금융분야 클라우드컴퓨팅서비스 이용 가이드(2025년도 개정) 체크리스트 정리

📌 금융분야 클라우드 필수사항 체크리스트

1. 중요 업무 전용 체크리스트 ✅

(중요도 평가 결과 “높음”으로 분류된 업무)

계약 체결

• SLA(Service Level Agreement) 포함 (가용성, 성능, 지원 수준 명확히 규정)
• 장애 대응 절차, 복구 목표시간(RTO), 복구시점(RPO) 명시
• 보안사고 발생 시 즉시 통보 및 공동 대응 절차 포함
• 금융회사 및 감독기관의 현장 점검·감사 권한 명시
• 업무 연속성 계획(출구전략 포함) 반드시 반영
• 백업 및 이중화 체계 명시, 정기 테스트 수행 조항 포함

데이터 관리

• 데이터 저장 위치(국내 설치 필수, 무선망 금지) 확인
• 데이터 소유권 금융회사 보유 명시
• 계약 종료 시 데이터 반환 + 완전 삭제 절차 포함
• 개인신용정보/고유식별정보는 반드시 국내에서만 처리
• 전송·보관 시 암호화 의무

서비스 제공자 관리

• 하도급(재위탁) 시 금융회사 사전 승인 필수
• 재위탁 대상도 동일한 규제·보안 요건 적용
• 사고·장애 발생 시 책임 소재 명확화
• 손해배상 및 배상 절차 구체화

규제·감독 대응

• 전자금융감독규정 및 관련 법규 준수 의무 명시
• 감독기관 요구 시 자료 제출·협조 의무
• 이용 현황 및 보고 절차 명시

---

2. 비중요 업무 전용 체크리스트 ✅

(중요도 평가 결과 “낮음”으로 분류된 업무)

계약 체결

• 서비스 제공 범위 및 수준 명시 (SLA 최소항목 포함)
• 장애 대응 절차 및 복구 절차 포함 (RTO/RPO 권고 수준)
• 보안사고 발생 시 통보 절차 명시
• 금융회사 및 감독기관의 점검·감사 권한 명시
• 업무 연속성 계획(출구전략) 기본 수준 포함

데이터 관리

• 데이터 저장 위치 명확히 기재 (국내·국외 가능)
• 데이터 소유권 금융회사에 있음 명시
• 계약 종료 시 데이터 반환 및 삭제 절차 포함
• 중요 정보 취급하지 않는 경우라도 암호화 적용 권장

서비스 제공자 관리

• 하도급(재위탁) 시 금융회사 사전 승인 권고
• 사고 발생 시 책임 범위 명확화
• 손해배상 관련 조항 포함 (단, 구체성은 완화 가능)

규제·감독 대응

• 관련 법규 준수 의무 포함
• 감독기관 자료 제출·협조 의무
• 계약 및 이용 현황 관리

---

👉 정리하면,

• 중요 업무 → 필수 + 추가 포함사항 모두 요구 (국내 데이터 처리, 강력한 보안·복구 조치, 세부 책임 조항)
• 비중요 업무 → 기본 포함사항만 요구 (데이터 위치·복구·통보 등 최소 보장)