Embed Size (px)
Citation preview
금 융 감 독 원
150-743 서울시 영등포구 여의도동 27 /전화(02)3786-7047 /전송(02)3786-7044 /문의안내:최재환
제 목 금융기관 IT부문 아웃소싱 관련 검토자료 송부--------------------------------------------------------------------
1. 우리 원의 「금융기관 IT(정보기술)부문 아웃소싱 관련 검토자료」를 송부하오니
귀 금융기관의 IT부문 업무에 참고하시기 바랍니다.
2. 한국증권업협회, 투자신탁협회, 한국선물협회, 생명보험협회,
대한손해보험협회, 대한화재보험협회, 상호신용금고연합회, 여신금융협회,
종합금융협회, 신용협동조합중앙회, 임업협동조합중앙회, 인삼업협동조합중앙회는 동
내용을 소속 회원금융기관 앞으로 통보하여 주시기 바랍니다.
붙 임 : 금융기관 IT부문 아웃소싱 관련 지도 방향 1부. 끝. ※ 붙임 자료는 금융감독원 인터넷 홈페이지(www.fss.or.kr) 공개자료실 공지사항
코너에 게시되어 있으니 다운로드 받으시기 바랍니다.
금 융 감 독 원 장
수신처 : 국내은행(23), 외국은행 국내지점(51), 한국증권업협회, 투자신탁협회, 한국선물협회, 투자자문(26), 상장사협의회, 선물거래소, 증권거래소, 증권금융(주), 증권예탁원, 자산유동화자금중개회사, 생명보험협회, 대한손해보험협회, 대한화재보험협회, 보험개발원, 보험연수원, 상호신용금고연합회, 여신금융협회, 종합금융협회, 신용협동조합중앙회, 성업공사, 부동산신탁회사(6), 신용정보업자(5), 전국은행연합회, 한국정보통신진흥협회, 신용정보조사업자(10), 한국자금중개회사, 인삼업협동조합중앙회, 임업협동조합중앙회 대표
문서번호 검총 6834 - 698
발신일자 1999. 7. 29.
수 신 수신처 참조
참 조 IT담당 부서장
담 당 팀 장 실 장
전 결 근 거 1항 15호 보존기간 3년
직 인 생 략
[붙임]
1999. 7
금 융 감 독 원
- 2 -
금융기관 IT부문 아웃소싱 관련 지도 방향
<요 약>
Ⅰ. 금융기관 IT부문 아웃소싱 관련 지도방향 검토 필요성
□ 최근 국내금융기관은 IT투자비용 절감, 조직의 슬림화, 고품질 금융서비스 제공 등을 위하여 IT부문 아웃소싱을 검토하고 있음
― 금융기관이 IT부문을 전면 아웃소싱하는 경우 IT부문에 대한 통제기능 약화, 아웃소싱업체의 도산시 금융기관 영업중단, 금융정보 유출 등 리스크도 크게 증가함
〓 ▶ 따라서 아웃소싱 도입 초기단계에서 지도방향을 설정하고 이를 지도함으로써 금융기관 IT부문의 리스크를 최소화하고 안정성 유지 필요
Ⅱ. 금융기관이 IT부문 아웃소싱을 추진하는 이유와 도입에 따른 예상 리스크
□ 금융기관이 IT부문 아웃소싱을 추진하는 이유
― IT부문 투자 및 운영비용 절감 기대 ― 금융기관 조직의 슬림화 ― IT부문 신기술을 도입하여 금융기관 영업전략에 적용 가능 ― 이외 IT부문에 대한 경영진의 이해 부족, 노사문제 회피 등도 IT부문
아웃소싱 추진 고려사항임
□ 금융기관 IT부문 아웃소싱 도입시 예상되는 리스크 ― 금융기관의 수익창출 핵심수단인 IT부문이 아웃소싱업체에 종속 우려 ㅇ 아웃소싱이 확산되는 경우 소수 대기업계열 SI업체가 금융기관의 IT
부문과 금융정보를 장악하여 대기업에 의한 기업집중 심화 우려 ― 아웃소싱업체 도산시 금융기관 영업지속 곤란 ― 아웃소싱업체의 금융시스템에 대한 이해부족으로 인한
정보처리서비스 제공 능력 의문 ― 금융정보 유출 우려 ― 장기적인 관점에서 비용절감 효과 의문 등
□ IT부문 아웃소싱에 대한 최근의 시각 ― 미국의 CIO 1,500명에 대한 설문조사결과 31%만 비용 절감효과가
- 3 -
있었다고 응답하였고(1995년), 아웃소싱의 기대효과 못지 않게 문제점도 많아 백소싱(Back-sourcing) 움직임도 있음(월스트리트저널 ‘99.5.14, 서울경제신문 ’99.5.15 보도)
- 4 -
Ⅲ. 국내외 금융기관의 IT부문 아웃소싱 도입 현황
□ 아웃소싱 사례 및 최근 동향
<현 황> ― 국내은행은 140여개 단위업무를 공동개발 또는 일괄용역으로
개발하여 운용중이며 전면 아웃소싱 사례는 없음
― 삼성, LG 등 대기업계열 26개 증권, 보험, 비은행 금융기관은 계열소속 시스템통합(SI)업체가 IT부문 전부를 아웃소싱
<최근 동향> ― 최근 일부 은행은 IT부문 전면 아웃소싱 방안을 적극 검토중 ㅇ산업은행 : 2001년부터 주전산기 정보시스템을 전면교체키로 하고 기존 정보시스템
운영업무를 전면 아웃소싱하는 방안을 추진중 ㅇ한빛은행 : 한일·상업은행의 시스템 통합후 2001년까지 신전산시스템을 구축할
예정이며 전산업무 완전 아웃소싱방안도 함께 신중히 검토중 ㅇ평화은행 : 21세기형 경영전략정보시스템 구축을 위하여 삼성SDS의 컨설팅이
진행중이며 동 컨설팅 결과 아웃소싱 범위를 결정할 예정
― 국내 주요 SI업체들은 계열금융기관의 아웃소싱 경험을 기반으로 금융권 구조조정 시기를 SI업체의 영업확대 기회로 인식하고 있는 것으로 파악됨
□ 외국 금융기관의 아웃소싱 현황
― 해외 대규모은행은 대다수 아웃소싱에 따른 리스크 문제로 자체시스템으로 금융업무 수행
ㅇ 다만 호주 커먼웰스뱅크, 미국 콘티넨탈뱅크 등 극히 소수 일부은행만 IT부문을 전면 아웃소싱
― 미국의 일부 소규모 지역은행은 대규모 데이터센타로부터 정보시스템 개발, 운영 등 종합서비스를 제공받고 있음
Ⅳ. 미국 은행감독당국의 감독 및 검사 제도
□ 미국 은행감독당국은 금융기관의 IT부문 아웃소싱 계약체결 상황 및 아웃소싱업체의 재무상태를 상시 모니터링하고 있으며, 아웃소싱업체 및 아웃소싱도입금융기관에 각각 적용 가능한 엄격한
