CISO 핵심업무 체크리스트
-
IT기술의 발달로 정보보호의 중요성은 갈수록 커지고 있고, 각종 보이스피싱과 파밍 등 금융보안 이슈 역시 끊이지 않고 발생하고 있다. 이 때문에 CISO의 역할은 그 어느 때보다 중요해지고 있다. 이에 금보원에서 발간한 CISO를 위한 핸드북 가운데 CIOS 핵심업무 체크리스트를 알아본다.
-
정보보호정책
: 정보기술부문 계획 수립/운용
금융회사 및 전자금융업자는 안전한 전자금융거래를 위해 정보기술부문에 대한 현실적이고 실현 가능한 장/단기 계획을 매년 수립한 후 대표자의 승인을 받아 금융위원회에 제출해야한다. 정책과 계획에는 정보보호 관련 법류를 위반 시 그 제재에 관한 세부 기준 및 절차 마련이 포함돼야 한다. (전자금융거래법 제 21조 제 4항, 전자금융감독규정 제 19조 제 1항, 제 8조 제 1항 제 5호, 정보통신기반보호법 제5조)
-
정보보호조직
: 정보처리시스템 관련 전담 조직 확보
금융회사는 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 금융위원회가 정하는 기준을 준수해야하며, 정보처리시스템 및 전자금융업무 관련 전담 조직을 확보해야 한다(전자금융거래법 제 21조 제4항, 전자금융감독규정 제8조 제1항 제1호)
: 정보기술부문 및 정보보호 인력
전자금융거래의 종류별 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관련 기준을 준수해야 한다. 또한 규정된 인력 및 예산에 관한 사항을 준수해야 하며, 미이행 시 사유 및 이용자 보호에 미치는 영향 등에 대해 홈페이지 등을 통해 사업연도 종료 후 1개월 이내 공시해야 한다(전자금융거래법 제21조 제 2항, 제11조의2 제2항, 제11조의2 제 3항, 전자금융감독규정 제8조 제2항~제4항)
: 손해배상 책임
전자금융거래법 제9조에 따라 이용자에게 손해가 발생할 경우에는 그에 대한 금융회사의 배상 책임이 따른다. 따라서 금융기관은 사고에 따른 배상 책임을 이행하기 위해 금융위원회가 정하는 기준에 따라 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 해야 한다.(전자금융거래법 제9조제1항~제3항, 동법 시행령 제8조, 전자금융감독규정 제5조 정보통신망법 제32조)
: 정보보호 예산 비율
금융회사의 정보보호 예산은 정보기술부문 예산의 7%를 확보하도록 노력해야하고, 권고수준 미 충족 시에는 사업연도 종료 후 1개월 이내에 그 사유 및 이용자 보호에 미치는 영향 등을 설명한 자료를 공시해야 한다(전자금융거래법 제21조 제2항, 전자금융감독규정 제8조제2항~제4항)
: 정보보호위원회 설치/운영
금융회사는 금융권의 중요 정보보호에 관한 사항을 심의/의결하는 정보보호 위원회를 설치/운영해야 하고, 해당 사항은 최고경영자에게 보고해야 한다(전자금융거래법 제21조 제2항, 전자금융감독규정 제8조의2 제1항~제5항)
-
인적보안
: 전산인력 연수 프로그램 운영
금융권의 인력 및 조직의 운용은 전산 인력의 자질향상 및 예비요원 양성을 위한 교육 프로그램을 운영해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제8조제1항제3호, 전자서명법 제18조의3, 정보통신기반보호법 제9조)
: 정보보호 교육계획 수립/시행
금융회사는 임직원의 정보보호 역량 강화를 위해 필요한 교육 프로그램을 개발하고, 교육계획의 수립과 평가를 실시해야 한다(전자금융거래법 제21조제2항, 전자금융감독규정 제 19조의2 제1항~3항, 전자서명법 제18조의3, 정보통신기반보호법 제9조)
-
물리적/환경적 보안
-
운영관리
-
IT도입/개발/유지보수관리
-
업무연속성관리
-
보안사고대응
'Cyber Security' 카테고리의 다른 글
| 방화벽/IDS/IPS 개념정리 (0) | 2020.03.18 |
|---|---|
| Webgoat (0) | 2020.03.10 |
| Foxy Proxy 설치하기 (0) | 2020.02.27 |
| 웹 해킹 공격의 종류 (0) | 2020.02.26 |
| 웹 해킹 절차, 대상, 사용 도구, 방법론에 관하여 (1/2) (0) | 2020.02.22 |