지 않은 직원으로 하여금 아웃소싱체제의 관리상태에 대한 유효성을 검증하도록 하여야 함
· 중요하거나 기술적으로 복잡한 전자금융서비스 및 응용프로그램을 아웃소싱하고 있는 경우 은행은 충분한 기술적 전문지식을 가진 독립된 제3자에게 의뢰하여 정기적인 검증을 받게 할 수도 있음
5. 은행은 아웃소싱된 전자금융업무에 관해 적절한 비상계획을 수립해야 함
· 은행은 제3자에게 아웃소싱한 모든 주요 전자금융 시스템 및 서비스에 관해 비상계획을 수립해 두고 정기적으로 모의훈련(test)을 실시
· 비상계획은 일어날 수 있는 최악의 시나리오를 상정하여 아웃소싱된 업무가 중단되는 경우에도 전자금융서비스의 연속성이 확보될 수 있도록 해야 함
· 은행은 아웃소싱된 전자금융 서비스가 중단되는 경우 당해 업무의 복구상황을 관리하고 재무상태에 미치는 영향 등을 평가할 책임이 있는 팀을 구성해야 함
6. 제3자에 대한 전자금융 서비스를 제공하는 은행은 서비스 대상기관이 자신의 주의의무(due diligence) 이행과 아웃소싱 관계에 대한 지속적인 감시가 효과적으로 이루어질 수 있도록 자신의 업무, 책임 및 의무를 명확하게 규정해야 함
· 은행은 서비스 대상기관에 대해 당해 전자금융서비스 체제에 관한 리스크를 파악·통제·모니터링할 수 있도록 동 기관이 필요로 하는 정보를 제공할 책임이 있음
<부록3>
전자금융시스템의 사용권한에 관한 건전관행
1. 전자금융업무에 관계된 모든 개인, 대리인 및 시스템에게는 특정한 권한과 접근자격이 부여되어야 함
2. 모든 전자금융시스템은 타당한 권한데이터베이스에만 연동되도록 설계되어야 함
3. 개별적인 대리인 또는 시스템에게 전자금융의 권한데이터베이스에 보존되고 있는 자신의 권한과 접근자격을 변경할 수 있는 권한이 부여되어서는 안됨
시스템관리자로서의 업무를 수행하는 사람에게는 이 항목의 적용이 어려울 수 있기 때문에 이러한 사용자계정의 동향을 모니터링하기 위해서는 다른 엄격한 내부통제 및 직무책임 분리 조치가 강구되어야 함
4. 전자금융의 권한데이터베이스에 보존되고 있는 접근자격에 개인, 대리인 및 시스템을 추가하거나 변경하는 경우에는 소정의 승인을 받아야 함.
이 승인은 충분한 권한을 보유하고, 적시에 적절한 감시와 감사를 받으며 정당성이 확인된 주체에 의해 이루어져야 함
5. 전자금융의 권한데이터베이스는 변조예방을 위해 적절한 대책이 강구되어야 함. 변조 시도는 지속적인 모니터링 과정을 통해 파악되어야 하며, 변조시도에 관한 기록보존을 위해 충분한 감사기록을 남겨야 함
6. 전자금융의 권한데이터베이스가 변조된 경우에는 검증된 데이터베이스로 대체되기 전까지 사용되지 않아야 함
7. 전자금융 거래처리를 위한 접속도중에 권한수준을 변경하려는 시도를 방지할 수 있는 대책을 강구하고, 그러한 시도에 대해서는 기록을 남기고 관리자에게 보고하여야 함
<부록4>
전자금융시스템의 감사기록에 관한 건전관행
1. 명확한 감사기록을 확보하고, 분쟁해결에 도움이 되도록 모든 전자금융거래에 관해서는 충분한 기록을 남겨야 함
2. 전자금융시스템은 법정에서 사용할 수 있는 증거를 확보하고 유지할 수 있도록 설계되어야 함. 설계에 있어서는 증거에 대한 통제능력을 유지하고 증거변조 및 허위증거가 수집되지 않도록 하여야 함
3. 처리시스템 및 동 시스템에 관련된 감사기록에 대한 책임이 제3자 서비스제공자에게 위임되어 있는 경우:
· 은행은 서비스제공자가 유지하고 있는 관련 감사기록에 대해 접근할 수 있어야 함
· 서비스제공자가 유지하고 있는 감사기록은 은행의 내부기준을 충족해야 함
<부록5>
고객정보의 프라이버시 보호에 관한 건전관행
1. 은행은 고객의 전자금융정보의 비밀을 유지할 수 있도록 적절한 암호기술, 특정 프로토콜 등 보안통제수단을 사용하여야 함
2. 은행은 전자금융에 관련된 고객보호기반과 프로토콜을 정기적으로 평가 하는 적절할 절차와 통제력을 확립해야 함
3. 은행은 제3자 서비스제공자가 채택하고 있는 비밀유지 및 프라이버시에 관한 정책이 은행자신의 정책과 부합되는지를 확인해야 함
4. 은행은 전자금융 이용고객에 대해 고객정보의 비밀유지 및 프라이버시에 관한 정보를 제공할 수 있도록 다음 사항을 포함하여 적절한 대책을 강구해야 함
· 웹사이트 등을 통해 고객에게 프라이버시에 관한 은행정책을 전달함. 고객이 동 정책을 완전하게 이해할 수 있도록 이러한 안내문은 분명하고 구체적인 단어를 사용하는 것이 중요함. 법률적인 사항을 장황하게 서술하는 것은 비록 그 내용이 정확하더라도 대부분의 고객이 읽지 않을 가능성이 있음
· 패스워드, 개인식별번호는 물론 기타 은행 및 개인 데이터가 누출되지 않도록 하여야 한다는 점을 고객에게 인식시킴
· 바이러스 예방, 물리적인 접근 통제, 인터넷 접속시의 방화벽 설정 등 퍼스널컴퓨터 보안에 관한 전반적인 정보를 고객에게 제공함
<부록6>
처리용량, 업무연속성 확보 및 비상대응계획에 관한 건전관행
1. 제3자 서비스제공자에 의해 제공되고 있는 사항을 포함하여 모든 전자금융서비스 및 응용프로그램을 파악하고 그 중요도를 평가해야 함
2. 중요한 전자금융서비스 및 응용프로그램별로 서비스 중단사태가 발생할 경우 신용리스크, 시장리스크, 유동성리스크, 법률리스크, 운영리스크 및 평판리스크에 미칠 수 있는 영향을 평가해야 함
3. 중요한 전자금융서비스 및 응용프로그램별로 성과기준을 설정하고, 동기준에 따라 서비스 수준을 모니터링해야 함. 전자금융시스템은 거래량의 증가 또는 감소에 대응할 수 있어야 하며, 장래 전자금융업무의 성장세를 감안하여 업무성과와 처리용량에 문제가 발생하지 않도록 적절한 조치를 취해야 함
4. 전자금융시스템의 처리용량이 일정한 한계에 도달하였다고 생각되는 경우에는 거래수요를 원활하게 수용할 수 있도록 대체처리수단을 고려해야 함
5. 전자금융업무의 연속성확보를 위한 계획에는 외부의 서비스제공자 등에게 복구업무를 위탁하는 방안도 검토해 두어야 함
6. 비상계획에는 전자금융 처리용량의 복구 또는 변경, 거래처리정보의 재구축 절차를 명시하는 한편, 업무가 중단된 경우 중요한 전자금융시스템 및 응용프로그램의 정상 작동을 위한 요조치사항이 포함되어야 함