- 5 -
검사기준을 개발하여 적용
- 6 -
Ⅴ. 향후 조치 방안
□ 감독당국의 주요 관심사항
― 금융정보가 외부정보처리업체에서 처리·보관됨에 따라 금융정보의 무결성 유지, 고객 및 경영정보유출 방지대책 등 마련 필요
* 금융기관이 아웃소싱업체와 계약을 체결하고 정보처리를 목적으로 금융정보를 제공하는 행위는 금융실명거래 긴급명령에 위반되지는 않음
― 아웃소싱업체의 도산 등으로 인한 서비스 중단에 대비하여 아웃소싱업체의 재무상태 상시 모니터링 및 비상대책 마련 필요
― 아웃소싱업체가 적정수준의 내부통제를 유지토록 금융기관 및 감독당국의 직접 검사 방안 검토 필요
□ 우리원의 지도 방향
― 금융기관 전산관련업무의 아웃소싱은 관계당국의 보안성검토 대상이므로 보안성검토 결과, 관계당국의 정책방향을 확인후 우리 원의 지도방향 수립
ㅇ 관계당국이 아웃소싱을 허용하는 경우에도 금융기관의 핵심업무가 외부업체에 종속되지 않도록 감독당국이 엄격한 필요최소조건을 마련, 금융기관에 지도·홍보함으로써 금융기관 IT부문의 건전성과 안정성 보장 필요
* 1999.3.1. 산업은행이 전산업무 아웃소싱 관련하여 관계당국에 보안성검토를 의뢰한 상태임
― 아웃소싱 도입 초기단계부터 보다 엄격한 검사기준을 적용함으로써 금융기관이 IT부문 아웃소싱을 추진하는 경우 선진국 수준의 최적실무(best practice)를 사전에 충분히 고려하도록 유도
ㅇ 미국 은행감독당국의 검사기준을 채택하여 금융기관 IT검사시 적용
- 7 -
※「금융기관의 IT부문 아웃소싱 추진시 요 검토사항 [붙임 참조] ㅇ 금융정보관리의 취약점 최소화 및 보안유지를 위한 내부통제방안 수립·운영 ㅇ 아웃소싱업체의 도산 등으로 인한 서비스 중단시 적용할 금융기관과
아웃소싱업체의 비상계획(Contingency plan) 수립 ㅇ 아웃소싱업체의 재무상태를 정기적으로 평가하여 아웃소싱업체의 도산에
대비하고 주요 경영활동을 상시 모니터링 ㅇ 비상시 최소한의 영업기능 유지를 위한 백업자료 보존 및 백업설비 확보 방안 강구 ㅇ 금융기관은 아웃소싱계약서에 필요 최소조건을 충분히 반영
― 아웃소싱 도입 금융기관에 대한 우리원의 IT검사 강화 필요 ㅇ 검사용 체크리스트 개발 (2000년 검사시 반영)
― 국내 금융기관의 아웃소싱 도입상황을 주시하면서 우리원이 직접 아웃소싱업체의 재무상태를 상시 모니터링하거나 직접검사하는 방안도 검토 필요
- 8 -
=> ① 금융기관 IT부문 아웃소싱에 대한 관계당국의 보안성검토가 진행중이고, 우리 원의 정책방향에 대해 SI업체와 금융기관의 관심이 매우 높은 점을 감안, 관계당국의 입장을 확인한 후 검사기준 지도 등 필요조치를 취하는 것이 좋겠음
― 관계당국이 아웃소싱을 허용하는 경우에도 IT부문의 내부통제시스템이 잘 갖추어진 선진국에서도 엄격한 지도기준을 제시하고 있는 점에 비추어
ㅇ 전면 아웃소싱을 하는 경우에는 선진국 수준의 기준을 설정·지도함으로써 금융업무의 핵심 인프라인 IT부문이 특정 SI업체에 종속됨에 따라 예상되는 정보유출, 영업중단 등의 리스크를 최소화하여 금융기관 IT부문의 건전성과 안정성을 확보할 필요가 있음
ㅇ 부분적인 아웃소싱인 경우에는 지도기준을 완화하여 아웃소싱의 장점을 최대한 활용케 함으로써 금융기관 IT부문의 업무처리 효율화를 기하도록 함
② 다만, 동 검토자료를 금융기관에 송부하여 IT부문 아웃소싱 추진시 참고토록 하겠음
― 아웃소싱의 경우 당해 금융기관 및 감독당국의 아웃소싱업체에 대한 감사 또는 검사 권한을 아웃소싱계약서에 명시토록 지도
차 례
<요 약>
Ⅰ. 개 요 1. IT부문 아웃소싱 논의의 배경 2. 금융기관이 IT부문 아웃소싱을 추진하는 이유 3. 금융기관 IT부문 아웃소싱 도입시 예상되는 리스크 4. IT부문 아웃소싱에 대한 최근 시각
Ⅱ. 금융기관의 IT부문 아웃소싱 도입 현황
1. 은행권 아웃소싱의 특징 2. 증권·보험회사의 아웃소싱 현황 3. 최근 금융권 IT부문 아웃소싱 관련 움직임 4. 외국 금융기관의 아웃소싱 현황
Ⅲ. 미국 은행감독당국의 감독 및 검사 제도 1. 상시 모니터링 제도 2. 아웃소싱업체에 대한 검사 제도
Ⅳ. 향후 조치방안 1. 감독당국의 주요 관심사항 2. 우리 원의 지도방향
[붙임] 금융기관 IT부문 아웃소싱 추진시 요 검토사항
- 9 -
Ⅰ. 개 요
1. 최근 IT부문 아웃소싱 논의의 배경
□ 국내 금융기관은 IT투자비용 절감, 조직의 슬림화, 고품질서비스 제공 등을 위하여 IT부문 아웃소싱에 관심이 높아지고 있음
― 또한 IT부문에 대한 경영진의 이해 부족, 노사문제 회피 등도 IT부문 아웃소싱 추진시 고려
□ 한편, 삼성SDS, LG-EDS, 한국IBM 등 국내 대규모 SI업체들은 아웃소싱의 장점을 부각시키면서 금융권 정보시스템의 아웃소싱을 주도하려는 움직임을 보이고 있음
2. 금융기관이 IT부문 아웃소싱을 추진하는 이유
□ IT부문 투자 및 운영비용 절감 기대
― IT자산 매각으로 인한 단기유동성 호전, IT부문 운영경비 절감(약 10∼15%), IT투자 위험 회피, 필요 자원을 적정비용으로 적기 획득 등 수익/비용효과 기대
□ 금융기관 조직의 슬림화
― 기존 전산조직을 아웃소싱업체가 흡수함으로서 조직을 슬림화하고, 노사문제 등 전산인력 관리부담 없이 금융기관 역량을 핵심사업에만 전력할 수 있음
□ 다양한 IT기술 적용 용이
― 인터넷뱅킹, 전자금융, 전자상거래 등 지속적인 기술혁신이 이루어지고 있는 IT부문의 기술력을 쉽게 확보하여 금융기관 영업전략에 적용 가능
ㅇ 금융상품 고품질서비스 제공을 통한 경쟁우위 확보 가능
