한 사유 가. 정보기술부문 인력 비율의 미충족 사유 (이용자가 이해하기 쉽고 객관적인 사유를 자세하게 기술) 나. 정보보호 예산 비율의 미충족 사유 (이용자가 이해하기 쉽고 객관적인 사유를 자세하게 기술) 5. 이용자 보호에 미치는 영향 (전자금융거래의 안전성과 신뢰성 측면에서 이용자에게 미치는 영향 등을 자세하게 기술) 본 공시 화면은 0000년 00월 00일까지 제공하며 공시기간 종료일 이후에는 홈페이지의 [정보기술부문 공시] 란에서 공시내용을 열람하실 수 있습니다 (금융기관 대표이사) 본 상기 공시 내용을 확인하였습니다. 확인 (확인버튼을 클릭하시면 오늘 하루는 다시 팝업창이 나타나지 않습니다) - 9 -

13 Ⅲ. 정보기술부문 6. 취약점 분석 평가 1 (정기평가) 금융회사등은 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 주기적으로 전자금융기반시설에 대한 취약점 분석 평가(이하 정기평가 라 한다)를 실시하여야 한다. 2 (평가주기) 금융회사등은 전자금융기반시설에 대해서 매년(홈페이지에 대해서는 매 반기) 정기평가를 실시하여야 한다. <별표5> 금융회사등의 취약점분석 평가 주기 기준 *금융회사등은 해당 주기 내에 평가 대상 시설과 평가 기간을 여러 번에 걸쳐 나누어 평가할 수 있다. 3 (정보기술부문사업평가) 금융회사등은 추진하고자 하는 정보기술부문 관련 사업에 대해 실제 업무에 적용하기 전에 취약점 분석 평가를 실시 하고 필요한 보완 조치의 이행을 완료하여야 한다. <취약점분석평가대상사업(예시)> ⑴ 전자금융기반시설(정보보호시스템 포함)의 신규 설치 또는 교체 변경하는 사업 ⑵ 홈페이지를 신규로 개설 또는 변경하는 사업 ⑶ 내부통신망을 인터넷, 무선통신망 등 외부통신망(대외기관 연계 통신망 포함)과 신규로 연동 접속(원격접속 포함) 또는 교체 변경하는 사업 ⑷ 새로운 정보기술(IT) 또는 전자적 장치 등을 활용하여 전자금융거래를 처리하는 사업 ⑸ 정보처리시스템 개발, 운영 등 정보기술부문과 관련된 업무에 대한 제휴, 위탁 또는 외부주문(이하 외부주문등 라 한다) 사업 ⑹ 전산센터(재해복구센터 포함)를 신규 구축 또는 이전하는 사업 등

14 4 (평가방법) 금융회사등은 금융위원회가 정한 취약점 분석 평가 기준을 준수하여야 하며, 자체 평가반 또는 평가전문기관에 의뢰하여 취약점 분석 평가를 할 수 있다. *취약점분석평가기준은 이 모범규준 시행 직후 별도 공문시행 예정 <취약점분석평가전문기관> ⑴ 정보통신기반보호법 제16조의 규정에 따른 정보공유분석센터(이하 금융ISAC 이라 한다)로서 동 법 제9조의 규정에 따른 취약점 분석 평가 자격을 갖춘 자 (금융결제원,코스콤) ⑵ 정보통신산업진흥법 제33조에 따라 지정된 지식정보보안컨설팅업체 (시큐아이닷컴, 안철수연구소, 에스티지시큐리티, 에이쓰리시큐리티, 롯데정보통신, 싸이버원, 인포섹) ⑶ 정보통신기반보호법 시행세칙 제7조의 지식정보보안컨설팅전문업체 지정기준 중 기술 인력기준을 충족하는 자로서 금융위원회가 인정한 자 5 (평가반운영) 금융회사등이 자체 평가반을 운영할 때에는 반장을 정보보호최고책임자로 하여야 한다. 가. 반원 중 100분 30이상은 정보통신기반보호법 시행세칙 제7조의 지식 정보보안컨설팅전문업체 지정기준에서 정한 고급기술인력의 자격을 갖춘 자로 구성하고 전문기관의 인력을 반원으로 참여시킬 수 있다. 나. 취약점분석 평가에 참여하거나 위탁받은 전문기관은 정보보호 관리규정을 수립하여 준수하여야 하고 취약점 분석 평가를 의뢰한 금융회사등에게 제출하여야 한다. <정보보호관리규정에 포함될 사항> ⑴ 업무수행구역 및 설비에 대한 보호대책 ⑵ 인원에 대한 보호대책(인사관리 및 교육훈련에 관한 사항 포함) ⑶ 문서 및 전산자료에 대한 보호대책 ⑷ 그 밖에 취약점 분석 평가와 관련한 보호대책

15 6 (결과보고 제출) 금융회사등은 취약점 분석 평가를 종료한 때에는 결과보고서를 최고경영자(CEO : Chief Executive Officer)에게 보고하여 필요한 조치를 이행하고, 정기평가 결과보고서는 정기평가를 종료한 후 30일 이내에 금융위원회에 제출하여야 한다. <결과보고서에 포함될 사항> ⑴ 실시 개요 : 사유, 대상, 기간, 점검반 구성 ⑵ 분석 평가 결과 : 발견된 취약점에 대한 보완 및 개선 조치 ⑶ 이행 계획 : 보완 및 개선 조치에 대한 이행 계획 ⑷ 그 밖에 금융회사등의 장이 필요하다고 인정한 사항 7 (이행점검) 금융위원회는 그 소속직원으로 하여금 금융회사등의 취약점 분석 평가 결과 및 그 이행 실태를 점검하게 할 수 있다. 가. 금융위원회는 금융감독원장 및 평가전문기관의 장에게 이행 실태 점검을 위하여 인력 등 필요한 사항에 대한 지원을 요청할 수 있다. 나. 금융위원회는 취약점 분석 평가가 부실한 금융회사등에 대해서 이행실태 점검 결과를 통지하고 개선 보완을 요구할 수 있다. 8 (평가간주) 정보통신기반보호법 제9조에 따라 취약점 분석 평가를 한 기관은 당해 연도에 한하여 전자금융감독규정 에 의한 취약점 분석 평가를 한 것으로 본다. 7. 전산실등 보호대책 1 (사전등록) 금융회사등은 전산실 등 주요 시설에 대한 상시 출입은 업무와 직접 관련이 있는 사전 등록자에 한하여 허용하고, 상시 출입이외 출입은 관리 책임자의 승인을 받아 출입하며 출입자관리기록부에 기록 보관 하여야 한다

16 2 (무선망설치금지) 금융회사등은 전산실 등 주요 시설에서 무선통신망 설치를 금지하고 차단장치를 마련하여야 한다. 8. 단말기 보호대책 1 (무단조작방지) 업무담당자 이외의 자가 단말기(개인용 컴퓨터 포함)를 무단으로 조작하지 못하도록 단말기별 취급자 및 비밀번호를 지정하고 화면보호기능을 부여하여야 한다. 2 (중요단말기보호) 중요 단말기는 외부 반출금지, 업무 전용단말기 지정 사용, 사전 지정용도 외 사용금지, 노트북(Laptop) 등 휴대용 전산 장비 사용 금지 등 강화된 보호대책을 추가 수립 운용하여야 한다. <중요 단말기 유형> ⑴ 주요정보 또는 이용자 정보가 수록되어 있거나 이를 열람할 수 있는 단말기중 소관 부서장이 지정한 단말기 ⑵ 정보처리시스템 관리용 단말기 3 (비밀번호설정) 정보처리시스템에 접속하는 단말기 사용자의 인가 여부를 확인하고 사용자 로그인 비밀번호를 설정 사용하며 분기별 1회 이상 정기적으로 변경토록 하여야 한다. 비밀번호는 생년월일, 주민등록번호, 전화번호 등을 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합하여 8자리 이상으로 부여 4 (주요행위기록등) 모든 단말기에는 사용자의 주요업무 관련 행위에 대하여 로그기록 및 접근제어, 무선통신망 접속 차단 등 보호대책을 마련하여하여야 한다. 5 (보조기억매체접근통제) 사용자가 단말기에서 업무와 무관한 정보가 저장된 USB 등 보조기억매체에 접근하는 것을 차단하여야 한다

17 9. 전산자료 보호대책 1 (사용제한) 금융회사등은 전산자료의 유출, 파괴 등을 방지하기 위하여 정보처리시스템 접근 시 5회 이내의 범위에서 미리 정한 횟수 이상의 접속 오류가 발생하는 경우 정보처리시스템의 사용을 제한하여야 한다. 2 (주요정보보관금지등) 금융회사등은 단말기(개인용 컴퓨터 포함)에 주요 정보를 보관하지 않도록 하고, 단말기를 공유하지 아니하여야 한다. 불가피하게 단말기에 보관할 필요가 있는 경우 보관사유 보관기간 및 관리 비밀 번호 등을 정하여 소관 업무 책임자의 승인 하에 관리할 것 3 (사용자계정관리) 금융회사등은 사용자가 전출, 퇴직 등 인사조치가 있을 때에는 지체없이 해당 사용자 계정 삭제, 계정 사용 중지, 공동 사용 계정 변경 등 정보처리시스템에 대한 접근을 통제하여야 한다. 4 (테스트정보관리) 금융회사등은 정보처리시스템에 대한 테스트를 할 때 실제 이용자 정보를 테스트정보로 사용하지 아니하여야 한다. 부하테스트 등 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제할 것 5 (이중확인등) 금융회사등은 단말기와 전산자료의 접근권한이 부여되는 관리자의 주요 업무 관련 행위는 소관 업무 책임자가 이중 확인 및 모니터링 등의 조치를 하여야 한다

