HOME / 클라우드 보안 및 정보보호컨설팅 서비스 분야 / 금융 클라우드 이용신고대응 보안컨설팅 방법론

금융 클라우드 이용신고대응 보안컨설팅 방법론

금융 클라우드 이용신고대응 보안컨설팅

“전자금융감독규정 제14조의2(’23.1.1 개정기준)”, “별표2의2(안전성평가 기준)”, “별표2의4(안전성 확보기준)”의 안전성 의거하여 클라우드서비스제공자(CSP) 안전성 평가 및 동 규정 제5항에 의거하여 금융감독원에 제출해야 할 문서 요건을 수립하는 목적의 컨설팅 방법론 및 수행프로세스 입니다.

  • Stage 1

    환경분석 & 자료수집

    수행내역
    • 사업 수행계획서 작성 및 배포
    • 금융기관의 클라우드서비스 이용 업무 조사
    • 클라우드서비스 제공자와 공급관계, 클라우드서비스 모델, 기술적 검토
        - IaaS/PaaS/SaaS 클라우드 유형, 기술적 구분 분석
        - 클라우드서비스 제공자 CSA STAR, KISA CSAP, FedRAMP
      (연방정부 위험 및 인증 관리 프로그램) 등 인증 취득 여부 조사 :
      CSP 안전성평가 생략 가능여부 판단
        - CSP 안전성평가 사전질의
    • 클라우드서비스 이용 관련 정보보안 정책, 지침서 요청 및 검토
        - 금융회사 정보보안 내규 등
        - IT재해복구절차, BCP계획서
    산출물
    • 수행 계획서
    • CSP 안전성평가 사전질의서
  • Stage 2

    클라우드 업무 중요도 평가

    수행내역
    • 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) 제1항제1호”에 의거 클라우드서비스 중요도 평가 지표 기준 적용
    • CSBIA주1)(Cloud Service Business Importance Assessment) 방법론(SH보안감사에서 개발) 및 수행절차 이용
        v 기본 5개 지표 적용
        v 필요 시 금융감독원에서 정한 지표 적용할 수 있음
    • 클라우드 중요업무 또는 비중요업무 결정
    • 업무 중요도 방식 : 정량적 평가
    • 클라우드 기반 업무 중요도 평가(인터뷰, 지표기반) 및 보고서 작성
    SH보안감사 CSBIA(Cloud Service Business Importance Assessment)주1) 프로세스 및 방법론
    수행 단계설명
    Step 1. CSBIA 대상 선정
    • 금융 클라우드 관련 업무 담당자 지정 및 인터뷰
    • 클라우드 기반 금융 업무 이용 조사
    • 클라우드 기반 금융 단위 업무 파악 및 확정
    Step 2. 클라우드서비스 업무 분석 금융 클라우드 업무에 관련된 클라우드서비스 모델(IaaS/PaaS/SaaS) 정의를 위한 구성도 등 분석
    전자금융업무 분석
    • -금융 업무 조직, 업무 내용
    • -클라우드 기반 정보자산 종류 등 현황 파악
    • -클라우드서비스를 이용한 전자금융 업무 관련 데이터 종류 조사
    Step 3. 클라우드 업무 중요도 지표정의 및 평가
      전자금융감독규정(’23.1.1 시행)제14조의2제1항제1호에 따른 5개 지표기준으로 평가
    • 가. 규모, 복잡성 등 클라우드컴퓨팅서비스를 통해 처리되는 업무의 특성
    • 나. 클라우드컴퓨팅 서비스 제공자로부터 제공받는 서비스가 중단될 경우 미치는 영향
    • 다. 전자적 침해 행위 발생시 고객에게 미치는 영향
    • 라. 여러 업무를 같은 클라우드컴퓨팅서비스 제공자에게 위탁하는 경우 해당 클라우드 컴퓨팅서비스 제공자에 대한 종속 위험
    • 마. 클라우드컴퓨팅 서비스 이용에 대한 금융회사 또는 전자금융업자의 내부통제 및 법규 준수 역량
    Step 4. 클라우드서비스 업무 중요도평가 결과 도출
  • 정량적 방법으로 클라우드서비스 업무 중요도 평가
  • 클라우드서비스 업무 중요도 평가 결과서 작성
  • 평가 후 중요정보처리시스템 또는 비중요처리시스템 판단
    		•

    CSBIA : 클라우드서비스 업무 중요도 평가(SH보안감사의 방법론)

    산출물
    • 클라우드서비스 업무 중요도 평가보고서
    • ※ 클라우드 중요업무 또는 비중요업무 판단
  • Stage 3

    GAP 분석

    수행내역
    • “금융 클라우드서비스 CSP 안전성 평가 결과서 작성
        v [별표2의2]기본보호조치 분야: 11개 통제영역 54개 항목
         - IaaS/PaaS/SaaS 구분에 따른 통제항목 선택
    • 중요 업무의 경우 적용기준
        v 필수 및 대체항목 54개 적용
    • 비중요 업무의 경우 적용기준
        v 필수항목, 16개 항목 적용
    • 금융 클라우드 통제평가 방법
         v 인터뷰, 증빙자료 검토, 실사
    • CSP 재무건전성 평가
         v 재무제표 중 6개 지표로 평가
    • CSP 안전성 확보조치 이행평가
    산출물
    • CPS 안전성평가 결과서
    • CSP 재무건전성 평가 보고서
    • CSP 안전성 및 건전성 평가 보고서
    • CSP 안전성 확보조치 이행평가 결과서(선택)
  • Stage 4

    금융 컴플라이언스 준비 구현

    수행내역
    • “전자금융감독규정 제14조의2제1호”,
      “금융회사의 정보처리 업무 위탁에 관한 규정“, 제7조제1항에 따른
        - 클라우드서비스 업무위탁계약관리지침 수립 및 제출서류 자문
        - 클라우드서비스 제공자와 계약 시 필수 포함해야 할 사항 자문
    • 클라우드서비스 업무연속성 계획(부분 컨설팅 수행) : “전자금융감독규정제14조의2제1항제3호“ [별표2의3)] 기준 적용
        - 훈련 및 사고관리 : 추가사항
        - 비상대책 수립 : 추가사항
        ※ 추가사항 적용기준 : 중요업무인 경우 지원 가능함
    • 클라우드서비스 안전성 확보조치 지침 작성 : <별표2의4>기준
    산출물
    • 클라우드 업무위수탁관리지침
    • 정보처리 업무 위탁에 관한 제출요건사항(협의후 부분지원)
    • 클라우드 업무연속성 계획(추가사항 중 일부만 가능)
    • 클라우드 안전성 확보조치 지침