- 10 -
3. 금융기관 IT부문 아웃소싱 도입시 예상되는 리스크 □ 금융기관의 IT부문에 대한 통제기능 약화
― 금융기관의 핵심 수익창출수단이 IT기능에 대한 주도권 상실로 국내 대기업계열 또는 외국 SI업체에 종속 우려
ㅇ 아웃소싱이 확산되는 경우 소수 대기업계열 SI업체가 금융기관의 IT부문과 금융정보를 장악하게 됨으로써 대기업에 의한 기업집중 심화 우려
□ 아웃소싱업체 도산시 금융기관 영업지속 곤란
― 아웃소싱업체의 도산, 데이타센타의 자연재난시 비상대책이 없는 경우 금융기관의 영업지속 곤란
□ 아웃소싱업체의 정보처리서비스 제공 능력 의문
― 금융업무에 대한 전문성 결여 등으로 안정적이고 지속적인 정보처리서비스 제공 능력 의문
□ 금융정보 유출 우려
― 아웃소싱업체의 내부통제 미흡시 고객정보 및 내부경영정보 둥 금융정보의 대량유출 가능성이 상존
□ 서비스비용 적정수준 산정 곤란 및 비용절감 효과 의문
― 데이터처리서비스 대가의 객관적이 산정이 어렵고 아웃소싱업체에 대한 의존도가 커질수록 아웃소싱업체의 가격결정 주도권 행사 가능성이 높아 장기적으로 비용 절감 효과 의문시
□ 아웃소싱계약은 대부분 장기간 체결(5-10년)하는 것이 불가피하여 IT부문 기술변화에 대한 유연한 대처 곤란
- 11 -
- 12 -
4. IT부문 아웃소싱에 대한 최근의 시각
□ 비용절감 효과에 대한 의문 ― 미국의 경우 약 31%만 절감효과를 보았으며 69%가 비용효과가
없었다고 응답(‘95년 CIO 1,500명 설문조사결과)
□ 백소싱(Back-sourcing)으로 전환 움직임
― 90년대 들어 IT부문 아웃소싱이 크게 확대되었으나, 최근 아웃소싱의 기대효과 못지 않게 문제점도 많아 자체개발·운영방식을 채택하는 경향이 있음 (월스트리트저널 ‘99.5.14, 서울경제신문 ’99.5.15)
Ⅱ. 우리나라 금융기관의 아웃소싱 현황
1. 은행권 아웃소싱 현황 및 특징
<현황>
□ 23개 국내은행은 140여개 단위업무(은행당 평균 6개)를 공동개발 또는 일괄용역으로 개발하여 운영중이며 전면 아웃소싱 사례는 없음
<특징>
□ 공동개발(Co-sourcing)형태로만 도입 ― 단위업무를 아웃소싱업체와 금융기관이 공동으로 전산개발하고
개발후 은행이 운영
□ 단위업무별 외주용역 ― 유가증권업무개발, 전자금융업무개발 등 단위업무를 제한적으로
외주개발하고 있으며, 계정계시스템, 정보계시스템 등 금융기관의 핵심시스템은 자체 운용
□ 전산자회사를 통한 외주용역 ― 6개 국내은행(한빛, 서울, 제일, 신한, 국민, 기업은행)은 전산자회사를
활용하여 일부 전산업무를 분담
- 13 -
2. 증권·보험회사의 아웃소싱 현황
□ 삼성, LG, 현대, 동양 등 대기업계열 시스템통합(SI)업체가 계열회사의 IT부문 전부를 아웃소싱
3. 최근 금융권의 아웃소싱 관련 움직임
<금융기관>
□ 최근 일부 금융기관은 IT부문 전면 아웃소싱 방안을 적극 검토중
― 산업은행 : 2001년부터 주전산기 정보시스템을 전면교체키로 하고 기존 정보시스템 운영업무를 전면 아웃소싱하는 방안을 추진중
― 한빛은행 : 한일.상업은행의 시스템 통합후 2001년까지 신전산시스템을 구축할 예정이며 전산업무 완전 아웃소싱방안도 함께 신중히 검토중
― 평화은행 : 21세기형 경영전략정보시스템 구축을 위하여 삼성SDS의 컨설팅이 진행중이며 동 컨설팅 결과 아웃소싱 범위를 결정할 예정
- 14 -
업체명 갯 수 파견인원수
관련 금융기관
삼성SDS 5 454 삼성생명보험, 삼성증권, 삼성카드,
삼성캐피탈, 삼성화재보험 동양시스템하우스 4 107 동양생명보험, 동양선물, 동양증권, 동양카드
LG-EDS 3 236 LG화재보험, LG종금, LG캐피탈
동부정보시스템 3 84 동부화재보험, 동부할부금융, 동부금고
제일 CNC 2 2 제일투자신탁증권, 제일선물
현대정보기술(HIT) 2 74 현대해상보험, 현대캐피탈
대우정보시스템 1 12 대우할부금융
증권전산 6 66 건설, 대유, 보람, 한누리, 한양, 환은살로만
합 계 26 1,035
<SI업체>
□ 국내 주요 SI업체들은 계열금융기관의 아웃소싱 경험을 기반으로 금융권 구조조정 시기를 SI업체의 영업확대 기회로 인식하고 은행권 IT부문의 아웃소싱 수주에 사업역량을 집중하고 있는 것으로 전문됨
― 은행권 IT부문 아웃소싱 수주를 위하여 은행전산경력직원 및 은행일반업무전문가 채용, 외국 금융기관 아웃소싱 영업 Know-how 습득 등 검토중
4. 외국 금융기관의 아웃소싱 현황
□ 해외 대규모은행은 대다수 아웃소싱에 따른 리스크 문제로 자체시스템으로 금융업무 수행
― 다만 호주 커먼웰스뱅크, 미국 콘티넨탈뱅크 등 일부은행은 IT부문 전면 아웃소싱 도입
□ 미국 일부 소규모 지역금융기관의 경우 IT부문 아웃소싱이 보편화되어 있음
― 대규모 데이타센타를 다수 금융기관이 공동 이용하는 형태이며 전산시스템 개발, 운영, 처리 등 전부문에 걸친 종합적인 서비스를 제공하고 있음
해외 대규모 은행의 아웃소싱 사례
- 15 -
금융기관명 도입시기 주 요 내 용 Commonwealth Bank (호주)
‘97. 10 - 응용개발, 운영, 유지, Y2K해결 등 전업무를
EDS에 아웃소싱
ㅇ은행은 EDS 지분 38%를 취득하고 EDS는
은행 전산인력의 96% 흡수
Continental Bank (미국)
‘91. 12 - 운영 및 유지업무를 ISSC에 아웃소싱
Ⅲ. 미국 은행감독당국의 감독 및 검사제도
□ 미국 은행감독당국은 금융기관의 IT부문 아웃소싱 계약체결 상황 및 아웃소싱업체의 재무상태를 상시 모니터링하고 있으며, 아웃소싱업체에 대해서도 금융기관과 동일한 수준의 검사를 실시하고 있음.
