제 6 조 은행업 금융기관은 효과적인 정보 시스템 위험 관리 프레임워크를 구축하고 내부 조직 구조와 작업 메커니즘을 보완하며 정보 시스템 위험을 예방하고 통제해야 한다.
제 7 조 은행업 금융기관은 다음과 같은 정보 시스템 관리 책임을 충실히 이행해야 한다.
(1) 국가 정보 시스템 관리 법규 및 기술 표준을 관철하고 은감회 관련 규제 요건을 이행하다.
(2) 효과적인 정보 보안 시스템 및 내부 통제 절차를 수립하고, 정보 시스템 위험 관리직 책임제를 명확히 하며, 시행을 감독한다.
(3) 본 기관의 정보 시스템 위험에 대한 검사, 평가 및 분석을 조직하고, 본 기관 전문위원회, 은감회 및 파견기관에 관련 관리 정보를 적시에 제출할 책임이 있습니다.
(4) 은감회 및 파견기관에 본 기관의 중대 정보 시스템 사고 또는 돌발사건을 적시에 보고하고 관련 예안에 따라 신속하게 대응한다.
(5) 매년 이사회 또는 기타 의사결정기관의 심의를 거친 후 은감회 및 파견기관에 정보 시스템 위험 관리 연례 보고서를 제출한다.
(6) 이 기관의 정보 시스템 감사를 잘 수행한다.
(7) 은감회 및 파견 기관과 협조하여 정보 시스템 위험 감독 검사를 잘 수행하고 감독 의견에 따라 정돈한다.
(8) 정보 시스템과 관련된 업무, 기술 및 안전 교육을 실시하기 위해 본 기관의 정보 시스템 종사자를 조직한다.
(IX) 정보 시스템 위험 관리와 관련된 기타 업무를 수행합니다.
제 8 조 은행 금융 기관의 이사회 또는 기타 의사 결정기구는 정보 시스템의 전략 계획, 주요 프로젝트 및 위험 감독 관리를 담당한다. 정보기술관리위원회, 위험관리위원회 또는 위험감독을 담당하는 기타 전문위원회는 정보 시스템의 전반적인 전략을 개발하고, 정보시스템 프로젝트 건설을 총괄하고, 본 기관의 정보시스템 위험상황을 정기적으로 평가 및 보고하고, 의사결정자에게 건의를 제공하고, 적절한 위험통제 조치를 취해야 한다.
제 9 조 은행업 금융기관의 법정 대표나 주요 책임자는 본 기관의 정보 시스템 리스크 관리 책임자이다.
제 10 조 은행업 금융기관은 본 기관의 정보 시스템 계획, R&D, 건설, 운영, 유지 관리 및 모니터링을 담당하고 일상적인 기술 서비스 및 운영 기술 지원을 제공하는 정보기술 부서를 설립해야 합니다. 전문 정보 시스템 위험 관리 부서를 설립하거나 명확히 하고, 정보 시스템 위험 관리 규정 제도를 완비하고, 업무 부서와 정보 기술 부서가 엄격하게 집행하고, 관련 규제 정보를 제공할 수 있도록 지원합니다. 감사 부서나 전문 감사 직책을 설립하고 건전한 정보 시스템 위험 감사 제도를 수립하며 적절한 자격을 갖춘 인력을 배치하여 정보 시스템 위험 감사를 실시합니다.
제 11 조 은행업 금융기관이 정보시스템 관련 업무에 종사하는 인원은 다음과 같은 조건을 갖추어야 한다.
(a) 좋은 직업 윤리를 가지고 정보 시스템 관련 책임을 수행하는 데 필요한 전문 지식과 기술을 습득한다.
(2) 사전 근무 훈련이나 훈련 없이는 직무를 수행할 수 없다. 심사를 거쳐 적합하지 않은 직원은 제때에 조정해야 한다.
제 12 조 은행업 금융기관은 정보시스템 위험관리 전문팀 건설을 강화하고 정보기술 발전에 적응하는 인재 인센티브 메커니즘을 세워야 한다.
제 13 조 은행업 금융기관은 관련 법규에 따라 정보 시스템 위험 상황을 적시에 규범적으로 공개해야 한다.
전체 위험 관리
제 14 조 전체 위험은 정보 시스템이 전략, 시스템, 기계실, 소프트웨어, 하드웨어, 네트워크, 데이터, 문서 등에 영향을 미치는 글로벌 또는 * * * 의 위험을 말합니다.
