이 규준은 금융회사의 금융업 영위와 관련한 전산장비의 사용·관리 및 기록 유지에 대한 기준과 보안유지를 위한 내부통제 절차 등을 정함으로써, 전산장비를 이용한 불법적인 자료 유출 및 루머(rumor)의 확산을 방지하고 건전한 영업질서를 확립함을 목적으로 한다.
이 규준에서 사용하는 용어의 정의는 다음 각호와 같다.
1. ‘전산장비’라 함은 전산정보처리를 위한 하드웨어 및 소프트웨어를 말하며, 관련 장비와 보조기억매체 및 정보통신수단을 포함한다.
2. ‘전산자료’라 함은 전산장비에 의해 입력·보관·출력되어 있는 자료를 말하며 그 자료가 입력·출력되어 있는 자기테이프, 디스크, 디스켓, 콤팩트디스크(CD), USB 등 보조기억매체를 포함한다.
3. ‘로그기록'이라 함은 전산장비 사용과 관련된 모든 기록을 말하며, 전자우편, 메신저 등 정보통신수단의 사용자, 사용시간, 송·수신 정보내용(첨부자료 포함) 등을 포함한다.
4. ‘정보통신수단’이라 함은 전자우편, 메신저 및 이와 유사한 전자적 수단으로 회사의 정보통신망을 통하여 정보 및 문서를 송·수신하는 장치 및 컴퓨터 프로그램을 말한다.
5. ‘전자우편’이라 함은 컴퓨터 등 정보처리장치를 이용하여 작성한 정보 및 문서를 정보통신망을 이용하여 송·수신하는 정보통신수단을 말하고, ‘메신저’란 전단의 정보 및 문서를 정보통신망을 이용하여 실시간으로 송·수신할 수 있는 정보통신수단을 말한다.
6. ‘사적 정보’라 함은 전산자료, 로그기록 중 회사의 업무와 무관한 임직원(단순 피사용자를 포함할 수 있다. 이하 같다) 개인의 정보를 말한다.
7. ‘열람’이라 함은 업무수행을 위한 최소한의 목적 범위내에서 전산자료를 살펴보는 것을 말한다.
8. ‘모니터링’이라 함은 제10조에 따라 정보통신수단에 대한 사용기준 준수여부를 확인하기 위하여 로그기록을 열람하거나, 제11조에 따라 전산장비 보안대책 강구 여부에 대하여 살펴보는 것을 말한다.
금융회사 및 그 임직원은 금융회사의 전산장비를 사용·관리함에 있어서 다음 각호의 원칙을 준수하여야 한다.
1. 금융회사는 전산장비를 이용한 불법적인 자료 유출 및 루머의 확산을 방지하기 위하여 임직원의 전산장비 사용·관리에 대한 기준을 정하고, 전산장비 보안을 위하여 사용기록의 보관·열람 등 관리체계를 구축하여야 한다.
2. 금융회사의 임직원은 회사가 제공하는 전산장비가 회사의 자산임을 인식하고, 업무의 목적 범위 이외의 사용을 자제하여야 한다.
3. 금융회사는 회사가 임직원에게 제공한 전산장비를 이용하여 업무와 관련하여 작성되거나 송·수신된 정보 및 문서에 대한 소유권은 회사에 있음을 명확히 하여야 한다.
4. 금융회사는 임직원이 작성하거나 송·수신한 정보 및 문서의 내용이 업무와 무관한 사적 정보임을 알게 된 경우에는 임직원의 사생활을 침해하지 않도록 노력하여야 한다.
5. 금융회사는 임직원의 동의에도 불구하고 송수신중이거나 수신이 완료되었으나 내용을 확인하지 않은 전자메일, 메신저를 감청해서는 아니된다.
① 이 규준은 금융회사가 임직원에게 제공한 컴퓨터 등 회사소유 또는 회사가 사용권을 가지고 있는 전산장비 및 전산자료에 한하여 적용한다.
② 이 규준에서 정보통신수단은 회사 외부와의 정보 및 문서를 송·수신하는 경우에 한하여 적용한다.
③ 이 규준이 적용되는 금융회사의 범위는 ‘별지1’과 같다.
① 금융회사는 로그기록을 확보할 수 있는 정보통신수단 중에서 전자우편, 메신저 등 종류별로 임직원이 업무용으로 사용가능한 ‘업무용 정보통신수단’을 지정하여야 한다.
② 금융회사의 임직원은 회사가 제공한 컴퓨터 등 정보처리장치에서 회사가 지정한 업무용 정보통신수단 외의 정보통신수단에 대하여는 수신 이외의 목적으로 사용하지 않아야 한다.
③ 금융회사의 임직원은 업무처리를 위해 불가피한 경우 부서장 또는 정보보안 관련 부서의 사전승인을 받아 업무용으로 지정되지 않은 정보통신수단을 이용하여 정보 등을 송·수신할 수 있다. 이 경우, 부서장 또는 정보보안 관련부서의 사전승인을 받은 정보통신수단은 ‘업무용 정보통신수단’으로 본다.