1. 상시 모니터링 제도
□ 금융기관이 아웃소싱업체와 정보처리서비스계약을 체결한 경우 당해 금융기관은 감독당국에 계약체결후 30일이내에 동 계약내용을 통지하도록 의무화(미국 은행업법)
□ 아웃소싱업체가 제3자 외부감사를 수감한 경우 감독당국에 감사결과보고서를 제출하여야 함
□ 아웃소싱업체는 금융기관이 정보처리서비스와 관련한 비상계획을 수립하는데 필요한 충분한 정보를 제공하여야 함
□ 아웃소싱 관련 고려사항을 합리적으로 검토하고 계약서에 적절히 반영하여야 함
2. 아웃소싱업체에 대한 검사 제도
□ 아웃소싱업체에 대해서도 금융기관과 같은 수준의 검사 실시
― 아웃소싱업체는 감독당국의 검사 수검에 동의한다는 내용을 계약서에 반영하도록 지도
□ 아웃소싱도입금융기관과 아웃소싱업체에 각각 적용 가능한 엄격한 검사지침과 절차를 개발하여 적용
(「미국 FFIEC의 정보처리서비스 제공업체 및 정보처리서비스 이용
금융기관에 대한 검사지침」 참조)
- 16 -
Ⅳ. 향후 조치방안
1. 감독당국의 주요 관심사항
□ 금융정보의 무결성 유지 및 정보유출 방지대책
― 내부통제가 상대적으로 미흡하고 보안의식이 비교적 낮은 사기업에 금융정보가 제공되어 처리됨에 따라 금융정보의 무결성 유지 및 정보의 유출 방지대책 마련 필요
― 금융기관이 아웃소싱업체와 계약을 체결하고 금융정보를 제공하는 행위는 금융실명거래 긴급명령에 위반되지 않음
* 금융기관의 임직원이 아니더라도 금융거래의 내용에 대한 정보 또는 자료를 취급·처리하는 업무에 사실상 종사하는 자는 「금융기관에 종사하는 자」의 범위에 포함되며, 이들에게 금융거래정보를 제공하는 것은 긴급명령에 저축되지 아니함 (실명(금) 46000-191, 94. 5. 31)
□ 아웃소싱업체의 서비스 중단시 비상대책
― 아웃소싱업 체의 도산시 정보서비스 중단에 대비하여 아웃소싱업체의 재정상태 상시 모니터링 및 금융기관 영업지속을 위한 비상대책 마련 필요
□ 아웃소싱업체애 대한 통제 강화
― 아웃소싱업체의 내부통제 강화를 위하여 금융기관이나 감독당국의 검사권한 검토 필요
2. 우리 원의 지도 방향
가. 관계당국의 보안성검토 결과 반영 필요
□ 금융기관이 전산관련업무를 외부에 용역의뢰할 때에는 금융감독위원회 위원장을 경유하여 관계당국의 보안성검토를
- 17 -
받도록 규정하고 있으므로 금융기관의 IT부문 아웃소싱에 대한 관계당국의 정책결정을 반영하여 우리원의 감독·검사방안 수립 필요 (금융감독위원회 전산보안업무 세부지침 제37조)
― 산업은행은 1999.3.1. 관계당국에 보안성검토를 의뢰한 상태임 ㅇ 산업은행은 국내 SI업체와 전산업무 아웃소싱 가계약을 체결하고
보안성검토가 끝나는 대로 본계약 체결 예정
<산업은행 IT부문 아웃소싱 추진상황> +- 아웃소싱업체 : 국내 SI업체 +- 아웃소싱범위 : 시스템 운용 및 업무시스템 운용 업무 +- 예상용역인원 : 60∼70명 +- 계약체결일자 : 1999.5.26. (가계약)
나. 금융기관 IT부문 아웃소싱에 대한 우리 원의 입장 (관계당국이 아웃소싱을 허용하는 경우)
□ 금융기관 IT부문 아웃소싱 도입여부는 금융기관 경영주체의 고유 결정사항으로 감독당국이 도입불가 또는 도입허용 방침을 결정할 사안은 아님
□ 관계당국이 아웃소싱을 허용하는 경우에도 금융기관의 핵심업무가 외부업체에 종속되지 않도록 감독당국이 엄격한 필요최소조건을 마련, 금융기관에 지도·홍보함으로써 금융기관 IT부문의 건전성과 안정성 보장 필요
― 특히, 금융정보 무결성 유지 및 정보유출방지, 영업중단시 비상대책, 아웃소싱업체의 내부통제 등에 대한 엄격한 검사기준을 마련하여 철저한 감독 및 검사 필요
- 18 -
다. 검사기준 및 검사실시 방안
□ 아웃소싱 도입 초기단계부터 보다 엄격한 검사기준을 적용함으로써
금융기관이 IT부문 아웃소싱을 추진하는 경우 선진국 수준의
최적실무(best practice)를 사전에 충분히 고려하도록 유도
― 미국 은행감독당국의 검사기준을 채택하여 금융기관 IT검사시 적용
※ 「금융기관의 IT부문 아웃소싱 추진시 요 검토사항 [붙임 참조]
① 금융정보관리의 취약점 최소화 및 보안유지를 위한 내부통제 방안
수립·운영
② 아웃소싱업체의 도산 등으로 인한 서비스 중단시 적용할 금융기관과
아웃소싱업체의 비상계획(Contingency plan) 수립
③ 아웃소싱업체의 재무건전성을 정기적으로 평가하여
아웃소싱업체의 도산에 대비하고 주요 경영활동을 상시
모니터링
④ 비상시 최소한의 영업기능 유지를 위한 백업자료 보존 및 백업설비
확보 방안 강구
⑤ 정보처리서비스 품질수준을 정기적으로 평가
⑥ 금융기관은 아웃소싱계약서에 필요 최소조건을 충분히 반영
― 전면 아웃소싱을 허용하지 않을 경우에는 단위업무별
외주용역업무에 적용할 검사기준 마련
□ IT부문 아웃소싱 도입 금융기관에 대한 IT검사 강화 필요
― 아웃소싱 관련 내부통제, 비상대책 마련 여부, 정보유출방지대책 등을 중점검사항목으로 선정하여 IT검사 실시 (2000년부터)