제 15 조 은행 금융 기관은 정보 시스템의 전반적인 계획에 따라 명확하고 지속적인 위험 관리 전략을 수립하고 정보 시스템의 민감도에 따라 각 종합 요소를 분석하고 평가하여 효과적인 통제를 실시해야 한다.
제 16 조 은행업 금융기관은 자연재해와 경영 환경 변화로 인한 안전위협을 방지하고 각종 돌발 사고와 악의적인 공격을 막기 위한 조치를 취해야 한다.
제 17 조 은행업 금융기관은 정보 시스템과 관련된 규제, 기술 사양 및 운영 절차를 건전하게 세워야 한다. 정보 시스템 관계자의 책임과 권한을 명확히 하고, 제약 메커니즘을 확립하고, 최소 권한을 실시한다.
제 18 조 해외에 설립된 중자은행업 금융기관이나 국내에 설립된 해외 은행업 금융기관은 국내외 정보시스템 감독체계의 차이로 인한 국경을 넘나드는 위험을 방지해야 한다.
제 19 조 은행업 금융기관은 국가 관련 정보 보안 표준을 엄격히 집행하고, 정보 보안 표준화를 적극적으로 추진하며, 관련 국제 표준을 참고하여 정보 보안 수준 보호를 실시해야 한다.
제 20 조 은행업 금융기관은 정보 시스템의 평가와 테스트를 강화하고, 제때에 수리하고 업데이트하여 정보 시스템의 안전과 완전성을 보장해야 한다.
제 21 조 은행업 금융기관 정보시스템 데이터 센터의 기계실은 컴퓨터 장소, 환경, 전력 공급 및 유통에 관한 국가 기술 표준을 준수해야 한다. 국가급 데이터 센터는 최소한 국가 A 형 룸 기준을 충족해야 하고, 성급 데이터 센터는 최소한 국가 B 형 룸 기준을 충족해야 하며, 성급 이하 데이터 센터는 최소한 C 형 룸 기준을 충족해야 합니다. 데이터 센터실은 무단 액세스를 허용하지 않는 엄격한 출입 통제 조치를 실시해야 합니다.
제 22 조 은행업 금융기관은 지적재산권 보호, 정품 소프트웨어 사용, 소프트웨어 버전 관리 강화, 우리나라 자주지적재산권을 지닌 하드웨어 및 소프트웨어 제품 사용에 우선 순위를 부여해야 한다. 자주지적 재산권을 갖춘 정보 시스템 및 관련 금융 상품을 적극적으로 개발하고, 본 기관의 정보화 성과를 보호하기 위한 효과적인 조치를 취한다.
제 23 조 은행 금융 기관 정보 시스템 관련 전자 장비의 선택, 구매, 등록, 유지 보수, 수리 및 폐기는 관련 규정을 엄격히 준수해야 하며, 선택한 장비는 기술적 논증을 거쳐야 하며, 테스트 성능은 국가 관련 기준에 부합해야 합니다. 정보 시스템에 사용되는 서버와 같은 핵심 장비는 높은 신뢰성, 충분한 용량, 내결함성 및 적절한 예비 부품을 갖추어야 합니다.
제 24 조 정보 시스템 네트워크는 관련 표준과 규범을 참조하여 설계 및 건설해야 한다. 네트워크 설비는 기술적 선진성과 제품 성숙도가 모두 있어야 한다. 네트워크 장비 및 회선에는 중복 백업이 있어야합니다. 회선 임대 계약을 엄격하게 관리하여 비즈니스 및 거래 프로세스 요구 사항에 따라 전송 대역폭을 보장합니다. 네트워크 관리 센터를 구축하고, 통신 회선 및 네트워크 장치를 모니터링하고 관리하며, 네트워크 보안 및 안정적인 작동을 보장합니다.
제 25 조 은행업 금융기관은 사이버 안전 관리를 강화해야 한다. 프로덕션 네트워크는 개발 및 테스트 네트워크, 비즈니스 네트워크 및 사무실 네트워크, 내부 네트워크 및 외부 네트워크와 격리되어야 합니다. 무선 네트워크 및 인터넷 액세스의 경계 제어 강화 컨텐츠 필터링, 인증, 방화벽, 바이러스 예방, 침입 탐지, 취약성 검사, 데이터 암호화 등의 기술적 수단을 사용하여 외부 공격 및 정보 유출 위험을 효과적으로 줄일 수 있습니다.
