9월 27, 2020

위 험평가 항목에 근거한 업무 연속성 계획

마지막으로 PSD2는 업무 연속성 항목에서 위 험평가 항목에 근거한 업무 연속성 계획의 수립 에 대한 요건

을 제시하고 또한 지속적인의 계획 의 평가․개선을 위한 관련 요건 등을 제시하고 있다. 이에 대해 전자금융

감독규정은 비상대책 수립 시 업무별 중요도의 분석․반영, 대책의 주기적인 점검․개선 등 업무연속성 확보

를 위해 기관이 수행할 업무 및 복구목표시간, 인력․장 비 수준 등 적정 기준을 구체적으로 제시하여 이를 준

수하는 경우 분석․계획․평가․개선으 로 이어지는 업무연속성관리체계가 이루어지도 록 규정하고 있으나,

PSD2와 같이 위험평가에 근거하도록 명시하지 않는다는 차이가 있다 PSD2는 기관이 구축한 보안위험관리

프레임 워크가 내․외부의 환경변화에도 유효성을 유 지할 수 있도록 관련 보안수단을 지속적으로 평가․개선

할 수 있는 체계를 구축하고, 서비스 환경의 변화 등을 모니터링․분석하여 프레임 워크에 반영하는 조직과

절차를 보유하며, 임직 원의 보안인식 제고와 보안 절차․역할에 대한 교육 프로그램을 수립하도록 규정하고

있다. 전자금융감독규정도 취약점 분석․평가 및 관련한 경영진 참여의 요건, 규정 시간 이상의 임직원 대상

보안교육 실시 등 PSD2에 대응하 는 내용을

과 같이 규정하고 있지 만, PSD2는 평가와 교육에 있어 핵심 시스템과 중요 직무의 판단 기준을 위험평가 항

목에 근 거토록 규정하고 있으나, 전자금융감독규정은 직접 위험평가에 근거토록 제시하지는 않으며 기관

이 수행해야 하는 업무와 준수해야 하는 기준을 상세하게 제시하는 방식을 취하고 있다. 먼저, 전자금융감

독규정은 일정 규모 이상의 기관은 주기적인 취약점 분석․평가를 실시하 고 취약점 개선 등 조치사항의 이

행에는 경영진 이 참여토록 하고 있다. 다만, 이는 지속적으로 보안 취약점의 존재 여부를 점검하고 개선하

도 록 하는 목적이 강하며, PSD2에서 제시하는 보 안위험관리프레임워크를 평가․개선하는 체계 를 보유하

도록 하는 것과는 차이가 있다 다음으로, 교육에 관해서는 임직원의 정보보 호역량 강화를 위한 정보보호

교육의 실시를 규 정하고, 인력 및 조직 운용요건에 관한 별도의 항목으로 교육․연수 프로그램의 수립을 포

함하 는 등 대응하는 내용을 확인할 수 있으나, 다만, PSD2는 평가와 교육에 있어 핵심 시스템과 중요 직무

의 판단을 위험평가 항목에 근거토록 하지만 전자금융감독규정은 직접 위험평가에 근거토록 제시하지는 않

으며 대상 기관의 의무와 준수 기 준을 상세하게 제시하는 방식을 취하고 있다. 마지막으로 PSD2는 이용자

가 대상이거나 원인인 보안위험의 완화를 위하여 이용자에게 서비스 관련 보안위험 가이드와 공지 등을 제

공하는 지원 절차를 보유하도록 규정하고 있는 데, 전자금융감독규정도 역시 안전한 서비스 제공을 위하여

이용자에게 비밀번호 유출, 해 킹․피싱 등 보안위험과 기관의 이용자 보호제 도 등을 공지하도록 규정하고

있다. PSD2는 제도적으로 지급결제지시서비스와 계좌정보서비스 등 새로운 서비스를 금융시장 에 도입하

고 금융기관이 독점적으로 통제하던 계좌와 관련 정보를 제3자에게도 비차별적으 로 제공함으로써 시장의

혁신을 도모하고 있다. 그러나 이는 계좌와 정보의 보호를 보다 어렵 게 하고, 새롭게 계좌 접근을 보장받은

IT기업 등 제3자는 기존 금융기관과 다른 특성과 보안 수준을 가지며 신뢰와 평판 등을 중시하여 보 안투자

에 적극적인 금융기관과 달리 자율적인 투자에 소극적일 수 있다.

출처 : 토토사이트추천 ( https://ptgem.io/ )