- 19 -
- 20 -
□ 아웃소싱업체에 대한 금감원의 직접검사 방안 강구 ― 장기적으로는 국내 금융기관의 아웃소싱 도입상황을 지켜보아 가며
아웃소싱업체에 대한 금감원의 직접검사 방안 강구
ㅇ 아웃소싱업체의 재무상태 상시 모니터링 및 우리 원의 직접 검사 방안 검토
- 21 -
=> ① 금융기관 IT부문 아웃소싱에 대한 관계당국의 보안성검토가 진행중이고, 우리 원의 정책방향에 대해 SI업체와 금융기관의 관심이 매우 높은 점을 감안, 관계당국의 입장을 확인한 후 검사기준 지도 등 필요조치를 취하는 것이 좋겠음
― 관계당국이 아웃소싱을 허용하는 경우에도 IT부문의 내부통제시스템이 잘 갖추어진 선진국에서도 엄격한 지도기준을 제시하고 있는 점에 비추어
ㅇ 전면 아웃소싱을 하는 경우에는 선진국 수준의 기준을 설정·지도함으로써 금융업무의 핵심 인프라인 IT부문이 특정 SI업체에 종속됨에 따라 예상되는 정보유출, 영업중단 등의 리스크를 최소화하여 금융기관 IT부문의 건전성과 안정성을 확보할 필요가 있음
ㅇ 부분적인 아웃소싱인 경우에는 지도기준을 완화하여 아웃소싱의 장점을 최대한 활용케 함으로써 금융기관 IT부문의 업무처리 효율화를 기하도록 함
② 다만, 동 검토자료를 금융기관에 송부하여 IT부문 아웃소싱 추진시 참고토록 하겠음
― 아웃소싱의 경우 당해 금융기관 및 감독당국의 아웃소싱업체에 대한 감사 또는 검사 권한을 아웃소싱계약서에 명시토록 지도
(붙임)
금융기관의 IT 부문 아웃소싱 추진시 요 검토사항
□ 금융기관이 정보기술(IT)부문 전부 또는 핵심시스템(mission critical system)의 개발·운영업무를 아웃소싱하고자 하는 경우 다음 사항을 충분히 검토하여야 함
1. 금융기관은 정보시스템서비스 아웃소싱에 따른 금융정보관리의 취약점을 최소화하고 보안유지를 위하여 내부통제방안을 수립·운영하여야 함
2. 아웃소싱업체의 도산 또는 재난으로 인하여 정보처리서비스가 중단되는 경우에 대비하여 금융기관과 아웃소싱업체는 각각 비상계획(Contingency plan)을 수립하여야 함
3. 금융기관은 아웃소싱업체의 재무건전성을 정기적으로(년1회 이상) 평가하여 재무상태 악화에 따른 도산에 대비하고 아웃소싱업체의 주요 경영활동을 상시 모니터링하여야 함
4. 금융기관은 재난상황에서도 최소한의 영업기능을 유지하기 위하여 백업자료를 보존하고 백업설비를 확보하는 방안을 강구하여야 함
5. 금융기관은 아웃소싱업체가 제공하는 서비스의 품질수준을 정기적으로 평가하여야 함.
6. 금융기관은 아웃소싱계약서에 다음 사항을 적절히 반영하여야 함
a. 아웃소싱업체가 금융기관에 제공하는 서비스의 구체적인 내용 b. 시스템개발, 데이터변환, 데이터처리, 금융기관의 특별요구에 따른
추가비용 등 서비스대가 산정 기준
- 22 -
c. 서비스 산출물의 제공 일정 d. 네트워크 운영시간, 통신망 보안에 대한 책임 범위 e. 아웃소싱업체에 대한 금융기관의 감사 권한, 감독당국의 검사 권한 및
아웃소싱업체의 자체 내부감사 기능 f. 비상시 시의 적절하게 데이터처리를 수행할 백업 및 데이터 보호 설비
(장치, 프로그램, 데이터화일 등) g. 아웃소싱제공업체의 재난복구계획을 금융기관에 제공 h. 아웃소싱제공업체의 재난복구계획에 대한 테스트결과를 금융기관이
확인할 수 있는 권리 i. 금융기관과 아웃소싱제공업체간에 원시데이타가 이동되는 경우 동
원시데이타에 관리, 보관 책임 j. 에러나 누락에 의한 데이터 손실에 대비한 보험 가입 k. 금융정보 비밀 유지 l. 프로그램과 다큐멘테이션의 소유권 m. 원장과 거래기록 데이터 파일의 소유권, 계약 종료시 컴퓨터가 읽을
수 있는 형태로 반환하는 조건 n. 서비스대가의 변경, 계약 해제·해지시 사전 통지 o. 일상상황과 비상상황시 데이터처리 우선순위 p. 아웃소싱업체가 처리절차, 출력보고서에 영향을 미치는 시스템의
변경 내용을 사전 통지 q. 아웃소싱업체의 재무제표를 금융기관에게 매년 제출하는 조건 r. 금융기관 사용자 훈련 및 훈련비용 부담 s. 아웃소싱업체가 도산하는 경우 금융기관이 취할 수 있는 조치 t. 계약위반, 만기전 계약해지 등에 따른 위약금 u. 계약상대방의 사전 서면승인 없이 계약상 권리·의무의 제3자
양도금지
- 23 -
[참고자료]
1999. 7
금 융 감 독 원
- 24 -
미국 FFIEC의 정보처리서비스 제공업체 및 정보처리서비스 이용 금융기관에 대한
검사지침
차 례
Ⅰ. 개 요
Ⅱ. 아웃소싱 관련 주요 통제 요소
Ⅲ. 서비스 품질 평가
Ⅳ. 서비스중단에 대비한 비상대책
Ⅴ. 계약체결시 고려사항
Ⅵ. 시스템운영시 주요 고려사항
Ⅶ. 정보시스템 보안
Ⅷ. 금융정보 보호 및 보존
Ⅸ. 보 험
- 25 -
정보처리서비스 제공업체 및 정보처리서비스 이용 금융기관에 대한 검사지침
Ⅰ. 개 요
□ 금융기관이 아웃소싱업체를 이용하여 정보시스템서비스를 제공받는 경우 서비스제공업체와 금융기관의 관점에서 접근할 필요.
