- 전자금융거래법령, 전자금융감독규정 내 보안업무의 CISO, CEO, 상위감독기관 보고, 제출 업무 정리


전자금융감독규정.pdf


전자금융거래법.pdf


전자금융거래법 시행령.pdf



■ CISO 까지 보고/승인

1. 무선통신망 이용 업무의 승인

① 내용 : 무선통신망을 이용한 업무는 정보보호최고책임자의 승인을 받아 사전에 지정해야한다.

② 근거 : 전자금융감독규정 제15조(해킹 등 방지대책) 6항 1호 <개정 2013.12.3>


 



 CEO 까지 보고

1. 정보보안 관련법규 준수 점검결과 보고

① 내용 : 정보보호최고책임자는 임직원이 정보보안 관련법규가 준수되고 있는지 정기적으로 점검하고 그 점검결과를 최고경영자에게 보고할 것

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 1항 4호 <신설 2013.12.3>


 


2. 정보보안 관련법규 위반자 제재 보고

① 내용 : 최고경영자는 임직원이 정보보안 관련법규를 위반할 경우 그 제제에 대한 기준 및 절차를 운영해야하므로 

             정보보호최고책임자는 정보보안 관련법규 위반자의 제제 기준 및 절차를 수립하여 CEO 에게 보고해서 시행해야 한다. 

   (내 생각. CEO 가 이거 챙기겠어?)

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 1항 5호 <신설 2013.12.3>


 


3. 정보기술부문/정보보호 인력, 정보보호예산의 감독규정 미준수 시 보고 및 공시

① 내용 : 정보기술부문 인력은 총 임직원수의 100분의 5 이상(5%), 정보보호인력은 정보기술부문 인력의 100분의 5 이상(5%), 

   정보보호예산을 정보기술부문 예산의 100분의 7 이상이 되도록 해야한다.

② 근거 : 전자금융감독규정 제8조(인력, 조직 및 예산) 3항 <개정 2013.12.3>

   금융회사 정보기술부문 보호업무 모범규준 II. 5. ⑥



③ 공시방법

- 홈페이지

- 홈페이지를 운영하지 않는 금융회사는 관련 협회를 통해 공시

④ 공시 시기 

- 매사업년도 종료 후 1개월 이내

- 사업연도 반기(반기가 시작되는 월 기준)마다 주기적으로 재공시

 ⑤ 공시 기간

- 공시일로부터 15일 동안 공시


4. 정보보호위원회 심의, 의결사항 보고

① 내용 : 정보보호최고책임자는 정보보호위원회 심의·의결사항을 최고경영자에게 보고하여야 한다.

② 근거 : 전자금융감독규정 제8조의2(정보보호위원회 운영) 4항


 


     

 상위감독기관 보고

1. 정보기술부문 계획서 제출

① 내용 : 안전한 전자금융거래를 위한 정보기술부문에 대한 현실적이고 실현 가능한 장단기 계획을 매년 수립하여 운영하여야 한다.

② 근거 : 전자금융거래법 제21조(안전성의 확보의무) 4항 <신설 2013.5.22>

             전자금융감독규정 제19조(정보기술부문 계획서 제출 절차 등) 1항 <신설 2013.12.3>


 


 


최종 제출처 : 금융위원회

 제출 시기 : 매 사업연도 초일부터 3개월 이내

 보고 내용

- 정보기술부분의 추진목표 및 추진전략

- 정보기술부문의 직전 사업연도 사업실적 및 해당 사업연도 추진계획

- 정보기술부문의 조직 등 운영 현황

- 정보기술부문의 직전 사업연도 및 해당 사업연도 예산

- 그 밖에 안전한 전자금융거래를 위하여 정보기술부문에 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

⑥ 벌칙/과태료

- 정보기술부문 계획을 제출하지 않으면 1천만원 이하 과태료


2. 전자금융기반시설의 취약점 분석, 평가 결과서 제출

① 내용 : 총자산이 2조원이상이고 상시 종업워수가 300명이상인 금융회사는 전자금융거래의 안전성과 신뢰성을 확보하기 위해 

   전자금융기반시설에 대한 분석, 평가해야한다.

② 근거 : 전자금융거래법 제21조3(전자금융기반시설의 취약점 분석, 평가) 1항

             전자금융감독규정 제37조의3(전자금융기반시설의 취약점 분석, 평가 전문기관의 지정 등) 2항


 



최종 제출처 : 금융위원회

 취약점 분석, 평가 시기

- 사업연도마다 1회 이상 취약점 분석, 평가 실시(홈페이지는 6개월에 1회 이상)

- 즉시 취약점 분석, 평가

가. 침해사고가 발생하여 그 피해 및 피해 확산을 방지하기 위한 긴급한 조치가 필요한 경우

나. 정보처리시스템이나 인터넷 홈페이지 구축 등 정보기술부문 관련 사업을 실시하였거나 정보기술부문의 기능개선ㆍ변경을 수행한 

     경우

 결과서 제출 시기 : 취약점 분석, 평가 종료 후 30일 이내 제출

⑥ 취약점 분석, 평가 대상

가. 정보기술부문의 조직, 시설 및 내부통제에 관한 사항

나. 정보기술부문의 전자적 장치 및 접근매체에 관한 사항

다. 전자금융거래의 유지를 위한 침해사고 대응조치에 관한 사항

라. 정보기술부문과 연계된 전자금융보조업자의 정보처리시스템 등에 관한 사항

마. 그 밖에 전자금융거래의 안정성과 신뢰성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

⑦ 벌칙/과태료

전자금융기반시설의 취약점을 분석, 평가하지 아니한 자는 2천만원 이하 과태료

보완조치의 이행계획을 수립, 시행하지 아니한 자는 2천만원 이하 과태료

전자금융기반시설의 취약점 분석, 평가의 결과를 보고하지 아니한 자는 1천만원 이하 과태료


3. 정보기술부문 및 전자금융사고 보고

① 내용 : 금융회사는 전산장애, 금융사고, 해킹 등 중대한 사고가 발생하면 지체 없이 상위기관에 보고하여야 한다.

② 근거 : 전자금융감독규정 제73조(정보기술부문 및 전자금융사고보고) 1항 <신설 2013.12.3>



③ 최종 보고처 : 금융위원회 및 금융감독원장

 보고 대상사고

가. 전자적 침해행위로 인해 정보처리시스템에 사고가 발생하거나 이로인해 이용자가 금전적 피해를 입었다고 금융회사 또는 

     전자금융업자에게 통지한 경우

나. 접근매체의 위조나 변조로 발생한 사고



Posted by i kiss you
,