18 10. 정보처리시스템 보호대책 1 (중요보정실시) 금융회사등은 정보처리시스템의 안전한 운영을 위하여 정보처리시스템의 운영체계, 시스템 유틸리티 등의 긴급하고 중요한 보정(patch)사항이 발생하면 즉시 보정 작업을 실시하여야 한다. 2 (백업 소산등) 중요도에 따라 정보처리시스템의 운영체제 및 설정내용 등을 정기 백업 및 안전지역(원격지를 말한다)에 소산하고 정기적 검증을 실시한 백업자료를 1년이상 기록 관리하여야 한다. 11. 해킹 등 침해행위 방지 대책 1 (해킹방지대책수립) 금융회사등은 정보처리시스템 및 정보통신망을 해킹, 서비스거부(DoS : Denial of Service) 공격 등 침해행위로부터 방지 하기 위하여 다음 사항을 포함한 대책을 수립 운용하여야 한다. 가. 해킹, DoS공격 등 침해행위로 인한 사고를 방지하기 위한 침입탐지, 침입차단, DoS대응 등 적절한 정보보호시스템을 설치 및 운영할 것 <정보보호시스템 설치시 준수사항> ⑴ 정보보호시스템에 사용하는 정보보호제품은 국가기관의 평가 인증(공통평가기준 (CC) 등 국가기관이 인정하는 국제표준이나 국제기준에 의한 평가 인증 포함)을 받은 장비를 사용할 것. 단, 평가 인증 제품이 없는 경우 국가기관의 평가 인 증제품이 나올 때까지 자체 보안성 검토 후 한시적으로 사용 ⑵ 최소한의 서비스번호(port)와 기능만을 적용하고 업무목적 이외의 기능 및 프로그램을 제거할 것 ⑶ 보안정책의 승인 적용 및 보안정책의 등록, 변경 및 삭제에 대한 이력을 기록 보관할 것 ⑷ 정보보호시스템 원격관리 금지 및 주기적으로 정상 작동 상태를 점검할 것 ⑸ 시스템 장애, 가동중지 등 긴급사태에 대비하여 백업 및 복구 절차 등을 수립 시행할 것

19 나. 해킹 등 침해행위에 대비한 시스템프로그램 등의 긴급하고 중요한 보정(patch)사항이 발생하면 즉시 보정작업을 실시할 것 다. 내부통신망과 연결된 단말기에서 설치된 정보보호시스템을 우회한 인터넷 등 외부통신망(무선통신망 포함) 접속을 금지할 것 라. 정보처리시스템 및 정보통신망에 대해서 매년 취약점 분석 평가를 실시한 후 이행계획을 수립 시행할 것 2 (책임자지정등) 금융회사등은 설치한 정보보호시스템에 대하여 책임자를 지정 운영하여야 하며, 운영결과는 1년 이상 보존하여야 한다. 3 (해킹피해대처) 금융회사등은 해킹 등 침해행위 발생 사실을 인지한 즉시 대처할 수 있도록 금융ISAC과 연계 등 적절한 대책을 마련하여야 한다. 4 (무선통신망설치시준수사항) 금융회사등은 전산실 등 주요 시설이외 시설에서 무선통신망을 설치 운용할 때에는 해킹 등 침해행위로 인한 사고에 대비하여 다음의 사항을 준수하여야 한다. 가. 무선통신망 이용 업무는 최소한으로 국한하고 정보보호최고책임자의 승인을 받아 사전에 지정할 것 나. 무선통신망을 통한 불법 접속을 방지하기 위한 사용자인증, 암호화, 무선인터페이스(Interface)기능 통제, 무선접속장비(Access Point : AP) 접근 통제 등 보안대책을 수립할 것 다. 지정된 업무 용도와 사용 지역(zone) 이외 무선통신망 접속을 차단 하기 위한 차단시스템 구축 및 실시간 모니터링체계를 운영할 것

20 라. 비인가 무선접속장비 설치 접속 여부, 중요 정보 노출여부 등 무선통신망에 대해 주기적 점검을 실시할 것 5 (악성코드감염방지대책) 금융회사등은 악성코드 감염을 방지하기 위하여 필요한 대책을 수립 운용하고, 악성코드 확산 및 악성코드 감염으로 인한 피해를 최소화하기 위하여 금융ISAC과 연계 등 필요한 조치를 신속하게 취하여야 한다. <악성코드감염방지대책에 포함될 사항> ⑴ 응용프로그램을 사용할 때에는 악성코드 검색프로그램등으로 진단 및 치료 후 사용할 것 (2) 악성코드 검색 및 치료프로그램은 최신버전으로 유지할 것 (3) 악성코드 감염에 대비하여 복구 절차를 마련할 것 (4) 중요 단말기는 악성코드 감염여부를 매일 점검할 것 6 (이용자의전자적장치보호) 금융회사등은 해킹 등 침해행위로부터 전자 금융거래 및 관련 이용자 정보를 보호하기 위해 개인용컴퓨터(PC) 등 이용자의 전자적 장치에 보안프로그램 설치 등 보안대책을 적용하여야 한다. 본인이 동의하는 경우에는 고객의 책임 하에 보안프로그램 해제 가능 7 (공개용웹서버관리대책) 금융회사등은 홈페이지 등 공개용 웹서버의 안전한 관리를 위하여 적절한 대책을 수립 운용하여야 한다. 가. 금융회사등은 홈페이지 등 공개용 웹서버에 대해 취약점 분석 평가를 6개월마다 실시하고 이행계획을 수립 시행하여야 한다

21 나. 금융회사등은 단말기(개인용 컴퓨터 포함) 등에서 음란, 도박 등 업무와 무관한 프로그램 또는 인터넷 사이트 접근 대한 통제대책을 강구 하여야 한다. <공개용웹서버안전관리대책에 포함될 사항> ⑴ 공개용 웹서버를 내부통신망과 분리하여 내부통신망과 외부통신망사이의 독립된 통신망(이하 DMZ구간 이라 한다)에 설치하고 네트워크 및 웹 접근제어 수단으로 보호할 것 ⑵ 공개용 웹서버에 접근할 수 있는 사용자계정을 업무관련자만 접속할 수 있도록 제한하고 불필요한 계정 또는 서비스번호(Port)는 삭제할 것(단, 사용자계정은 아이디 및 비밀번호 이외에 공인인증서 등을 추가 인증수단으로 반드시 적용할 것) ⑶ 공개용 웹서버에서 제공하는 서비스를 제외한 다른 서비스 및 시험 개발 도구 등의 사용을 제한할 것 ⑷ DMZ 구간 내에 주요정보를 저장 및 관리하지 아니할 것(단, 거래로그를 관리하기 위한 경우에는 예외로 하되 이 경우 반드시 암호화하여 저장 관리하고 업무목적이 종료된 경우에는 주요정보 포함 거래로그 폐기 등 보호조치를 시행할 것) 8 (전자금융거래프로그램검증) 금융회사등은 악성코드를 이용한 전자 금융사고에 대비하여 전자금융거래에서 이용자에게 제공하거나 거래를 처리하기 위한 전자금융거래프로그램(거래전문포함)의 위 변조 여부 등 무결성을 검증할 수 있는 방법을 제공하여야 한다. 전자금융거래프로그램 검증 방법(예시) : 금융회사등이 배포한 프로그램과 PC, 스마트폰 등 이용자의 전자적 장치에서 구동되는 프로그램의 파일크기 해쉬 결과 확인 등을 통해 프로그램 무결성 검증 실시 9 (전자자금이체보안) 금융회사등은 부정한 전자자금이체로 인한 이용자의 피해를 최소화할 수 있도록 접근매체의 안전성 및 전자금융거래 이용수단의 보안성 등을 고려하여 이용자의 세부 이체한도를 설정하고 각각에 따라 적합한 거래이용수단 적용 등 적절한 보안대책을 마련하여 시행하여야 한다

22 거래이용수단(예시) : 공인인증서, 2 channel 인증, 보안토큰(HSM : Hardware Security Module), OTP(One Time Password) 인증, 휴대폰SMS인증, 보안카드 등 <전자지급수단의 세부적 이용한도(전자금융감독규정 <별표3>)> 가. 전자화폐 및 선불전자지급수단 발행권면 최고한도 (단위 : 만원) 발행권면 한도 구 분 무기명식 1) 기명식 2) 전자화폐 선불전자지급수단 )실지명의 확인이 없거나 예금계좌와 연결되지 않고 발행된 전자화폐 내지 선불전자지급수단 2)실지명의가 확인되거나 예금계좌와 연결되어 발행된 전자화폐 내지 선불전자지급수단 나. 전자자금이체한도(지급이체의 경우) (단위 : 억원) 구 분 1회 이체한도 1일 이체한도 현금카드 1) 인출한도 이체한도 텔레뱅킹 2) 개인 법인 1 5 인터넷뱅킹 3) 개인 1 5 법인 모바일뱅킹 4) 1 5 메일뱅킹 5) ) 금융기관의 자동화기기(CD/ATM)에서 현금을 인출하기 위해 사용하는 접근매체 2) 유선전화를 통하여 예금조회, 자금이체 등의 업무를 수행하는 전자금융방식 3) 유무선 인터넷을 통해 예금조회, 자금이체 등의 업무를 수행하는 전자금융방식 4) 무선전화기에 IC칩을 넣고 이를 통해 예금조회, 자금이체 등의 업무를 수행하는 전자금융방식 5) 예금계좌와 연결된 전자우편 주소(기타 전화번호)를 통해 자금이체 등의 업무를 수행하는 전자금융방식 * 전자자금이체(제34조 및 제37조의 규정에서 정한 예외의 경우는 제외)시 제34조 및 제37조의 규정에서 정한 사항을 준수하여야 한다. 다. 직불전자지급수단 이용한도 (단위 : 억원) 구 분 1회 이용한도 1일 이용한도 직불전자지급수단