제 26 조 은행업 금융기관은 정보 시스템 암호화, 키, 암호, 암호 해독 프로그램 등의 보안 요소에 대한 관리를 강화하고, 국가 보안 표준에 부합하는 암호 장비를 사용하여 보안 요소의 생성, 수집, 사용, 수정, 저장 및 폐기와 같은 관리 제도를 보완해야 한다. 키와 비밀번호를 정기적으로 교체해야 합니다.
제 27 조 은행업 금융기관은 데이터 수집, 저장, 전송, 사용, 백업, 복구, 추출, 정리 및 폐기에 대한 효과적인 관리를 강화해야 하며, 비시스템 데이터를 수집, 처리, 전송 또는 액세스할 수 없습니다. 시스템 및 데이터베이스 보안 설정 최적화, 시스템 및 데이터베이스 사용 권한 부여, 적절한 데이터 암호화 기술을 사용하여 중요한 데이터의 전송 및 액세스를 보호하고 데이터 무결성 및 기밀성을 보장합니다.
제 28 조 은행업 금융기관은 정보 시스템 구성 매개변수에 대해 엄격한 보안 기밀 관리를 실시하여 불법 생성, 변경, 유출, 손실 및 파괴를 방지해야 한다. 민감도와 용도에 따라 액세스, 방법 및 승인 사용 범위를 결정하고 절차를 엄격하게 승인 및 등록합니다.
제 29 조 은행업 금융기관은 정보시스템 응급계획을 제정하고 정기적으로 연습, 심사 및 개정해야 한다. 주정부 이하 데이터 센터는 최소한 데이터 백업 및 원격 스토리지를 구현하고, 주정부 데이터 센터는 최소한 원격 데이터의 실시간 백업을 구현하고, 국가급 데이터 센터는 원격 재해 복구를 수행합니다.
제 30 조 은행업 금융기관은 기술 문서 및 중요한 데이터의 백업 관리를 강화해야 한다. 기술 서류와 중요 자료는 중복하여 오프사이트에 보관하고 규정 연한을 보존해야 하며, 호출할 때 엄격히 허가해야 한다. 정보 시스템의 기술 문서에는 시스템 환경 설명 문서, 소스 프로그램 및 시스템 연구, 개발, 운영 및 유지 보수 과정에서 형성된 다양한 기술 문서가 포함됩니다. 중요 데이터에는 거래 데이터, 회계 데이터, 고객 데이터, 생성된 보고서 데이터가 포함됩니다.
제 31 조 은행업 금융기관은 정보 시스템이 고객 서비스에 영향을 미칠 수 있을 때 고객에게 적절한 방식으로 알려야 한다.
R&D 위험 관리
제 32 조 R&D 위험은 R&D 과정에서 정보 시스템의 조직, 계획, 요구 사항, 분석, 설계, 프로그래밍, 테스트 및 시운전으로 인한 위험입니다.
제 33 조 은행업 금융기관은 정보 시스템 개발 전에 프로젝트 실무 그룹을 설립하고, 주요 프로젝트는 프로젝트 리더십 팀을 설립하고 책임자를 지명해야 한다. 프로젝트 리더십 팀은 프로젝트의 조직, 조정, 검사 및 감독을 담당합니다. 프로젝트 팀은 전체 프로젝트 개발을 담당하는 비즈니스 인력, 기술자 및 관리자로 구성됩니다.
제 34 조 프로젝트 팀 구성원은 프로젝트 요구 사항에 적합한 비즈니스 경험과 전문 기술 지식을 갖추어야 하며, 팀장은 정보 시스템 연구 개발의 품질과 진도를 보장하는 조직 리더십을 갖추어야 합니다.
제 35 조 은행업 금융기관 업무부문은 업무 발전 전략에 따라 충분한 시장 조사와 제품 이익 분석을 바탕으로 정보 시스템 R&D 프로젝트 타당성 보고서를 작성해야 한다.
제 36 조 은행업 금융기관 업무부는 프로젝트 수요설명서를 편성하고 위험통제요구를 제기해야 하며, 정보기술부는 프로젝트 수요에 따라 프로젝트 기능설명서를 작성해야 한다.