④ 금융회사는 업무용으로 지정한 정보통신수단 외의 정보통신수단은 내부 정보통신망에서 작동되지 않도록 기술적으로 가능한 범위 내에서 전산시스템을 구축하여야 한다. 다만, 금융회사는 업무용 정보통신수단 외의 전자우편에 대하여 수신만 가능하도록 전산시스템을 구축할 수 있다.
① 금융회사는 전자우편, 메신저 등 업무용 정보통신수단을 이용하여 처리할 수 있는 업무의 범위 또는 금지하는 업무의 범위를 정하여야 한다.
② 금융회사는 업무용 정보통신수단을 통하여 불가피하게 고객의 개인정보 및 금융거래정보 등 보호대상 정보를 제공하는 경우에는 수신처의 정확성 확보 및 착오로 인한 송신 시 대책 등을 마련하여야 한다.
③ 금융회사는 제1항의 업무의 범위를 부서별, 직원별 또는 직책별로 달리 정할 수 있다.
금융회사의 임직원은 업무용 정보통신수단을 이용하여 다음 각호의 행위를 하여서는 아니된다.
1. 영업비밀에 속하는 사항을 업무 이외의 목적으로 발송하는 행위
2. 사생활 침해 또는 명예훼손 등 타인의 권리를 침해하는 내용을 발송하는 행위
3. 범죄를 목적으로 하거나 교사(敎唆) 또는 방조하는 내용을 발송하는 행위
4. 회사가 승인하지 않은 광고문구를 이용하여 투자광고하거나, 회사가 승인하지 않은 대량의 메시지(스팸메일 등)를 발송하는 행위
5. 업무상 알게 된 공개되지 않은 정보를 제공하는 등 관련 법규에서 금지하는 행위
6. 고객의 신용정보(신용정보의 이용 및 보호에 관한 법률 제2조제1호에 따른 ‘신용정보’를 말한다)를 유출하는 행위
7. 다른 임직원의 정보통신수단 계정을 도용하여 발송하는 행위
8. 사실이 확인되지 않은 시장루머를 유포하거나 전달하는 행위
9. 법령에 위배되거나 미풍양속에 위배되는 내용을 발송하는 행위
10. 기타 ‘별지2’에서 정하는 행위
① 금융회사는 전자우편, 메신저 등 업무용 정보통신수단의 사용기록 및 송·수신 정보 등이 포함된 로그기록을 보관하여야 한다.
② 전항에 따라 보관하는 로그기록에는 가능한 다음 각호의 사항이 모두 포함되어야 한다.
1. 임직원의 정보통신 송·수신 일자, 시각, IP주소
2. 임직원의 정보통신수단 계정 ID(Identification Number)
3. 임직원의 정보통신 송·수신 내용 및 첨부화일
4. 임직원의 정보통신 송·수신 상대방 정보(가능한 정보)
③ 금융회사는 업무용 정보통신수단 로그기록을 3년 이상(수신 첨부자료는 최소 3월 이상) 보관하여야 한다. 다만, 첨부자료의 보관 여부 및 보관 기간은 이와 달리 정하고 있는 관련법규가 있을 경우, 이 규준에 우선하여 관련법규를 적용한다.
금융회사는 제8조에 따른 업무용 정보통신수단 로그기록의 보관 상태를 연 1회 이상 정기적으로 점검하여야 하고, 점검결과를 5년간 기록·관리하여야 한다.
① 준법감시인은 제7조의 금지사항을 위반하는 혐의가 있는 업무용 정보통신수단의 로그기록에 대하여 관계 법령이 허용하는 범위내에서 모니터링 하여야 한다.
② 전항의 모니터링 대상 부서 및 임직원 선정방법과 모니터링 방법 등은 준법감시인이 정한다.
③ 금융회사는 제1항의 모니터링 내역을 5년간 기록·관리하여야 한다.
① 금융회사는 임직원이 영업비밀에 속하는 사항 등 중요한 전산자료를 업무 목적 이외의 용도로 유출하지 못하도록 다음 각호에서 정한 보안대책을 최대한 강구하여야 한다.
1. 전자문서(MS-Office, 한글, PDF 등) 암호화 및 외부 유출관련 복호화 로그기록 유지(3년 이상)
2. 출력물 제어(Watermarking 등)
3. 승인받지 않은 디스크, 디스켓, 콤팩트디스크(CD), USB 등 보조기억매체에 대한 쓰기 금지 시스템 운용
4. 모니터상의 주요 화면캡쳐, 출력 등 통제
5. 기타 금융회사가 정하는 보안대책
② 금융회사는 업무에 사용하는 전산장비를 제3자가 무단으로 조작하여 전산자료를 유출, 위·변조 및 훼손시키지 못하도록 다음 각호에서 정한 보안대책을 최대한 강구하여야 한다.
1. 장비별·사용자별 비밀번호 사용
2. 10분 이상 컴퓨터 작업 중단시 화면보호 조치
3. 백신 및 컴퓨터용 침입차단시스템 등 운용
4. P2P 등 업무와 무관하거나 보안에 취약한 프로그램의 사용 금지
5. 기타 금융회사가 정하는 보안대책
③ 금융회사는 제1항과 제2항의 보안대책이 적절히 이행되고 있는지 여부를 정기적으로 모니터링하여야 한다.