23 Ⅳ. 정보기술부문 내부통제 12. 정보기술부문 계획 수립 및 운용 1 (정보기술부문계획수립 운용) 금융회사등은 정보기술부문 계획을 매년 수립하여 전산운영위원회 등 독립적인 조직의 검토와 심의를 거쳐 해당 기관장의 승인을 받은 후 운용하여야 한다. <정보기술부문계획에 포함될 사항> ⑴ 추진목표 및 전략(전자금융업무 추진목표 및 전략과 연계) ⑵ 직전년도 정보기술부문계획 추진 실적 ⑶ 정보기술부문 책임 및 관리 체계 ⑷ 전자금융거래 및 정보기술부문 현황 ⑸ 취약점 분석 평가 결과 및 이행계획 조치 결과 ⑹ 당해 연도 정보기술부문계획 ⑺ 소요 자원 및 인력 예산 ⑻ 그 밖에 금융회사등의 장이 필요하다고 인정한 사항 *상기 모든 사항에는 관련된 정보보호에 관한 사항을 포함 2 (임원성과평가반영) 금융회사등은 정보기술부문계획에 대한 이행 실적을 관련 임원의 성과평가에 반영하여야 한다. <성과 평가 지표(예시)> ⑴ 정성지표 : 계획의 적정성, 법규준수도, 보안만족도 등 ⑵ 정량지표 : 계획이행율, 보안사고 민원발생율, 사고피해규모 등 *금융회사등은 경영부문 및 정보기술부문의 환경과 상황을 고려하여 적절한 정성지표와 정량지표를 개발하여 평가 시행

24 13. 정보기술부문 내부통제 1 (타당성검토) 금융회사등은 전자금융거래 및 정보기술부문과 관련된 사업 중 조직에 미치는 영향이 크거나 내부직무전결기준에 따라 부서장 전결 금액 이상의 사업에 대해서는 사전에 충분한 타당성 검토를 실시하여야 한다. 2 (보안대책강구) 정보처리시스템 구축 및 전자금융거래와 관련하여 정보처리시스템의 안전성과 신뢰성을 확보하기 위하여 정보처리시스템을 개발할 때에는 분석 설계 단계부터 보안대책을 강구하여야 한다. 3 (계약체결시준수사항) 금융회사등은 정보처리시스템 구축 및 전자금융 거래와 관련된 계약 체결 시에 다음의 사항을 준수하여야 한다. 가. 적합한 업체의 공정한 선정을 위하여 객관적인 세부평가기준 등 업체 선정 기준 및 절차를 마련하여 운용할 것 나. 정보처리시스템의 안전성과 신뢰성을 확보하기 위하여 업체 선정 기준 및 절차의 내용에 보안대책 관련 사항을 포함할 것 다. 내부감사규정에 따라 감사가 정한 금액 이상의 계약에 대하여는 자체 감사를 실시하거나 검사부서의 승인을 받을 것 4 (정보처리시스템감리) 금융회사등은 정보처리시스템의 안전성 및 효율성 확보를 위하여 전자금융업무 및 그 기반이 되는 정보기술부문과 관련된 외부주문 등의 감리 기준을 포함한 정보처리시스템 감리지침을 작성 운용하여야 한다

25 가. 금융회사등은 외부주문 등에 대한 감리를 수행 할 수 있도록 전문 인력과 조직을 갖추어야 한다. 나. 금융회사등은 외부주문등에 대한 감리를 종료한 때에는 감리보고서를 최고경영자에게 보고하고 개선이행계획에 따라 개선조치 등을 이행하여야 한다. <감리보고서에 포함될 사항> ⑴ 감리 개요 : 목적, 대상, 기간, 감리조직 및 감리인 ⑵ 외부주문 등에 대한 감리 적용 기준 ⑶ 감리 결과 ⑷ 지적사항 등에 대한 사후 개선이행계획 5 (직무분리) 금융회사등은 다음의 업무를 수행하는 인력에 대하여 직무를 분리 운용하여야 한다. 가. 내부인력과 전자금융보조업자 및 유지보수업자 등을 포함한 외부인력 나. IT개발 운영 등 정보기술부문인력과 정보보호인력 다. 프로그래머와 오퍼레이터 라. 응용프로그래머와 시스템프로그래머 마. 시스템보안관리자와 시스템프로그래머 바. 전산자료관리자(librarian)와 그 밖의 업무 담당자 사. 업무운영자와 내부감사자 아. 그 밖에 내부통제와 관련하여 직무의 분리가 요구되는 경우

26 6 (중요작업이중확인) 금융회사등은 전산원장, 주요정보 등이 저장된 정보처리시스템에 대한 중요작업 수행 시 소관 업무 책임자가 이중 확인을 하여야 한다. 7 (프로그램통제) 금융회사등은 프로그램 등록 변경 폐기 절차를 수립 운용하여야 한다. <프로그램 등록 변경 폐기절차에 포함될 사항> ⑴ 운영시스템 적용은 처리하는 정보의 기밀성 무결성 가용성을 고려하여 충분한 테스트 및 관련 책임자 승인 후 실시할 것 ⑵ 전자 금융거래에 사용되는 전산프로그램은 실제 업무를 처리하는 정보처리시스템에 설치하기 전에 자체 보안성 검증을 실시할 것 8 (일괄작업통제) 금융회사등은 안전하고 체계적인 일괄(Batch)작업의 수행을 위하여 소관 업무 책임자가 일괄작업 수행자의 주요업무 관련 행위를 모니터링하여야 한다. 9 (내부사용자비밀번호관리) 금융회사등은 내부사용자의 비밀번호 유출을 방지하기 위하여 다음의 사항을 정보처리시스템에 반영하여야 한다. 가. 단말기 비밀번호 부여 기준에 따라 비밀번호를 부여하고 분기별 1회 이상 정기적으로 변경할 것 <단말기 비밀번호 부여 기준> 비밀번호는 생년월일, 주민등록번호, 전화번호 등을 포함하지 않은 숫자와 영문자 및 특수문자 등을 혼합하여 8자리 이상으로 부여 나. 비밀번호 보관 시 암호화

27 다. 시스템마다 관리자 비밀번호를 다르게 부여 라. 비밀번호 입력 시 5회 이내의 범위에서 미리 정한 횟수 이상의 입력오류가 연속하여 발생한 경우 즉시 해당 비밀번호를 이용하는 접속을 차단하고 본인 확인절차를 거쳐 비밀번호를 재부여 또는 초기화 할 것 10 (이용자비밀번호관리) 금융회사등은 이용자 비밀번호의 유출을 방지하기 위하여 연속하여 5회 이내의 범위에서 미리 정한 횟수 이상의 비밀번호 입력 오류가 발생한 경우 즉시 해당 비밀번호를 이용하는 거래를 중지 시키고 본인 확인절차를 거친 후 비밀번호 재부여 및 거래 재개할 수 있도록 정보처리시스템에 반영하여야 한다. 이체 비밀번호 등 동일한 비밀번호가 다양한 형태의 전자금융거래에 공통으로 이용되는 경우, 입력오류 횟수는 이용되는 모든 전자금융거래에 대하여 통산 14. 비상대책 수립 운용 등 1 (비상대책등수립) 국가위기관리기본지침 에 근거하여 금융위원회가 지정한 금융기관은 금융위원회의 금융전산분야 위기 대응 실무매뉴얼 에 따라 위기대응행동매뉴얼 (이하 행동매뉴얼 이라 한다)을 수립 시행하여야 하고 이를 수립 또는 중요사항을 변경한 경우 그 수립 또는 변경일로부터 1개월이내에 금융위원회에 해당 행동매뉴얼을 제출하여야 한다. 금융위원회가 별도로 지정하지 아니한 금융회사등은 자연 재해, 인적 재해, 기술적 재해, 전자적 침해 등으로 인한 전산시스템의 마비 방지와 신속한 복구를 위한 비상대책 수립 *행동매뉴얼과 비상대책은 문서화되어 있어야 하고 이를 최초로 수립하거나 중요 사항을 변경하고자 할 때에는 최고경영자의 승인 후 시행

28 2 (업무지속성확보) 금융회사등은 장애, 재해, 파업, 테러 등 긴급한 상황이 발생하더라도 업무가 중단되지 않도록 예방하고, 중단되는 경우 이를 신속하게 복구할 수 있도록 행동매뉴얼 또는 비상대책에 업무지속성확보 대책(BCP : Business Continuity Plan)을 포함시켜야 한다. <업무지속성확보대책에 포함할 사항> ⑴ 상황별 대응절차 ⑵ 재해복구계획(백업 또는 재해복구센터 활용) ⑶ 비상대응조직의 구성 및 운용 ⑷ 입력대행, 수작업 등의 조건 및 절차 ⑸ 모의훈련의 실시 ⑹ 유관기관 및 관련업체와의 비상연락체제 구축 ⑺ 보고 및 대외통보의 범위와 절차 등 3 (비상지원인력확보) 금융회사등은 비상사태에 대비하여 비상지원 인력 확보를 포함한 안전대책을 업무지속성확보대책에 반영하여야 한다. <안전대책에 포함할 사항> ⑴ 파업 시 핵심전산업무 종사자의 근무지 이탈에 따른 전산시스템의 마비를 방지하기 위하여 핵심전산업무에 대한 비상지원인력을 확보 운영할 것 ⑵ 비상사태 발생 시 금융전산망 마비 방지 및 신속한 원상복구 등을 위하여 정보처리시스템 운영에 대한 비상지원인력 또는 외부 전문업체 활용 등 다각적인 방안을 수립 운영할 것 ⑶ 비상지원인력이 사용법을 충분히 이해하고 업무운용이 가능한 수준으로 전산시스템 운영지침서, 사용자매뉴얼 등을 쉽고 자세하게 작성하고 최신상태로 유지할 것 ⑷ 비상지원 인력에 대하여 전산 핵심 업무 담당자 부재 시 동 업무 수행이 가능할 수 있는 수준으로 교육 훈련을 강화할 것 4 (재해복구센터구축 운용) 금융위원회가 지정한 금융기관은 시스템 오류, 자연재해 등 전산센터 마비에 대비하여 핵심 업무에 대한 업무지속성을 확보할 수 있도록 재해복구센터를 구축 운용하여야 한다

