A. 금융회사의 IT 내부통제

1. 정보보호 컴플라이언스

  • 정보보호 컴플라이언스란 준법감시를 뜻하며 기업 내 모든 임직원들이 정보보호 관련 법률, 규정 등을 보다 철저하게 준수하도록 사전 또는 상시적으로 통제, 감독하는 것
  • 전산 정보보호 사고의 증가로 다양한 분야에서 규제가 강화되고 있는 추세임
  • 컴플라이언스 위험에 적극적으로 대처 못할시 기업의 생존과 직결되는 중대한 결과 초래 

2. 금융회사가 준수해야하는 정보보호 관련 법률

  • 전자금융거래법
  • 전자금융감독규정
  • 신용정보보호법
  • 정보통신망법
  • 개인정보보호법
  • 정보통신기반보호법

3. 정보보호 정책의 필요성

  • 다양한 요구사항 및 법률 등을 충족시킬 정보보호 정책 수립이 필요함.
  • 금융회사는 서비스의 안정성 및 정보의 신뢰성 확보를 위해 내부의 규정을 수립하여 모든 임직원 및 관련자에게 상기시킴으로 내부통제를 강화할 수 있음.
  • 정책은 일반적으로 년 1회 이상 검토하도록 하고 이슈발생으로 인한 정책의 수정이 필요한 경우 즉시 검토할 수 있도록 해야 함
  • 정책의 이행을 위해 실무담당자의 업무수행을 위한 세부적인 방법 및 절차를 규정해야 함. 또한 이를 주기적으로 검토 보완 해야함.

4. 금융 IT 업무에서의 정보보호

  • 사용자 단말기, 내부 시스템에 대한 비밀번호 관리절차를 수립하여야 함
  • 보안 프로그램을 설치 운영 하여 악성 프로그램을 통해 정보가 위 변조, 유출되지 않도록 방지해야 함
    • 보안 및 백신 프로그램은 실시감 감지가 되어야 하며 일 1회 이상 주기적 업데이트가 필요함
  • 새로운 취약성에 대한 보안패치가 발표되는 즉시 자사의 시스템에 적용하여 보안 조치를 취해 사고 발생을 사전에 방지해야 함
  • P2P, 공유폴더 등 정보가 유출될 수 있는 경로에 대한 통제가 필요함
  • 해당 업무를 외주를 통해 운영할 경우 적정한 서비스 수준 확보 및  사고 대책을 마련할 수 있도록 해야 함