제11조의5 (전자금융기반시설 취약점 분석ㆍ평가의 절차 및 방법 등)

**①** 금융회사 및 전자금융업자는 법 제21조의3제1항에 따라 전자금융기반시설의 취약점 분석ㆍ평가를 하려는 경우에는 자체전담반을 구성하여 실시하거나 전문성을 갖춘 외부 기관에 의뢰하여 실시하여야 한다. 이 경우 자체전담반의 구성기준과 의뢰할 수 있는 외부 기관의 기준은 금융위원회가 정하여 고시한다.

**②** 법 제21조의3제1항에 따른 전자금융기반시설의 취약점 분석ㆍ평가는 사업연도마다 1회 이상 하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 지체 없이 취약점 분석ㆍ평가를 하여야 한다.

1. 법 제21조의5제1항에 따른 침해사고가 발생하여 그 피해 및 피해 확산을 방지하기 위한 긴급한 조치가 필요한 경우
2. 정보처리시스템이나 인터넷 홈페이지 구축 등 정보기술부문 관련 사업을 실시하였거나 정보기술부문의 기능개선ㆍ변경을 수행한 경우

**③** 금융회사 및 전자금융업자는 법 제21조의3제1항에 따라 전자금융기반시설의 취약점 분석ㆍ평가를 하였을 때에는 다음 각 호의 사항이 포함된 결과보고 및 보완조치 이행계획서를 그 취약점 분석ㆍ평가 종료 후 30일 이내에 금융위원회에 제출하여야 한다.

1. 취약점 분석ㆍ평가의 사유, 대상, 기간 등 실시개요
2. 취약점 분석ㆍ평가의 세부 수행방법
3. 취약점 분석ㆍ평가 결과
4. 취약점 분석ㆍ평가 결과에 따른 필요한 보완조치의 이행계획
5. 그 밖에 취약점 분석ㆍ평가의 적정성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항

**④** 제1항부터 제3항까지의 규정에도 불구하고 금융위원회는 전자금융거래의 빈도, 총자산 및 상시 종업원 수 등을 고려하여 금융위원회가 정하여 고시하는 기준에 미달하는 금융회사 및 전자금융업자에 대하여 다음 각 호의 사항을 완화하여 적용할 수 있는 기준을 정하여 고시할 수 있다.

1. 제1항에 따른 취약점 분석ㆍ평가의 방법
2. 제2항 각 호 외의 부분 본문에 따른 취약점 분석ㆍ평가의 실시 주기
3. 제3항에 따른 결과보고 및 보완조치 이행계획서의 제출 시기 및 제출 시 포함되어야 하는 사항