29 <금융기관 핵심업무> (은행) 여신, 수신, 외환, 인터넷 뱅킹, 어음 수표 교환, CD/ATM, 차액결제, 센터컷 (Center Cut), 시스템 작업 등 (증권) 주문체결, 계좌잔고, 출납매매, 선물옵션, 유가증권, 은행이체, 주문전달, 투자정보, HTS, 시스템 작업 등 (보험) 지급, 보전, 신계약, 재무, 대출, 자산운용, 콜센터, 사이버 창구, 시스템 작업 등 (카드) 회원관리, 청구 회수, 채권, 가맹점관리, 승인, 신용판매, 국제, 센터컷, 현금 서비스, 대외접속, 시스템 작업 등 가. 재해복구센터는 적정 규모 및 인력을 구비하고 주전산센터와 일정거리 이상 떨어진 안전한 장소에 구축 운용하여야 하며, 복구목표시간은 3시간(단, 보험회사는 24시간) 이내로 하여야 한다. 나. 업무지속성확보대책에 대해서 절차의 실효성, 비상지원인력의 적합성, 재해복구시스템 성능 용량의 적정성 등을 매년 1회 이상 검토하여 최신상태로 유지하고 관리하여야 한다. 다. 업무지속성 확보대책에 따라 매년 1회 이상 재해복구센터로 실제 전환하는 재해복구전환훈련을 실시하여야 한다. <금융위원회가 지정한 금융기관> ⑴ 은행법 에 의해 인가를 받아 설립된 금융기관(단, 은행법 제58조에 의해 인가를 받은 외국금융기관의 국내지점은 제외한다) ⑵ 한국산업은행법 에 의한 한국산업은행, 중소기업은행법 에 의한 중소기업은행, 농업협동조합법 에 의한 농업협동조합중앙회의 신용사업부문, 수산업협동조합법 에 의한 수산업협동조합중앙회의 신용사업부문 ⑶ 자본시장과 금융투자업에 관한 법률 에 의한 투자매매업자 투자중개업자 (단, 자본시장과 금융투자업에 관한 법률 제12조에 의해 인가를 받은 외국 투자매매업자 투자중개업자의 지점 등은 제외한다) ⑷ 자본시장과 금융투자업에 관한 법률 에 의한 증권금융회사 및 한국예탁결제원 ⑸ 자본시장과 금융투자업에 관한 법률 에 의한 한국거래소 ⑹ 여신전문금융업법 에 의한 신용카드업자(단, 법인신용카드 회원에 한하여 신용 카드업을 영위하는 자는 제외한다) ⑺ 보험업법 에 의한 보험요율산출기관 ⑻ 상호저축은행법 에 의한 상호저축은행중앙회 ⑼ 신용협동조합법 에 의한 신용협동조합중앙회 ⑽ 보험업법 에 의한 보험회사

30 5 (비상대응훈련 실시) 금융회사등은 행동매뉴얼 또는 비상대책에 따라 연 1회 해킹, 서비스거부(DoS : Denial of Service)공격 등 전자적 침해사고에 대비한 비상대응훈련을 실시하고 <별지제1호서식>에 따라 훈련 결과보고서를 작성하여 훈련 종료 후 15일 이내에 금융위원회에 보고하여야 한다. <훈련결과보고서에 포함될 사항> ⑴ 훈련 개요 : 훈련목적, 훈련참여자(부서, 기관 등), 훈련기간, 훈련대상(업무, 시설 등) ⑵ 훈련 시나리오 및 훈련 절차와 방법 ⑶ 훈련 결과 ⑷ 미비점 및 보완사항 등에 대한 사후 개선 이행 계획 금융회사등이 합동으로 훈련을 실시한 경우에는 합동 훈련을 주관한 기관 또는 훈련 참가 금융회사등이 지정한 기관에서 합동훈련결과보고서를 제출한 것으로 갈음 가. 금융위원회는 금융분야 비상대응능력 강화를 위하여 금융회사등을 선별하여 금융분야 합동비상대응훈련을 실시할 수 있다. 나. 금융위원회는 합동비상대응훈련을 실시할 때, 침해사고대응전문 기관 등 관계기관에게 지원을 요청할 수 있다. <합동비상대응훈련 지원 기관> ⑴ 정부조직법 제15조에 따른 국가정보원(국가사이버안전센터) ⑵ 경찰법 제2조에 따른 경찰청(사이버테러대응센터) ⑶ 정보통신기반보호법 제16조에 따른 정보공유 분석센터 ⑷ 그 밖의 비상대응훈련의 실효성 확보를 위하여 금융위원회가 필요하다고 인정하는 기관 6 (정보보호교육계획수립) 금융회사등은 임직원의 비상대응역량을 강화 시킬 수 있도록 적합한 교육프로그램을 개발하고 필요한 정보보호 교육계획을 매년 수립하여 시행하여야 한다

31 <금융회사등이 임직원 최소이수 교육시간> ⑴ 임원 : 3시간 이상 (단, 정보보호최고책임자는 6시간 이상) ⑵ 일반직원 : 6시간 이상 ⑶ 정보기술부문 업무 담당 직원 : 9시간 이상 ⑷ 정보보호 업무 담당 직원 : 12시간 이상 가. 금융회사등은 정보보호 교육의 내실화 및 실효성을 확보할 수 있도록 임직원의 정보보호 교육 이수 실적을 임직원의 연수 평가에 반영하여야 한다. 나. 금융회사등은 교육프로그램 개발과 정보보호 교육을 정보보호 전문 교육기관에 위탁할 수 있다. <정보보호 전문교육기관(예시)> ⑴ 금융연수원 ⑵ 금융ISAC ⑶ 금융보안연구원 ⑷ 그 밖의 금융위원회가 지정한 정보보호전문교육기관 15. 침해사고 대응 등 1 (전자적침해행위금지등) 누구든지 전자적 침해행위를 하여서는 아니 되고, 금융회사등은 전자적 침해행위로 인하여 전자금융기반시설이 교란 마비되는 등의 사고(이하 침해사고 라 한다)가 발생한 때에는 금융위원회에 이를 보고하여야 한다. <전자적 침해행위 유형> 1. 접근권한을 가지지 아니하는 자가 전자금융기반시설에 접근하거나 접근권한을 가진 자가 그 권한을 초과하여 저장된 데이터를 조작 파괴 은닉 또는 유출하는 행위 2. 전자금융기반시설의 데이터를 파괴하거나 전자금융기반시설의 운영을 방해할 목적으로 컴퓨터악성코드 논리폭탄 등으로 전자금융기반시설을 공격하는 행위 3. 일시에 대량의 신호를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 전자금융기반시설의 작동에 오류를 발생하게 하는 행위

32 2 (침해사고대응등) 금융회사등은 침해사고에 대응하기 위하여 다음의 업무와 관련하여 금융위원회의 조치 또는 지시를 준수하여야 한다. 가. 침해사고에 관한 정보의 수집 전파 나. 침해사고 예보 경보 다. 침해사고에 대한 긴급조치 등 3 (피해확산방지등) 금융회사등은 침해사고가 발생하면 그 원인을 분석하여 피해의 확산을 방지하기 위해 금융ISAC과 연계 등 필요한 조치를 취하여야 한다. 4 (침해사고정보수집 전파등) 금융회사등은 침해사고정보를 실시간 으로 수집 탐지 및 분석 대응 전파 등을 할 수 있도록 금융ISAC과 연계 등 필요한 조치를 취하여야 한다. <금융ISAC과 연계 방안> (1) (연계대상) 인터넷 기반 전자금융업무를 제공하거나 인터넷 홈페이지를 운영하는 모든 금융회사등 (2) (연계방법) 금융ISAC의 통합보안관제시스템에서 금융회사등의 연계 대상 전자 금융기반시설에 대한 침해사고정보를 실시간으로 수집 탐지 및 분석하여 필요한 대응조치를 공유 전파할 수 있도록 금융회사등와 금융ISAC간 연계 (3) (연계시기) 침해사고 대응능력이 취약한 중소금융기관을 2011년도말까지 우선 금융ISAC과 연계하고, 기타 금융ISAC 미연계 금융회사등도 단계적으로 연계 확대 ㅇ상호저축은행 및 그 중앙회, 신용카드사, 할부금융사 : 2011년말까지 확대 추진 ㅇ보험사 등 그 밖의 금융ISAC 미연계 금융회사등 : 2012년부터 단계적으로 확대 추진 (4) (세부방안) 금융ISAC은 금융회사등과 협의하여 연계에 필요한 세부방안을 마련 시행 5 (침해사고정보공유) 금융위원회는 금융회사등에서 발생한 침해사고에 대해 신속한 대응 및 피해 최소화를 위하여 침해사고대응전문기관과의 침해사고정보 공유체계를 구축 운영할 수 있다. <침해사고대응전문기관> ⑴ 국가정보원의 국가사이버안전센터 ⑵ 경찰청의 사이버테러대응센터 ⑶ 그 밖에 금융위원회가 지정한 침해사고대응전문기관

33 Ⅴ. 전자금융업무등 감독 16. 보안성 심의 1 금융회사등은 보안성 확보가 필수적인 경우에 <별지제2호서식>에 따라 금융감독원장에게 보안성 심의를 요청하여야 한다. <보안성 심의 대상> ⑴ 전산실을 신규로 설치하는 경우(전산실 이전설치 및 재해복구센터 구축 포함) ⑵ 외국금융회사의 전산시설에 대한 해외 설치 이전 및 공동이용을 하는 경우 ⑶ 그 밖의 전자금융거래 안전성 확보를 위하여 금융감독원장이 필요하다고 인정하는 경우 2 금융위원회가 정한 다음의 금융기관은 금융위원회에 보안성 심의를 요청하여야 한다. <금융위원회가 정한 금융기관> ⑴ 한국산업은행법 에 따른 한국산업은행 ⑵ 중소기업은행법 에 따른 중소기업은행 ⑶ 자본시장과 금융투자업에 관한 법률 에 의한 한국거래소 ⑷ 자본시장과 금융투자업에 관한 법률 에 의한 한국예탁결제원 ⑸ 신용보증기금법 에 의한 신용보증기금 ⑹ 기술신용보증기금법 에 의한 기술신용보증기금 3 금융위원회 또는 금융감독원장의 보안성 심의를 요하지 않는 금융 기관은 다음과 같다. 가. 우체국예금 보험에 관한 법률 에 의한 체신관서 나. 새마을금고법 에 의한 새마을금고 및 새마을금고 연합회 다. 한국수출입은행법 에 따른 한국수출입은행