제 37 조 은행업 금융기관 정보기술 부문은 프로젝트 기능 사양에 따라 프로젝트 전체 기술 프레임워크 및 설계 사양을 별도로 편성해야 하며, 설계 및 코딩은 프로젝트 기능 사양의 요구 사항을 충족해야 합니다.
제 38 조 은행업 금융기관은 테스트의 무결성과 정확성을 보장하기 위해 별도의 테스트 환경을 구축해야 한다. 테스트에는 최소한 기능 테스트, 안전 테스트, 스트레스 테스트, 수락 테스트 및 적응성 테스트가 포함되어야 합니다. 테스트에서는 프로덕션 데이터를 직접 사용할 수 없습니다.
제 39 조 은행업 금융기관 정보기술 부문은 테스트 결과에 따라 시스템 기능과 결함을 복구하여 시스템의 전반적인 품질을 높여야 한다.
제 40 조 은행업 금융기관 업무인력과 기술자는 직무 범위에 따라 운영 절차, 기술 응급계획, 업무 연속성 계획, 생산 계획, 비상철수 계획을 별도로 편성하고 연습해야 한다.
제 41 조 개발 과정에 관련된 모든 서류와 자료는 관련 부서와 인원이 서명하고 보관해야 한다.
제 42 조 공사 검수는 관련 책임자가 공사 검수 보고서를 제출해야 하며, 검수 불합격은 사용에 투입해서는 안 된다.
제 5 장 운영 및 유지 보수 위험 관리
제 43 조 운영 및 유지 보수 위험은 정보 시스템 운영 및 유지 보수 과정에서 운영 관리, 변경 관리, 룸 관리 및 이벤트 관리와 같은 위험을 의미합니다.
제 44 조 은행업 금융기관 정보시스템의 운영유지보수는 의무와 분리되어야 하고, 운영자는 전문직이어야 하며, 다른 사람이 겸임해서는 안 된다. 운영자는 운영 절차에 따라 검사하고 조작해야 한다. 유지 관리 담당자는 라이센스 및 유지 관리 절차의 요구 사항에 따라 생산 상태의 소프트웨어, 하드웨어 및 데이터를 유지 관리해야 하며, 긴급 상황을 제외한 기타 유지 관리는 비근무 시간에 수행해야 합니다.
제 45 조 은행업 금융기관 정보시스템 운영은 다음과 같은 요구 사항을 충족해야 한다.
(a) 규정 된 검사 시간, 운영 범위, 내용, 방법, 명령 및 책임자와 같은 정보를 포함한 상세한 근무 운영 양식 개발
(2) 정보 시스템 시작 또는 중지, 작업 로그 조회 등 일반적이고 간단한 작업 메뉴 또는 명령을 제공합니다. 을 눌러 섹션을 인쇄할 수도 있습니다
(3) 기계실 환경, 장비 사용, 네트워크 운영, 시스템 운영 등의 모니터링 정보를 제공합니다.
(4) 근무 중 모든 현상, 운영 과정 등의 정보를 기록하다.
제 46 조 은행업 금융기관 정보 시스템 유지 보수는 다음과 같은 요구 사항을 충족해야 한다.
(a) 정보 시스템 장비 및 시스템 환경 유지 관리를 제외하고 소프트웨어 또는 데이터의 유지 관리는 특정 애플리케이션을 통해 수행되어야하며, 데이터 추가, 삭제 및 수정은 캐비닛 터미널을 통해 수행되어야하며 데이터베이스를 직접 조작할 수 없습니다.
(2) 유지 관리 및 감사를 위해 거래일 기록 및 감사 로그를 포함한 다양한 상세 로그 정보를 제공합니다.
(3) 수리 통계 및 보고서 인쇄 기능을 제공합니다.
제 47 조 은행업 금융기관 정보 시스템 변경은 다음과 같은 요구 사항을 충족해야 한다.
(1) 엄격한 변경 처리 프로세스를 개발하고, 변경 통제에서 각 직책의 책임을 명확히 하며, 프로세스에 따라 통제 및 관리를 수행합니다. 변경하기 전에 비상 및 반환 방안을 명확히 해야 하며, 무단 변경 작업을 해서는 안 된다.