ㅇ 정보시스템 통제는 데이타의 무결성을 유지하기 위하여 중요하지만 정보시스템서비스가 외부에서 수행될 때에는 특히 중요
□ 정보시스템서비스 제공 및 이용에 따른 리스크와 책임은 서비스제공업체나 금융기관이 모두 부담하여야 할 사항임
ㅇ 이러한 리스크와 책임을 계약서에 반영하여 각 계약당사자가 이를 부담
□ 금융기관은 정보처리서비스의 아웃소싱에 따른 기본방침과 절차를 수립하여 적용 필요
ㅇ 기본방침과 절차에는 비상계획, 최종사용자컴퓨팅, 정보보안에 관한 내용 포함
□ 미국 은행감독당국은 금융기관이 정보처리서비스 계약체결후 30일 이내에 감독당국에 서비스계약사항을 통보하도록 하고 있음
- 26 -
☞ 이 자료는 금융기관이 금융기관의 고유업무 수행을 위하여 정보시스템서비스를 아웃소싱하는 경우 고려할 내용으로 미국 연방금융기관검사위원회(FFIEC)의 정보처리서비스 제공업체 및 서비스이용 금융기관에 대한 검사지침을 발췌·요약한 것임
Ⅱ. 아웃소싱 관련 주요 통제요소
1. 통제의 필요성 및 통제목적
□ 금융기관이 외부 정보처리서비스를 이용하는 경우 금융기관의 운영통제는 서비스공급업체까지 확장 필요
ㅇ 컴퓨터통신 신기술을 적용함으로서 자금손실, 경쟁이익의 상실, 피소, 명성 훼손, 부적절한 정보공개, 감독당국의 제재 등 업무상 실수와 오용의 가능성이 높아졌음
□ 정보관리의 취약점을 최소화하고 보안유지를 위한 통제 필요 ㅇ 금융기관은 예상치 못한 손실의 영향도와 위험노출의 정도에 대한
통제수준을 평가하고 정보보안을 강화하기 위한 정책, 실무표준, 절차등 개발 필요
□ 정보보안 통제 목적 ㅇ 경영정보시스템의 무결성 및 정확성 보장 ㅇ 데이터 생성, 전송 및 보관중에 인가받지 않은 변경 방지 ㅇ 비밀 유지 ㅇ 논리적 접근 제한 ㅇ 사용자 접근 인증 ㅇ 입출력 처리의 정확성 검증 ㅇ 백업 및 복구 능력 유지 ㅇ 정보손실 또는 정보파괴로부터 보호
2. 직무의 분리
□ 내부통제시스템에서 사용되는 기본적인 통제는 직무의 분리임 ㅇ 아웃소싱업체는 입력 및 정정거래를 수행할 수 없음. 만약 입력 및
정정거래를 수행한다면 아웃소싱업체와 금융기관 책임자의
- 27 -
서면승인 필요 ㅇ 입력기능과 출력기능은 일반적으로 동일인이 수행할 수 없음
□ 직무순환 및 정기적인 강제휴가를 통해 내부통제를 개선 필요 ㅇ 직무순환은 교차훈련과 인력백업을 가능케하며 강제휴가는
회계연도말 또는 2주 이상 연속 실시하면 가장 효과적임. □ 중복통제(dual control)를 자동화된 시스템에 적용함으로서 통제를 강화 ㅇ 원장변경시 감독자의 승인이 필요하고, 변경보고서를 작성하여 그
거래와 독립된 요원이 검토
3. 내부통제
□ 내부통제는 일반적으로 관리통제, 금전통제, 비금전통제 등 3가지로 구분
ㅇ 관리통제는 일일운영 및 출력보고서와 관련된 것으로 일반적으로 관리적인 관점에서 실시
ㅇ 금전통제는 모든 승인된 금전거래 처리를 보장하는 것으로 상호대사, 보고서 배부, 거부거래의 기록유지 및 재실행, 예외보고서에 관한 내용이 포함
ㅇ 비금전통제는 이름이나 주소변경과 같은 화페가치가 없는 경우 적용되는 통제로 데이터의 무결성을 보장하기 위하여 원장과 프로그램변경을 통제하기 위한 절차가 마련하는 것임
□ 금융기관은 승인된 정보만 변경하여야 하며, 아웃소싱업체 직원은 원장변경 행위를 할 수 없음.
4. 데이터통신 통제
□ 사용자 확인(User Identification)
- 28 -
ㅇ 패스워드나 개인인식번호(ID)에 의한 소프트웨어적 통제를 실시하고 패스워드는 주기적으로 반드시 변경.