34 17. 정보기술부문 실태평가 등 1 (실태평가) 금융감독원장은 업무의 성격 및 규모, 정보기술부문에 대한 의존도 등을 감안하여 지정한 금융기관에 대하여 검사를 통해 정보기술부문 운영 실태를 평가하고 그 결과는 경영실태평가 등 감독 및 검사업무에 반영하여야 한다. 별표6 정보기술부문 실태 평가 대상 금융기관 가. 금융감독원장은 정보기술부문 실태평가 결과를 경영실태평가 세부 평가항목 중 경영관리 또는 위험관리 항목의 평가비중에서 최소 100분의 20이상 반영하여야 한다. 나. 금융감독원장은 정보기술부문 실태평가 결과가 4등급 이하인 금융기관에 대해 경영실태평가 2등급 이상으로 평가할 수 없다. * 정보기술부문실태평가등급 : 1등급(우수), 2등급(양호), 3등급(보통), 4등급(취약), 5등급(위험) 다. 전자금융감독규정에서 권고하는 정보기술부문 및 정보보호 인력 예산 비율 수준을 충족하는 등 IT경영 관리가 양호한 금융기관에 대해서는 정보기술부문실태 평가 시 IT경영부문 평가 결과에 가점을 부여할 수 있다. * IT 인력 예산 등 경영 리스크 관리 능력, 안정적 IT업무 수행에 필요한 IT 내부인력 (규정 <별표1> 2. 가목 및 3. 가목에 해당하는 인력을 말함)의 양적 질적 역량 및 인적 자원 관리 능력, IT 인력 예산에 대한 효율적 운용 관리 능력 등을 중점 평가

35 2 (확약서제출) 금융감독원장은 정보기술부문 실태평가 결과 종합등급이 4등급인 경우에는 당해 금융기관에게 이의 개선을 위한 확약서 제출을 요구할 수 있고, 금융기관은 해당 기관장의 승인을 받아 확약서를 금융감독원장에게 제출하여야 한다. 3 (양해각서체결) 금융감독원장은 정보기술부문 실태평가 결과 종합 등급이 5등급이거나 직전 정보기술부문 실태평가 결과에 비해 평가 등급이 2등급 이상 하향된 경우에는 취약점 개선대책의 수립 이행을 내용으로 하는 양해각서를 체결할 수 있고, 양해각서는 금융기관 이사회 구성원 전원의 서명을 받아 체결한다. 4 (이행점검) 금융감독원장은 확약서 또는 양해각서의 이행상황을 점검 하여 그 이행이 미흡하다고 판단되는 경우에는 확약서를 다시 제출 받거나 양해각서를 다시 체결할 수 있다. 5 (점검주기등) 확약서 및 양해각서의 효력발생일자, 이행 시한 및 이행 상황 점검주기는 각 확약서 및 양해각서에서 정한다. 이행상황 점검주기를 따로 정하지 않은 경우에는 금융기관은 매분기 익월말까지 분기별 이행상황을 금융감독원장에게 보고 18. 외부주문 등에 대한 기준 1 (외부주문등의 준수사항) 금융회사등은 전자금융거래를 위한 외부 주문 등의 경우에는 다음의 사항을 준수하여야 한다

36 전자금융감독규정( 3)에서 정한 전자금융보조업자와 제휴, 위탁 또는 외부주문에 관한 계약을 체결하고 해당 전자금융보조업자를 위하여 전자금융업무와 관련된 정보 처리시스템을 운영하는 사업자는 전자금융보조업자로 간주 <전자금융감독규정에서 정한 전자금융보조업자> ⑴ 정보처리시스템을 통하여 여신전문금융업법 상 신용카드업자의 신용카드 승인 및 결제 그 밖의 자금정산에 관한 업무를 지원하는 사업자 ⑵ 정보처리시스템을 통하여 은행업을 영위하는 자의 자금인출업무, 환업무 및 그 밖의 업무를 지원하는 사업자 ⑶ 전자금융업무와 관련된 정보처리시스템을 해당 금융기관 또는 전자금융업자를 위하여 운영하는 사업자 가. 금융회사등과 전자금융보조업자 간의 접속은 전용회선(가상사설망 (VPN : Virtual Private Network) 제외)을 사용할 것 나. 외부주문 등 계약서, 협약서 등에 다음의 사항을 명확히 기재할 것 ⑴ 비밀유지의무 ⑵ 금융회사등이 정한 보안 관련 규정 준수 ⑶ 계약 위반시의 손해배상책임 ⑷ 인력, 예산, 시설 및 정보기술부문을 포함한 안전대책 <외부주문등 계약서의 기재 사항(예시)> 계약 목적, 제품 서비스 및 계약 이행 기간 서비스 비용, 대금지급방법, 지불조건, 검수방법 및 납품방법 장소 계약 수정 파기 절차 및 관할법원 외주직원 또는 외주업체에 의해 발생한 손실에 대한 계약업체의 배상책임 외주직원에 대한 보안접근 수준 납품 지연시 지체배상금, 보증기간 및 하자보증금 무상 유지보수조건, 교육훈련 및 한글화된 매뉴얼 제공 프로그램(소스포함) 소유권의 금융회사등의 귀속여부 및 지적재산권 내역 프로그램 사용권만 있는 경우 소스 확보에 대한 비상대책 금융회사등의 평가, 점검 등에 관한 권한 업무보고서, 내부통제보고서, 내 외부감사보고서 및 재무보고서 제출 제3자 재위탁 또는 재위탁업체 변경시 사전 동의 절차 금융회사등이 제시한 제반 법규 기준의 준수 및 미준수시 벌칙 계약업체의 위탁받은 업무에 대한 관리적 기술적 물리적 보호조치 외주직원의 신원보증에 관한 사항 등

37 다. 정보관리의 취약점 최소화 및 보안유지를 위한 내부통제방안을 수립 운용하고, 외부주문의 적정성을 검토 후 자체적으로 통제가 가능하도록 금융회사등의 내부에 조직과 인력을 갖출 것 라. 전자금융보조업자에 대한 재무건전성을 정기적으로(연 1회이상) 평가하여 재무상태 악화에 따른 도산에 대비하고 주요 경영활동에 대한 상시 모니터링을 실시할 것 마. 전자금융보조업자가 제공하는 서비스의 품질수준을 정기적(연1회 이상)으로 평가할 것 바. 전자금융보조업자가 사전 동의 없이 다시 외부주문 등 계약을 체결 하거나 계약업체를 변경하지 못하도록 하고, 사전에 이에 동의할 때에는 해당 계약서에 나.에서 정한 사항을 기재하도록 통제할 것 사. 업무수행인력에 대하여 사전 신원조회 실시 또는 대표자의 신원 보증서 징구, 인력 변경시 인수인계에 관한 사항 등을 포함한 업무수행인력 관리방안을 수립할 것 아. 외부주문 등은 자체 보안성 검토 및 정기 보안 점검 실시 2 (평가결과보고) 금융회사등은 재무건전성 및 서비스 품질에 대한 평가 결과를 금융감독원장에게 보고하여야 하고, 금융감독원장은 그 평가 실시 여부를 정보기술부문 실태평가에 반영할 수 있다. 3 (업무위수탁운영기준준수) 금융회사등은 외부주문등을 하고자 할 때에는 금융기관의업무위탁등에관한규정 제3조의2에 따른 자체 업무 위수탁운영기준 을 준수하여야 한다

38 <업무위수탁운영기준 수립시 고려사항> ⑴ 업무 위탁에 따른 비용 편익 분석 ⑵ 금융이용자 피해 발생 및 금융질서 문란 여부 ⑶ 제3자가 관련 법규에 따라 업무위탁이 가능한지의 여부 ⑷ 금융실명거래및비밀보장에관한법률 등 관련법령에의 저촉여부 4 (외부주문등금지) 금융회사등은 금융기관의업무위탁등에관한규정 제3조에 따라 정보기술부문에 대하여 외부주문등을 할 수 없는 업무를 업무 위수탁운영기준 에 반영하고, 내부인력(규정 <별표1> 2.가목 및 3.가목에 해당하는 인력을 말함)으로 하여금 처리하도록 하여야 한다. <내부인력 수행 업무(예시)> ⑴ 인가 등을 받은 금융업의 본질적 요소를 포함하는 업무 ⑵ 관련법령에서 금융회사등이 수행하도록 의무를 부여하고 있는 업무 ⑶ 업무 위탁으로 인해 금융회사등의 건전성 또는 신인도를 크게 저해하거나 금융질서의 문란 또는 금융이용자의 피해 발생이 심히 우려되는 업무 ⑷ 금융회사등의 주요정보를 직접 취급하고 해당 정보 유출로 인한 사고 발생 위험이 매우 높고 사회적 파장이 매우 큰 업무 ⑸ 자금이체, 주식매매 등 자금 이동을 수반하는 업무와 관련하여 정보기술부문의 사고로 인해 직접적이고 중대한 금전적 사고를 유발할 수 있는 업무 ⑹ 정보처리시스템의 관리자(Root) 권한으로 수행해야 하는 업무 19. 정보기술부문 및 전자금융 사고 보고 1 (사고보고) 금융회사등은 중대한 사고가 발생한 경우에는 지체 없이 <별지제3호서식>에 따라 금융위원회 및 금융감독원장에게 각각 보고하여야 한다

39 <사고 보고 대상> ⑴ 정보처리시스템 또는 통신회선 등의 장애로 10분 이상 전산업무가 중단 또는 지연된 경우 ⑵ 전산자료 또는 프로그램의 조작과 관련된 금융사고가 발생한 경우 ⑶ 해킹, 컴퓨터악성코드 유포 등 전자적 침해 행위로 인해 정보처리시스템에 사고가 발생하거나 이로 인해 이용자가 금전적 피해를 입었다고 금융회사등에게 통지한 경우 ⑷ 전자금융거래법 제9조제1항의 규정에서 정하는 사고 - 접근매체의 위조나 변조로 발생한 사고 - 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고 2 (보고위반시조치) 금융회사등은 사고 보고를 고의로 지연하거나 은폐한 자에 대하여 소정절차에 따라 징계 등 필요한 조치를 취하여야 한다. 3 (위기징후보고) 금융위원회의 금융전산분야 위기대응실무매뉴얼에 따라 행동매뉴얼을 수립 운용하는 금융기관은 금융전산위기징후 (금융전산사고 포함)를 금융위원회에 보고하여야 한다

