외주직원 및 내부직원의 개발PC와 운영PC를 물리적으로 분리해야 하는지 여부

beta

구분

비조치의견서

소관부서

금융위원회,자본시장정책관,자산운용과,금융감독원,IT핀테크전략국

회신일

20200921

요청대상행위

□ 내부직원과 외주직원이 인터넷과 물리적으로 분리된 내부 업무용 Thin Client를 개발 업무용, 운영 업무용으로 이용하는 것이 물리적 망분리 및 외부주문 규정을 준수하는 지

판단

□ 아래 판단이유를 참고하시기 바랍니다.

판단이유

□ 금융회사는 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기(이하 ‘전산센터 단말기’)에 대해서 인터넷 등 외부통신망으로부터 물리적으로 분리하여야 합니다. (전자금융감독규정 제15조 제1항 제5호)

◦ 또한, 외부주문등에 의한 정보처리시스템의 개발업무에 사용되는 업무장소 및 전산설비는 내부 업무용과 분리하여 설치 운영하여야 합니다.(전자금융감독규정 제60조 제1항 제1호)

□귀사에서 제출하신 요청서만으로는 외주직원의 업무장소가 내부 업무용과 분리되었는지 여부는 확인할 수 없어, 망분리 규정 준수 여부에 대해서만 회신드리겠습니다.

□물리적 망분리 규제는 전산센터 단말기 및 정보처리시스템을 인터넷 등 외부통신망과 물리적으로 분리하도록 하고 있을 뿐 개발용 및 운영용 등의 내부망 분리는 별도로 정하고 있지 않습니다.

◦ 회사의 보안 정책에 따라 정보처리시스템 및 내부 통신망을 개발, 검증, 운영용으로 분리하여 사용하실 수 있으며, 이 때 Thin client를 이용하여 논리적으로 분리하는 것도 가능합니다.