ㅇ 워크스테이션은 이용시간, 작업지역을 제한하여 접근통제 실시 ㅇ 아웃소싱업체가 제공하는 각종 통제방법에 대하여 금융기관은 이를
평가하고 채택여부 등을 결정 및 추가적인 통제방안 요구
□ 접근 수준(Level of Accessibility) ㅇ 직무에 필요한 정보만 접근을 허용하는 통제임 ㅇ 일정시간 경과후 자동 접속차단(automatic timeout) 방식을 적용하고,
방치된 워크스테이션을 통한 미승인거래 가능성 검토
□ 특수 거래(Restricted Transactions) ㅇ 특수거래는 책임자가 수행하는 특별한 거래로 소급거래,
금액정정거래, 일일대사거래 등이 여기에 포함되며 관리자는 정기적으로 특수거래의 적정성을 검토
□ 활동 및 예외보고서 (Activity and Exception Reports) ㅇ 워크스테이션별, 오퍼레이터별, 형태별로 상세한 거래 내역을
작성하여 독립된 직원이 매일 검토
□ 시스템 통제 (Systems Features and Controls) ㅇ 통신시스템은 조회전용시스템, 메모시스템, 온라인시스템 등 3가지
형태로 구분 - 조회전용시스템(Inquiry-only system) : 비밀정보에 대한 접근통제가
주요 관심사 - 메모시스템(Memo-post system) : 물리적 및 논리적 접근통제를
실시하여야 하며 특수거래는 감독자에게만 제한 - 온라인시스템(On-line post system) : 원장에 즉시 입력되므로 가장
엄격한 통제가 필요함. 접근통제 이외에 활동 및
- 29 -
예외정보를 보고서에 기록하여 보고
□ 백업 (Backup Considerations) ㅇ 데이터통신시스템 백업에는 배치처리, 오프라인 상태에서 PC운영,
전송회선이 상실된 경우 제어기에서의 데이터 캡쳐, 중복회선, 백업모뎀, 전화회선을 통한 재라우팅 등이 있음.
ㅇ 종합적인 백업계획을 수립하여야 하며 동 계획에는 인원 및 장비를 확보하는 상세한 방법을 포함
□ 기타 운영상의 통제 ㅇ 금융기관 및 아웃소싱업체의 정보시스템서비스에 대한
자체감사기능의 신뢰성 검토 ㅇ 금융기관은 효과적인 내부통제를 위하여, 컴퓨터주변감사기법
(around-the-computer audit technique)을 적용 ㅇ 금융기관은 컴퓨터 처리과정을 체크하기 위하여
컴퓨터처리과정감사기법(through-the-computer audit techniques)을 적용
ㅇ 정보처리가 자체 또는 외부공급업체를 통하여 수행되는 것에 상관없이 금융기관은 모든 정보시스템에 대한 적절한 감사계획을 수립·운영 필요
ㅇ 자체 정보시스템 감사전문가 양성, 외부 정보시스템감사인의 종합적인 감사 검토
Ⅲ. 서비스 품질 평가
□ 금융기관은 아웃소싱업체가 제공하는 서비스의 품질수준을 정기적으로 평가
ㅇ 측정가능 성과지표(처리시간, 성과목표대 처리결과 등) 개발 ㅇ 타금융기관 둥 사용자그룹의 평가 고려
- 30 -
ㅇ 아웃소싱업체가 제공하는 종업원 훈련
Ⅳ. 서비스중단에 대비한 비상대책
□ 아웃소싱업체의 서비스 중단은 금융기관의 영업에 심각한 영향을 미치므로 철저한 대비책 마련이 필요함. 서비스중단은 화재, 홍수 등 자연재난으로 인한 서비스중단과 서비스업체의 도산으로 인한 서비스중단으로 구분되며 서비스중단 형태별로 별도의 대비책을 마련해야 함.
□ 자연재난에 의한 서비스중단에 대비한 비상계획에는 현행 데이터파일과 프로그램을 대체사이트에 보관하고 다른 자료처리센타에서의 정보시스템처리계획을 포함하여야 함.
ㅇ 자연재난시에도 아웃소싱업체는 최소한 가장 중요한 응용업무를 처리할 수 있도록 비상계획 마련 필요
ㅇ 백업비상계획에 대한 책임은 서비스공급업체(금융기관이 아니고)에 있음. 다만 금융기관은 서비스공급업체의 비상계획을 보완할 계획을 마련
□ 아웃소싱업체의 도산에 따른 서비스중단은 금융기관에게 가장 심각한 경우임. 이 경우에는 서비스담당 직원이 없기 때문에 충분한 사전통지가 없고 비상계획도 없을 수 있으므로 금융기관이 대체처리사이트를 마련하여야 함
ㅇ 아웃소싱업체의 도산시 데이터파일을 입수할 수 있다고 하더라도 동 파일을 처리하는데 필요한 프로그램과 다큐멘테이션을 입수하기는 곤란한 경우가 대부분임.
ㅇ 이러한 경우 금융기관은 금융기관이 아웃소싱업체의 대출금을 대환한 후 데이터센타를 운영할 전문가를 물색하여 운영하거나 데이터파일을 다른 데이터센타로 변환하여 이용하는 방안을 고려하여 함
- 31 -
□ 따라서 금융기관이 아웃소싱업체의 재무건전성을 모니터링하여 도산에 대비하여야 함
ㅇ 아웃소싱업체의 재무상태가 악화되어 지속적인 서비스제공이 어렵다고 판단되는 경우 아웃소싱업체의 교체계획을 수립
Ⅴ. 계약체결시 고려사항
□ 정보시스템서비스 아웃소싱 계약서에는 다음 사항이 적절히 포함되어야 함
ㅇ 제공되는 서비스의 구체적인 내용 ㅇ 시스템 개발, 데이터 변환, 데이터 처리, 금융기관의 특별 요구에 따른
추가비용 등 서비스대가 산정 기준 ㅇ 서비스 산출물의 제공 일정 ㅇ 네트워크보안에 대한 책임 ㅇ 금융감독원과 금융기관이 아웃소싱업체에 대한 검사(감사) 권한 및
아웃소싱업체의 협조의무 명시 ㅇ 비상시 외부용역업체 전산센타가 시의 적절하게 데이터처리를 수행할
백업 및 데이터 보호 설비(장치, 프로그램, 데이터화일 등) ㅇ 아웃소싱제공업체의 재난복구계획을 금융기관에 제공 ㅇ 아웃소싱제공업체의 재난복구계획에 대한 테스트결과를 금융기관이