40 Ⅵ. 부 칙 1. 시행일 1 (시행일) 이 규준은 2011년 11월 1일부터 시행한다. 2 (정보보호인력 예산적용례) 정보보호 인력 예산기준은 전자금융 감독규정( , 금융위 의결) 고시일 이후 최초로 개시되는 사업년도부터 적용하고, 미준수 공시는 동 사업연도가 종료한 이후부터 실시한다. 3 (정보보호기술도입관련적용례) 무선통신망보호(규정 ), 공개용 웹서버인증(규정 1712), 전자금융거래프로그램검증(규정 3427)을 위한 정보보호기술 도입에 관한 사항은 전자금융감독규정 고시일 이후 6개월이 경과한 날부터 적용한다. 4 (평가주기적용례) 금융회사등의 취약점분석 평가는 별표5 의 주기에 따라 2012년 1월 1일부터 적용한다. 2. 이행계획제출 1 (이행계획제출) 금융회사등은 이 규준에 대한 이행계획을 수립하여 2011년 12월 31일까지 금융위원회에 제출하여야 하고, 시행하기 어려운 합리적인 사유가 있을 경우는 해당 사유와 관련 자료를 함께 첨부하여 소명할 수 있다. 2 (이행점검) 금융위원회는 금융회사등이 제출한 이행계획에 대해서 금융회사등에 대한 이행 점검을 실시할 수 있다

41 <별표1> 전자금융거래법에서 정한 금융기관의 범위 1. 금융위원회의 설치 등에 관한 법률 제38조제1호 내지 제8호ㆍ 제10호 내지 제12호에 규정된 기관 가. 은행법 또는 장기신용은행법에 의한 인가를 받아 설립된 금융기관 나. 자본시장과 금융투자업에 관한 법률 에 따른 금융투자업자, 증권금융회사, 종합금융회사 및 명의개서대행회사 다. 보험업법에 의한 보험사업자 라. 상호저축은행법에 의한 상호저축은행과 그 중앙회 마. 신용협동조합법에 의한 신용협동조합 및 그 중앙회 바. 농업협동조합법에 의한 농업협동조합중앙회의 신용사업부문 사. 수산업협동조합법에 의한 수산업협동조합중앙회의 신용사업부문 2. 여신전문금융업법 에 따른 여신전문금융회사 3. 우체국예금ㆍ보험에 관한 법률 에 따른 체신관서 4. 새마을금고법 에 따른 새마을금고 및 새마을금고연합회 5. 그 밖에 법률의 규정에 따라 금융업 및 금융 관련 업무를 행하는 기관이나 단체 또는 사업자로서 대통령령이 정하는 자 가. 한국산업은행법 에 따른 한국산업은행 나. 한국정책금융공사법 에 따른 한국정책금융공사

42 다. 중소기업은행법 에 따른 중소기업은행 라. 한국수출입은행법 에 따른 한국수출입은행 마. 산림조합법 에 따른 조합과 그 중앙회의 신용사업부문 바. 농업협동조합법 에 따른 조합 사. 수산업협동조합법 에 따른 조합 아. 자본시장과 금융투자업에 관한 법률 에 따른 한국거래소 자. 자본시장과 금융투자업에 관한 법률 에 따른 한국예탁결제원 차. 금융지주회사법 에 따른 금융지주회사와 금융지주회사법시 행령 제2조 제2항 제1호에 해당하는 회사 금융지주회사법 시행령 제2조 제2항 제1호 제2조(금융업의 범위 등) 2 법 제2조 제1항 제1호에서 "금융업의 영위와 밀접한 관련이 있는 회사"라 함은 다음 각 호의 1의 사업을 영위하는 것을 목적으로 하는 회사를 말한다. 1. 금융업을 영위하는 회사(이하 "금융기관"이라 한다)에 대한 전산 정보 처리 등의 용역의 제공 카. 보험업법 에 따른 보험협회와 보험요율산출기관 타. 화재로 인한 재해보상과 보험가입에 관한 법률 에 따른 한국 화재보험협회 파. 자본시장과 금융투자업에 관한 법률 에 따른 한국금융투자협회 하. 신용정보의 이용 및 보호에 관한 법률 에 따른 신용정보회사 와 종합신용정보집중기관 갸. 금융기관부실자산 등의 효율적 처리 및 한국자산관리공사의 설립에 관한 법률 에 따른 한국자산관리공사 냐. 한국주택금융공사법 에 따른 한국주택금융공사 댜. 신용보증기금법 에 따른 신용보증기금 랴. 기술신용보증기금법 에 따른 기술신용보증기금

43 <별표2> 정보기술부문 인력 및 정보보호 인력 기준 1. 총임직원 가. 금융회사등이 소득세법에 따른 원천징수의무자로서 근로소득세를 원천 징수한 자를 기준으로 하고 정규직과 계약직은 포함하나 외주(outsourcing) 인력은 제외 나. 외주인력이란 금융회사등과의 외부주문등에 따라 업무를 처리하는 업체에 소속된 자 2. 정보기술부문 인력 정보기술부문 인력이란 다음 가목 및 나목으로 정하는 자 가. 총임직원 중 금융기관의 내부 업무분장규정에 따라 IT 기획 개발 운영 정보보호 등 정보기술부문의 업무를 처리하는 자 나. 금융지주회사 내의 전산 정보처리 용역을 제공하는 자회사의 정규직 및 계약직 인력중 해당 금융기관(동일 금융지주회사 및 금융지주회사법 제4조에 따른 자회사등에 한한다.)의 전산실(재해복구센터포함)이 위치한 건물내에 상주하는 사람으로서, 제60조제1항제13호에 따른 업무수행인력 관리방안에 따라 관리되고 있는 사람

44 다. 나목을 제외한 외주인력 중 해당 금융기관 또는 전자금융업자의 전산실(재해복구센터포함)이 위치한 건물내에 상주하는 사람으로서, 제60조제1항제13호에 따른 업무수행인력 관리방안에 따라 관리되고 있는 사람 (다만, 다목의 인력은 가목의 인력 규모내에서 정보기술 부문 인력으로 인정한다) 3. 정보보호인력 가. 총임직원 중 금융기관의 내부 업무분장규정에 따라 정보보호 업무를 처리하는 자 나. 금융지주회사 내의 전산 정보처리 용역을 제공하는 자회사의 정보보호 업무를 담당하는 정규직 및 계약직 인력중 해당 금융기관(동일 금융 지주회사 및 금융지주회사법 제4조에 따른 자회사등에 한한다.)의 전산실(재해복구센터포함)이 위치한 건물내에 상주하는 사람으로서, 제60조제1항제13호에 따른 업무수행인력 관리방안에 따라 관리되고 있는 사람 다. 나목을 제외한 외주인력 중 해당 금융기관 또는 전자금융업자의 전산실(재해복구센터포함)이 위치한 건물내에 상주하여 정보보호 업무를 처리하는 사람으로서, 제60조제1항제13호에 따른 업무수행인력 관리방안에 따라 관리되고 있는 사람(다만, 다목의 인력은 가목의 인력 규모내에서 정보보호인력으로 인정한다)

45 4. 정보기술부문의 주요 직무별 업무 예시 가. IT 기획 및 관리 ㅇ IT 전략 수립 관리 및 IT관련 규정 지침 관리 ㅇ IT 예산 및 자원계획 수립 관리와 배정 집행 ㅇ IT 자원 도입 검토 및 구매 관리 ㅇ IT 인력 인사 성과관리 및 교육 계획 수립 시행 ㅇ IT 아키텍처 정책표준 수립 관리 및 IT 아키텍처 현행화 ㅇ IT 프로젝트관리 및 통합품질관리시스템운영 ㅇ 형상관리정책 수립 운영 및 프로그램 형상 관리 ㅇ 테스트 방법론과 테스트 계획 관리 및 테스트 품질관리 ㅇ IT 감사 및 IT 감리 기획 실시 등 나. IT 개발 및 유지보수 ㅇ 전산개발 범위와 처리기능 정의, 개발 세부계획 수립 ㅇ 시스템 상세업무요건 정의 및 시스템 인터페이스 데이터 분석 ㅇ 입출력자료, 업무처리 단위별프로그램, 오류코드 등 설계 ㅇ 프로그램 구현 및 산출물 작성 ㅇ 테스트 수행 ㅇ 프로그램 이행 및 시스템 적용 ㅇ 프로그램 유지보수 등

46 다. IT 운영 및 보수정비 ㅇ 메인프레임 운영체제, 스토리지 등 운영 보수정비 및 데이터베이스 관리 ㅇ 서버 운영체제, 미들웨어, 스토리지 등 운영 보수정비 및 데이터베이스 관리 ㅇ 네트워크 운영 및 네트워크 장애 관리 ㅇ 콜센터 시스템 및 콜센터 교환기 운영 ㅇ 단말기, 자동화기기 등 시스템 개발 및 운영 ㅇ 단말기, 주변기기 등 업무용 전산기기 배정 설치 운영 ㅇ 전산기기 자산관리 및 장애관리(보수정비 포함) ㅇ 단말기, 자동화기기, 인터넷, 콜센터 등 채널 통합시스템 관리 운영 ㅇ 대내 외 시스템간 연계(Interface) 중계시스템 관리 운영 ㅇ 전산센터(종합상황실 포함) 운영 및 전산백업 소산매체 관리 운영 ㅇ 재해복구센터(전산백업시스템 포함) 관리 운영 ㅇ 시스템모니터링 등 IT서비스관리시스템(ITSM) 운영 ㅇ 센터집중처리(Center Cut) 배치(Batch)처리, 보고서 추출 등 일괄전산 작업 처리 등 라. IT 정보보호 ㅇ 취약점 분석 평가 및 그 이행 계획 수립 및 시행 ㅇ 내부 정보보호 정책 수립 및 정보보호 관련 규정 지침 제 개정 ㅇ 정보보호 아키텍처 유지관리 ㅇ 정보보호 교육 계획 수립 및 교육 실시