④ 모니터링 방법, 기록·관리 등은 제10조 제2항 및 제3항을 준용한다.
② 제1항의 경우, 금융회사는 사전에 임직원에게 이를 충분히 설명하고 구체적으로 동의서를 제출받아야 하며, 열람, 모니터링, 대외제공 등이 필요한 경우에는 사유가 발생할 때마다 가능한 개별적으로 사전 동의를 받아야 한다. 이 경우, 금융회사는 관계 법령상 정보통신수단 송·수신 상대방의 동의가 필요한 경우에는 당해 정보통신수단 송·수신 임직원에게 상대방의 동의를 받도록 요구할 수 있다.
③ 금융회사는 전항의 동의서를 제출하지 않은 임직원에 대해서는 전산장비 이용을 제한하는 등 필요한 조치를 하여야 한다.
금융회사는 다음 각호의 경우에 임직원으로부터 전산자료 또는 로그기록을 열람 또는 제공하게 할 수 있다.
1. 대표이사, 감사, 준법감시인이 관련법규에 따라 감사 또는 준법감시 업무를 수행하는 경우
2. 고객의 민원, 분쟁 및 사고발생시 사실관계 확인이 필요한 경우
3. 매매주문 등 업무처리와 관련하여 사실관계 확인이 필요한 경우
4. 법원 등 대외기관이 관련 법령에 따라 자료를 요구하는 경우
5. 기타 불법적인 자료 유출 또는 루머의 확산 방지 등과 관련된 경우로서 준법감시인이 관계법규 및 이 규준에 따라 열람의 필요성이 있다고 인정한 경우
① 금융회사는 임직원의 전산자료 또는 로그기록을 열람하는 경우 사전에 준법감시인의 승인을 받아야 한다. 다만, 준법감시인은 준법감시 업무수행 등 계속·반복적인 열람이 필요한 경우에는 1개월 이내의 기간을 정하여 포괄적으로 승인할 수 있다. 이 경우 금융회사는 계속·반복적으로 열람이 필요한 경우를 사전에 구체적으로 정해야 한다.
② 금융회사는 제1항에 따라 사전에 임직원에게 열람사유, 열람대상 및 열람 예정일자 등을 통보하여야 한다. 다만, 제10조의 모니터링을 위해 열람하는 경우 등 기타 불가피한 사유로 사전통보가 불가능한 경우에는 사후에 통보할 수 있다.
③ 금융회사는 전산자료 또는 로그기록을 열람하는 경우에는 열람사유, 열람대상, 열람 일자, 열람자 및 입회자 등 열람 사실을 5년간 기록·관리하여야 한다.
④ 다른 임직원의 전산자료 또는 로그기록을 열람한 자는 열람내용을 목적 이외의 용도로 사용하거나, 타인에게 누설하여서는 아니 된다.
① 금융회사는 제13조에 따라 임직원의 전산자료 또는 로그기록에 관한 자료를 요청받는 경우에는 자료요청의 적법성을 검토한 후 자료제출에 응하여야 한다.
② 금융회사는 법원 등 대외기관이 전항의 제출대상 자료를 확정하기 위하여 열람을 요구하는 경우에는 준법감시인이 지정하는 직원이 함께 입회하여 열람하게 하여야 한다.
③ 금융회사는 제출대상 자료 중 임직원의 사적 정보가 포함되어 있는 경우에는 대외기관에 제목 등을 열람하게 하는 방법으로 확인하게 한 후 해당 부분의 자료 제출을 생략할 수 있다. 이 경우 당해 임직원이 열람을 참관하고자 하는 경우에는 이를 허용하여야 한다.
④ 금융회사는 대외기관에 전산자료 또는 로그기록을 제공하는 경우에는 제공한 내용과 동일한 내용 사본을 2년간 보관하여야하고, 제공사유, 제공대상, 제공일자, 제공자 및 입회자 등 제공 사실을 5년간 기록·관리하여야 한다.
이 규준에서 정하는 열람, 제공, 점검결과, 모니터링 내역 등의 기록, 관리, 보존 기간은 이와 달리 정하고 있는 관련 법규가 있는 경우, 이 규준에 우선하여 관련 법규의 기간을 적용한다.
준법감시인은 전산장비의 사용, 기록, 보관, 관리, 열람, 자료제출 등에 있어 관련 법규에 저촉되거나 회사에 손해를 끼치는 등 조치가 필요하다고 인정되는 경우에는 관련 임직원에 대하여 감사 또는 제재조치를 요구할 수 있다.
부칙
이 규준은 2011년 4월 1일부터 시행한다. 다만, 제5조에 따른 전산시스템 구축, 제8조에 따른 로그기록 보관, 제11조제1항에 따른 보안대책은 가능한 이 규준 시행일로부터 6개월 이내에 동 규정에 적합하도록 하여야 한다.
별표 서식 정보
댓글 없음:
댓글 쓰기