확인할 수 있는 권리 ㅇ 금융기관과 아웃소싱제공업체간에 원시데이타가 이동되는 경우 동
원시데이타에 대한 책임 (아웃소싱업체의 책임인 경우 보험 가입 필요)
ㅇ 에러나 누락에 의한 데이터 손실에 대비한 보험 가입 ㅇ 데이터 비밀 유지 ㅇ 프로그램과 다큐멘테이션의 소유권 ㅇ 원장과 거래기록 데이터 파일의 소유권, 계약 종료시 컴퓨터가 읽을 수
- 32 -
있는 형태로 반환하는 조건 ㅇ 서비스대가의 변경, 계약 해제·해지시 적절한 사전 통지 ㅇ 처리우선순위 ㅇ 아웃소싱업체가 금융기관 사용자의 처리절차, 출력보고서에 영향을
미치는 변경내용을 사전 통지 ㅇ 아웃소싱업체의 재무제표를 금융기관에게 매년 제출 ㅇ 금융기관 사용자 훈련 및 훈련비용 ㅇ 아웃소싱업체가 도산하는 경우 금융기관의 조치 내용 ㅇ 계약위반, 만기전 해지 등에 따른 위약금 ㅇ 계약상대방의 사전 서면승인 없이 계약내용의 제3자 양도금지
Ⅵ. 시스템 운영시 주요 고려사항
□ 다음 분야에 대한 직무와 책임의 적절한 분리 ㅇ 입력자료 준비 및 대사 ㅇ 데이터 입력 ㅇ 재입력 거부 ㅇ 출력결과 대사
□ 원장변경 절차 및 실무기준 준수 ㅇ 원장변경 요청서의 정당성 및 변경기초자료의 충분성 ㅇ 독립된 책임자가 변경결과보고서와 원장변경 요청서를 대사
□ 시스템운영과 관련한 예외보고서를 정기적으로 검토
□ 원시문서를 아웃소싱업체로 보내기 전에 금융기관은 이를 마이크로필름에 수록하거나 기록을 남길 필요성이 있는지 검토하고 필요시 기록 보존
□ 컴퓨터로 처리되는 중요증서(수표, 주권, 신용카드 등)의 관리
- 33 -
ㅇ 2중 통제하에 관리 ㅇ 시건장치가 된 보안장소에 보관 ㅇ 발급절차의 정당 여부 ㅇ 미리 부여된 일련번호대로 순차적 사용 ㅇ 감사증적을 제공하는 로그를 이용하여 관리 ㅇ 정기 재고 조사
□ 처리에서 거부된 항목에 대한 독립적인 대사 여부
□ 컴퓨터설비는 서로 상충되지 않는 직무를 맡고 있는 직원이 운영
□ 운영요원에 대한 충분한 교육 훈련, 핵심요원에게 지나친 의존을 감소하기 위하여 조치
□ 매일 출력보고서와 총계정 원장과 대사
Ⅶ. 정보시스템 보안
□ 금융기관 정보시스템 보관관리자 지명 ㅇ 금융기관 업무의 규모와 복잡성에 상응하는 보안관리자 지명 ㅇ 필요한 사람에게만 보안 권한 부여 ㅇ 보안관리자에게 상충되는 직무 부여 금지 □ 시스템접근권한을 부여받을 직원은 특별 관리
□ 보안관리자가 모든 사용자에 대해 서면으로 접근권한 부여 여부 □ 보안관련 보고서의 정기적인 검토
Ⅷ. 금융정보 보호 및 보존
- 34 -
□ 금융기관은 재난상황에서도 영업기능을 유지하여야 하며 영업지속성 유지의 핵심은 백업자료의 보존과 백업설비의 확보에 있음
ㅇ 금융기관과 아웃소싱업체는 모두 백업자료를 통제하여야 하고 금융기관이 보호할 자료와 아웃소싱업체가 보호할 자료를 결정하여야 함.
ㅇ 아웃소싱업체의 자료보관책임은 계약서에 상세히 포함 ㅇ 금융기관은 아웃소싱업체의 백업계획과 보존절차의 복사본을
확보하여야 하여 어떤 자료가 어느 정도로 보존되는가를 철저히 이해하고 정기적으로 검토
□ 자료보호대책 이외에 금융기관은 아웃소싱업체의 하드웨어, 소프트웨어 백업계획을 검토
ㅇ 이 검토에는 데이터 및 소프트웨어 백업주기, 격지저장시설 위치, 격지저장시설의 장비, 소프트웨어 대체의 가용성, 벤더지원의 가용성, 복사본 소프트웨어 다큐멘테이션 등이 포함
□ 아웃소싱업체의 하드웨어 백업계획 검토에 포함할 사항 ㅇ 상업복구센타 이용 여부, 백업수용 능력, 백업사이트 형태 ㅇ 아웃소싱업체의 대체 데이터센터 사용 여부, 대체 데이터센타가
지속적인 완전한 서비스 제공을 위한 충분한 용량과 시간 유무 ㅇ 동시에 다수의 금융기관의 처리 가능 여부, 전력공급 능력
□ 금융정보의 보존기간 및 보존형태에 대한 검토가 필요함 ㅇ 중요자료는 출력물과 컴퓨터 판독 형태 두 가지로 보존 ㅇ 구 버전으로부터 신 버젼을 생성할 수 있는 능력 고려 ㅇ 금융기관이나 감독당국의 보고서 작성 필요성에 따라 월말, 분기말,
년말 파일은 장기 보존 필요
- 35 -
□ 파일보존과 관련하여 정보처리센타의 위치를 고려 ㅇ 정보처리센타가 인접해 있는 경우 추가적인 파일보존절차 고려
□ 대규모 재난 발생시 컴퓨터설비는 유용하지 않을 수 있으므로 수작업절차 마련 필요
Ⅸ. 보 험
□ 금융기관과 아웃소싱업체의 리스크와 책임한계를 명확히 정의하여 부험부보 범위를 결정
ㅇ 보험은 화재, 자연재해 등 물리적 재산피해를 포함하여야 하고, 컴퓨터시스템을 대체하기에 충분하여야 함
ㅇ 아웃소싱업체도 금융기관과 같이 보험에 부보 □ 금융기관 및 아웃소싱업체가 고려할 보험부보 범위 ㅇ 데이터를 복구하기 위한 매채 복구 비용 ㅇ 공매체 대체 비용 ㅇ 일상적인 운영비용을 초과하는 비용의 배상 ㅇ 아웃소싱업체의 영업중단, 실수, 누락에 대한 보험부보 범위 ㅇ 원시문서의 물리적 이용에 따른 보험부보 범위 ㅇ 전자자금이체시스템의 신뢰성에 따른 보험부보 범위 ㅇ 종업원의 부정직한 행위에 관한 보험부보 범위 ㅇ 컴퓨터범죄, 컴퓨터바이러스 및 해커에 의한 손해를 감당할 수 있는
컴퓨터범죄 정책
□ 보험가입 여부는 손실발생확률, 예상발생 손실규모 등을 고려하여 결정
- 36 -