47 ㅇ 전자금융 및 정보기술부문 관련 보안성 검토 ㅇ 전자금융 관련 정보보호 대책 수립 및 시행 ㅇ 모의해킹, 디도스대응훈련 등 비상대응훈련 계획 수립 및 실시 ㅇ IT 내부 통제(법규준수 포함) 관리 ㅇ IT 업무지속성계획 수립 관리 및 업무지속성훈련 실시 ㅇ 침해시도에 대한 실시간 보안 관제 및 통합보안관제시스템 운영 ㅇ 외부 직원 출입 통제 및 노트북, USB 등 반출 입 통제 ㅇ 침해방지 대응시스템 구축 운영 ㅇ 시스템 접근 통제, 권한 관리 및 사용자 인증 관련시스템 구축 운영 ㅇ 고객 정보 보호 및 정보 유출 방지 시스템 구축 운영 등

48 <별표3> 정보기술부문 및 정보보호 예산기준 1. 정보보호 예산규모 정보보호 예산은 정보기술부문 예산의 100분의 7 이상 2. 정보기술부문 예산 기준 가. 정보기술부문 예산 개요 ⑴ 정보기술부문과 관련하여 기획ㆍ개발ㆍ운영ㆍ유지ㆍ보수 및 정보보호 등 에 소요되는 모든 경비의 합계 ⑵ 기술부문 예산은 건물 시설 이용료, 건물 시설 공사비, 전기 전화 등 각종 세금과 공과금 및 사업성 경비는 제외 나. 정보기술부문 예산 항목 예산 항목 ⑴ 인건비 ⑵ 정보처리시스템 구입비 및 임차료 세부 내용 ㅇ정보기술부문과 관련하여 기획 개발 운영 유지 보수 를 수행하는 내부 인력(정규직 및 계약직 포함)의 인건비 및 복리 후생비 등 관련 경비 일체 ㅇ개인사무자동화기기(PC 등) 및 정보처리시스템을 단순 조 회 이용하는 내부직원과 외부 주문 제휴에 따라 정보기 술부문 관련 업무를 수행하는 외부 인력은 제외 ㅇ정보기술부문과 관련하여 하드웨어 및 소프트웨어를 구 입 또는 임차(리스)하는데 소요되는 경비 일체 ㅇ단순히 사무를 처리하기 위하여 사용하는 사무자동 화기기(PC, 프린터, 팩스 등)는 제외

49 예산 항목 ⑶ 정보처리시스템 유지보수비 ⑷ 정보기술 서비스이용료 ⑸ 정보기술 외주 용역비 ⑹ 정보기술 컨설팅 비용 ⑺ 정보기술 교육 훈련비 ⑻ 통신회선 이용료 세부 내용 ㅇ정보처리시스템의 성능을 최적화하고 정상적 기능을 수 행할 수 있도록 정기 또는 수시로 정보처리시스템을 유 지하고 관리하는데 소요되는 경비 일체 ㅇ정보처리시스템 관련 소모품 교체 비용 포함 ㅇ정보처리시스템 및 정보기술부문과 관련하여 필요한 서비스를 이용하는데 소요되는 경비 일체 ㅇS/W라이센스비용, 기술이전 이용료, 정보이용료, 특 허 사용료, 정보보호관제 인증 재해복구 등 정보보호 서비스 이용료 포함 ㅇ외부 주문 또는 제휴 등에 따라 정보처리시스템과 관 련하여 기획 개발 운영 유지 보수의 일부 또는 전부의 업무를 외부업체에 위탁(아웃소싱)하여 수행하 는데 소요되는 경비 일체 ㅇ정보처리시스템 및 정보기술부문과 관련하여 외부기 관으로부터 자문, 점검, 분석, 평가, 인증, 심사, 연구, 조사에 소요되는 경비 일체 ㅇ감리비, 자문료, 취약점 분석 평가 비용, 품질인증심사 비, 국제표준인증심사비 포함 ㅇ정보처리시스템 및 정보기술부문과 관련하여 임직원의 교 육, 직무훈련 연수 및 회의 행사에 소요되는 경비 일체 ㅇ도서 교재 구입비, 교육자료인쇄비, 인쇄비, 세미나 워 크샵 학술발표회 등 회의 행사개최 참가비, 강사료, 직 무교육프로그램참가비 수강료, 직무훈련 연수과정 (대학포함) 수업료 포함 ㅇ정보처리시스템과 관련하여 정보의 송신, 수신과 정보처 리시스템간 접속 연계를 위하여 정보통신사업자(인터 넷서비스제공자 포함)로부터 인터넷, 전용회선 등 통신 회선을 이용하는데 소요되는 경비 일체 ㅇ재해복구센터용 통신회선 이용료, 디도스공격대응용 통 신회선 이용료 포함 ㅇ직원의 정보검색, 이메일 송 수신 등 사무자동화용으 로 사용하는 통신회선의 이용료는 제외 *상기 정보화 예산 항목이외 그 밖의 정보기술부문과 관련된 예산 항목을 포함할 수 있음

50 2. 정보보호 예산 기준 가. 예산 개요 정보화 예산중 정보기술부문의 정보보호와 관련하여 소요되는 모든 경비의 합계 (단, 정보화 예산에 포함되지 아니한 경비는 제외) 나. 예산 항목 예산 항목 ⑴ 정보보호 관련 인건비 ⑵ 정보보호시스템 구입비 및 임차료 ⑶ 정보보호시스템 유지보수비 ⑷ 정보보호서비스 이용료 ⑸ 정보보호 관련 외주 용역비 ⑹ 정보보호 관련 컨설팅 비용 ⑺ 정보보호 관련 세부 내용 ㅇ정보보호와 관련하여 기획 개발 운영 유지 보수 를 수행하는 내부 인력(정규직 및 계약직 포함)의 인 건비 및 복리 후생비 등 관련 경비 일체 ㅇ외부 주문 제휴에 따라 정보보호 관련 업무를 수행하 는 외주 인력과 관련된 경비는 제외 ㅇ정보보호와 관련하여 하드웨어 및 소프트웨어를 구 입 또는 임차(리스)하는데 소요되는 경비 일체 다. 정보보호시스템 분류표 참고 ㅇ정보보호시스템의 성능을 최적화하고 정상적 기능을 수행할 수 있도록 정기 또는 수시로 정보보호시스 템을 유지하고 관리하는데 소요되는 경비 일체 ㅇ정보보호시스템 관련 소모품 교체 비용 포함 ㅇ정보보호와 관련하여 제공되는 서비스를 이용하거나 정보보호시스템와 관련하여 필요한 기술을 확보하 는데 소요되는 경비 일체 라. 정보보호서비스 분류표 참고 ㅇ정보보호S/W라이센스비용, 정보보호기술이전 이용료 포함 ㅇ외부 주문 또는 제휴에 따라 정보보호시스템과 정보 보호서비스와 관련하여 기획 개발 운영 유지 보 수의 일부 또는 전부의 업무를 외부업체에 위탁(아웃 소싱)하는데 소요되는 경비 일체 ㅇ정보보호와 관련하여 외부기관으로부터 자문, 점검, 분 석, 평가, 인증, 심사, 연구, 조사에 소요되는 경비 일체 마. 정보보호컨설팅 분류표 참고 ㅇ정보보호와 관련하여 임직원의 교육, 직무훈련 연

51 예산 항목 교육 훈련비 ⑻ 정보보호 관련 통신회선 이용료 세부 내용 수 및 회의 행사에 소요되는 경비 일체 ㅇ재해복구센터용 통신회선 이용료 ㅇ디도스공격대응용 통신회선 이용료 *상기 정보보호 예산 항목이외 그 밖의 정보보호와 관련된 예산 항목을 포함할 수 있음 다. 정보보호시스템 분류표 ⑴ 컨 텐 츠 정 보 보 호 ⑵ 시 스 템 정 보 보 호 ⑶ 네 트 워 크 정 보 보 호 대분류 소분류 세부항목 1DB정보보호 2디지털저작권관리 3개인정보보호 4데이터백업 5기타 1사용자 인증 2PC정보보호 3Anti-Virus/Spam 4접근통제 1침입차단시스템 ㅇDB암호화 ㅇDB접근통제 ㅇ저작권관리(DRM) ㅇ자료유출방지(DLP) ㅇ정보보호서버 ㅇ개인정보필터링 S/W 데이터 백업 소산시스템 ㅇ재해복구(DR)시스템 ㅇ도청 및 감청 방지 제품 ㅇ정보보호토큰(HSM) ㅇ정보보호스마트카드 ㅇ일회용비밀번호(OTP)생성시스템 ㅇ생체(Bio)인식시스템 ㅇPC정보보호관리 ㅇ정보보호USB ㅇ키보드해킹방지프로그램 ㅇ바이러스백신(Vaccine) ㅇ바이러스월(wall) ㅇ안티 스파이웨어(Spyware) ㅇ스팸(Spam) 차단 ㅇ피싱(Phishing) 방지 ㅇ정보보호운영체제(SecureOS) ㅇ통합접근권한관리(EAM) ㅇ싱글사인온(SSO) ㅇ통합계정관리시스템(IM/IAM) ㅇ네트워크방화벽 ㅇ시스템 방화벽 ㅇPC방화벽 ㅇ웹방화벽 ㅇ통합위협관리시스템(UTM) 2침입방지시스템 ㅇ침입탐지(IDS) ㅇ침입방지(IPS)