(2) 변경 요구 사항, 변경 방안, 변경 내용 체크리스트 등 관련 문서에 따라 변경의 정확성, 보안 및 합법성을 검토합니다.
(3) 소프트웨어 도구를 사용하여 변경의 실제 위치와 내용을 정확하게 파악하고 변경 체크리스트를 형성하여 진실하고 효과적이며 포괄적인 검사를 실시해야 합니다.
(4) 소프트웨어 버전이 변경된 후에는 초기 버전과 모든 버전 내역을 유지하고 모든 내역 변경 사항에 대한 검증 목록을 유지해야 합니다.
제 48 조 은행업 금융기관은 정보시스템이 가동된 후 일정 기간 내에 사후 평가를 조직하고 평가 결과에 따라 시스템 기능을 적시에 조정하고 최적화해야 한다.
제 49 조 은행업 금융기관은 기계실 환경시설에 대한 일상적인 검사를 실시하여 정보시스템과 기계실 환경시설이 고장났을 때의 응급처리 절차와 예안을 명확히 해야 한다. 실시간 거래 서비스를 갖춘 데이터 센터는 24 시간 근무해야 한다.
제 50 조 은행업 금융기관은 사건 보고 제도를 실시해야 한다. 정보 시스템에 중대한 경제적 손실, 평판 손실, 중대한 영향을 미치는 사건은 즉시 보고하고 처리해야 하며, 필요한 경우 응급계획을 시작해야 한다.
아웃소싱 위험 관리
제 51 조 아웃소싱 위험은 은행업 금융기관이 정보 시스템의 계획, R&D, 건설, 운영, 유지 관리 및 모니터링을 비즈니스 파트너나 외부 기술 공급업체에 위임할 때 발생하는 위험입니다.
제 52 조 은행업 금융기관이 정보 시스템을 아웃소싱할 때는 위험 통제와 실제 요구에 따라 아웃소싱 원칙과 범위를 합리적으로 결정하고, 아웃소싱에 존재할 수 있는 잠재적 위험을 신중하게 분석 및 평가하고, 건전한 관련 규제제도를 수립하고, 그에 따른 위험 예방 조치를 마련해야 한다.
제 53 조 은행업 금융기관은 하청업체의 경영상황, 자금력, 신용기록, 안전자질, 기술서비스능력, 실질위험통제, 책임부담수준 등을 충분히 심사하고 평가하고 필요한 실사를 실시해야 한다. 평가는 해당 국가 감독 부서의 자격을 갖춘 관련 전문 경험을 가진 독립 기관에 의뢰할 수 있습니다.
제 54 조 은행업 금융기관은 청부업자와 서면 계약을 체결하여 쌍방의 권리와 의무를 명확히 하고 청부업자의 안전, 비밀, 지적재산권 등에 대한 의무와 책임을 약속해야 한다.
제 55 조 은행업 금융기관은 아웃소싱 서비스가 정보 시스템 위험 통제에 미치는 직접적, 간접적 영향을 충분히 인식하고 이를 전체 보안 전략 및 위험 통제에 통합해야 한다.
제 56 조 은행업 금융기관은 완전한 정보 시스템 아웃소싱 위험 평가 및 모니터링 절차를 수립하고, 아웃소싱 위험을 신중하게 관리하며, 아웃소싱 관리 능력을 높여야 한다.
제 57 조 은행 금융 기관 정보 시스템 아웃소싱 위험 관리는 위험 관리 기준 및 전략을 준수하고 아웃소싱 위험 비상 계획을 수립해야 합니다.
제 58 조 은행 금융 기관은 아웃소싱 계약자와 효과적인 연락, 커뮤니케이션 및 정보 교환 메커니즘을 구축하여 계약자의 원활한 변경을 실현하고 돌발 상황에서 아웃소싱 서비스가 중단되지 않도록 하는 비상 계획을 세워야 합니다.
제 59 조 은행업 금융기관은 민감한 정보 시스템 및 국가 비밀, 영업 비밀, 고객 프라이버시 데이터 관리 및 전송과 관련된 기타 콘텐츠를 아웃소싱할 때 국가 관련 법률 및 규정을 준수하고 은감회 관련 규정을 준수하며 이사회 또는 기타 의사결정기관의 승인을 받아야 합니다. 아웃소싱 전 은감회 및 파견 기관 및 법률 규정에 보고가 필요한 기관에 신고해야 합니다.