52 대분류 소분류 세부항목 3가상사설망 4전자서명 5네트워크통제 6 무선 모바일정보보호 7DDoS대응 ㅇVPN ㅇ공개키기반(PKI) ㅇ망접근제어(NAC) ㅇ 무선랜정보보호 ㅇ모바일정보보호 ㅇDDoS대응(탐지,차단)시스템 ⑷ 정 보 보 호 관 리 1정보보호관리서비스 ㅇ네트워크정보보호관리(NMS) ㅇ위협관리시스템(TMS) ㅇ위험관리시스템(RMS) ㅇ기업정보보호관리(ESM) ㅇ패치관리시스템(PMS) ㅇ로그(log) 관리 분석 툴 ㅇ취약점 분석 포렌식 툴 *상기 정보보호시스템이외 그 밖의 정보보호시스템을 포함할 수 있음 라. 정보보호서비스 분류표 대분류 소분류 세부항목 정 보 보 호 서 비 스 1인증서비스 ㅇ공인/사설인증서비스 2정보보호관제서비스 ㅇ정보보호관제서비스 3재해복구서비스 ㅇ재해복구서비스 4위협정보제공서비스 ㅇ취약점, 대응방안 등 정보제공서비스 *상기 정보보호서비스이외 그 밖의 정보보호와 관련된 서비스를 포함할 수 있음 마. 정보보호컨설팅 분류표 대분류 소분류 세부항목 정 보 보 호 컨 설 팅 1정보보호컨설팅 ㅇ정보보호계획 수립 자문 ㅇ정보보호표준 인증 심사 ㅇ정보보호제품 시험 평가 ㅇ정보보호 연구 개발 ㅇ정보기술부문 감리 2취약점 분석 ㅇ취약점 분석 평가 ㅇ모의 해킹 ㅇ모의 훈련 *상기 정보보호컨설팅이외 그 밖의 정보보호와 관련된 컨설팅을 포함할 수 있음

53 <별표4> 금융회사등의 취약점 분석 평가 주기 기준 1. 1월 1일부터 당해연도 12월 31일까지인 금융회사등 가. 은행법 또는 장기신용은행법에 의한 인가를 받아 설립된 금융기관 나. 농업협동조합법에 의한 농업협동조합중앙회의 신용사업부문 다. 수산업협동조합법에 의한 수산업협동조합중앙회의 신용사업부문 라. 한국산업은행법 에 따른 한국산업은행 마. 중소기업은행법 에 따른 중소기업은행 바. 한국수출입은행법 에 따른 한국수출입은행 사. 한국정책금융공사법 에 따른 한국정책금융공사 아. 금융기관부실자산 등의 효율적 처리 및 한국자산관리공사의 설립에 관한 법률 에 따른 한국자산관리공사 자. 한국주택금융공사법 에 따른 한국주택금융공사 카. 신용보증기금법 에 따른 신용보증기금 타. 기술신용보증기금법 에 따른 기술신용보증기금 파. 금융지주회사법 에 따른 금융지주회사와 금융지주회사법시 행령 제2조 제2항 제1호에 해당하는 회사 등 2. 4월 1일부터 익년도 3월 30일까지인 금융회사등 가. 자본시장과 금융투자업에 관한 법률 에 따른 금융투자업자, 증권금융회사, 종합금융회사 및 명의개서대행회사 나. 자본시장과 금융투자업에 관한 법률 에 따른 한국거래소 다. 자본시장과 금융투자업에 관한 법률 에 따른 한국예탁결제원 라. 자본시장과 금융투자업에 관한 법률 에 따른 한국금융투자협회 등

54 3. 7월 1일부터 익년도 6월30일까지인 금융회사등 가. 보험업법에 의한 보험사업자 나. 보험업법 에 따른 보험협회와 보험요율산출기관 다. 화재로 인한 재해보상과 보험가입에 관한 법률 에 따른 한국 화재보험협회 라. 상호저축은행법에 의한 상호저축은행과 그 중앙회 등 4. 10월 1일부터 익년도 9월30일까지인 금융회사등 가. 여신전문금융업법 에 따른 여신전문금융회사 나. 신용정보의 이용 및 보호에 관한 법률 에 따른 신용정보회사 와 종합신용정보집중기관 다. 신용협동조합법에 의한 신용협동조합 및 그 중앙회 라. 산림조합법 에 따른 조합과 그 중앙회의 신용사업부문 마. 우체국예금ㆍ보험에 관한 법률 에 따른 체신관서 바. 새마을금고법 에 따른 새마을금고 및 새마을금고연합회 사. 농업협동조합법 에 따른 조합 아. 수산업협동조합법 에 따른 조합 등

55 <별표5> 정보기술부문 실태평가 대상 금융기관 1. 은행법 에 의해 인가를 받아 설립된 금융기관(단, 은행법 제58조에 의해 인가를 받은 외국금융기관의 국내지점은 제외한다) 2. 한국산업은행법 에 의한 한국산업은행, 중소기업은행법 에 의한 중소기업 은행, 농업협동조합법 에 의한 농업협동조합중앙회의 신용사업부문, 수산업 협동조합법 에 의한 수산업협동조합중앙회의 신용사업부문 3. 자본시장과 금융투자업에 관한 법률 에 의한 투자매매업자 투자중개업자 (단, 자본시장과 금융투자업에 관한 법률 제12조에 의해 인가를 받은 외국 투자매매업자 투자중개업자의 지점 등은 제외한다), 증권금융회사 및 한국예 탁결제원 4. 보험업법 에 의한 보험회사(단, 외국보험회사의 국내지점은 제외한다), 보 험협회, 보험요율산출기관 및 화재로 인한 재해보상과 보험가입에 관한 법 률 에 의한 한국화재보험협회 5. 여신전문금융업법 에 의한 여신전문금융회사(단, 신용카드사 이외 여신전 문금융회사의 경우 직전 사업년도 기준 자산규모 2조원 이상인 회사에 한한 다) 및 여신전문금융업협회 6. 자본시장과 금융투자업에 관한 법률 에 의한 종합금융회사 및 한국금융투 자협회 7. 자본시장과 금융투자업에 관한 법률 에 의한 한국거래소 8. 상호저축은행법 에 의한 상호저축은행중앙회 및 상호저축은행(단, 직전 사 업년도 기준 자산규모 2조원 이상인 상호저축은행에 한한다) 9. 신용협동조합법 에 의한 신용협동조합중앙회 10. 신용정보의 이용 및 보호에 관한 법률 에 의한 종합신용정보집중기관

56 <별지제1호서식> 작 성 자 : (직 위) 전화번호 : 비상 대응 훈련 결과 보고서 문서번호 수 참 신 조 제 목 비상대응훈련 결과 보고 붙임과 같이 비상대응훈련 결과를 보고합니다. 붙 임 훈련결과 1부. 끝. 금융회사 대표이사 (인)

57 (붙임) 비상 대응 훈련 결과 훈련목적 훈련개요 훈련참여자 훈련기간 훈련대상 훈련 시나리오 훈련 절차 훈련 방법 훈련 결과 총평 개선사항 개선이행계획 상기 항목중 추가 설명이 필요한 사항의 세부 자료는 별첨으로 제출 가능

58 <별지제2호서식> 작 성 자 : (직 위) 전화번호 : 보안성심의 신청서 문서번호 수 참 신 조 제 목 보안성심의 요청 붙임과 같이 보안성심의를 요청합니다. 붙 임 보안성심의 요청내용 1부. 끝. 금융회사 대표이사 (인)

59 (붙임) 보안성심의 요청내용 1. 업무명 : 2. 적용예정일 : 3. 업무개요(적용업무) : 4. 업무처리 절차 : 5. 시스템 및 네트워크 구성도 : 6. 관리체계 : 기기별 담당자 관련 규정 또는 지침 7. 전문처리(암호화) 절차 : 8. 보호대책(예) 고객PC 네트워크 방화벽 웹서버 방화벽 DB/App서버 사용자 네트워크 DMZ구간 금융회사 단말기 구 간 내부구간 구 분 보안 취약점 대 책 세부 내용 비 고 사용자단말기 네트워크구간 DMZ구간 금융회사내부 기밀성, 무결성, 인증에 대한 방안 명시(사용알고리즘, 키관리 등)

60 9. 사용 시스템 현황 시스템명 (용도) 모델명 (제조사) OS 시스템 제원 CPU 메모리 DISK 캐쉬 처리용량 신규도입 여부 10. 통신 회선, 접속속도, 통신방식 및 적용 보안 솔루션 11. 금융회사 자체 보안성심의 결과 20 년 월 일 완료 : 붙임 자체보안성심의 결과 참조 12. 담당자 소 속 직 위 이 름 담당업무 연락처 상기 항목중 보안성심의 요청 업무상 해당사항이 없는 항목은 제출 자료에 제외 가능

61 ( 별 첨 ) 사업목적 및 추진계획 사업계획서 기술제안요구서 정보통신망 구성도 자체보안대책 강구사항 - 보안관리수행체계(조직, 인원) - 자체보안심의결과 - 정보통신시스템 설치장소의 보안통제현황(시스템 설치의 경우) - 보안시스템, 단말기, 통신망, 고객정보 등의 보안요소별 보안대책 - 백업, 소산, 비상대책 등에 대한 대응방안 - 전산센터(백업센터)에 대한 가용성, 방호성 및 방재성 확보 현황 등 기타(해당사항 있는 경우) - 주센터 및 재해복구센터 위치 - 재해복구 목표시간 및 재해복구 대상 업무 - 재해복구 시스템 백업 및 복구 절차 - 주 센터 대비 전산시스템 용량(주요 전산시스템) 시스템명 * 주센터장비 제원 (CPU, 메모리, DISK 등) 재해센터장비 제원 (CPU, 메모리, DISK 등) 주센터대비 처리용량(%) 비 고 * 메이프레임, DB서버, 인터넷뱅킹서버, 주 Storage 등 주요 전산시스템 - 업무처리 절차 세부 내용 - 암호 및 인증 프로그램 세부 내용 - 암호장비 세부 제원 - 계약서 등 상기 자료 중 보안성 심의 대상 사업의 특성 등에 따라 해당되는 않는 자료는 첨부하지 아니할 수 있다

62 <별지제3호서식> 작 성 자 : (직 위) 전화번호 : 정보기술부문 및 전자금융 사고보고서 문서번호 수 참 신 조 제 목 정보기술부문 및 전자금융 사고보고 붙임과 같이 사고를 보고합니다. 붙 임 사고내용 1부. 끝. 금융회사 대표이사 (인)

63 (붙임) 정보기술부문 및 전자금융 사고내용 발생일시 및 지속시간 사고내용 사고원인 파급영향 처리결과 대 책 * 사고의 내용이 중대한 경우는 유선을 이용하여 우선 보고 후 세부내용 조사 및 처리결과를 추후에 보고