ISMS-P 인증 기준 2.3.2.외부자 계약 시 보안 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
16번째 줄: | 16번째 줄: | ||
*중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가? | *중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가? | ||
*외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가? | *외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가? | ||
*정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가? | *정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?|}==세부 설명== | ||
|- | ==== 개인정보 보호역량 고려 ==== | ||
주요정보 및 개인정보 처리와 관련�|- | |||
|'''관련법규''' | |'''관련법규''' | ||
| | | | ||
*개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) | * 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) | ||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
==== | ====개인정보 보호역량 고려==== | ||
주요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하여야 한다. | 주요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하여야 한다. | ||
*정보보호 및 개인정보보호 역량이 있는 업체가 선정될 수 있도록 관련 요건을 [[제안요청서|제안요청서(RFP)]] 및 제안 평가항목에 반영하여 업체 선정 시 적용 | *정보보호 및 개인정보보호 역량이 있는 업체가 선정될 수 있도록 관련 요건을 [[제안요청서|제안요청서(RFP)]] 및 제안 평가항목에 반영하여 업체 선정 시 적용 | ||
====보안 | ====[[개인정보 처리 업무 위탁|개인정보 처리 업무 위탁 보안]]==== | ||
조직의 정보처리 업무를 외부자에게 위탁하거나 외부 서비스를 이용하는 경우 다음과 같은 보안 요구사항을 정의하여 계약 시 반영하여야 한다([https://www.law.go.kr/법령/개인정보보호법/(20230915,19234,20230314)/제26조 개인정보보호법 제26조] 및 [https://www.law.go.kr/법령/개인정보보호법시행령/(20240101,33723,20230912)/제28조 동법 시행령 제28조] 참고). | 조직의 정보처리 업무를 외부자에게 위탁하거나 외부 서비스를 이용하는 경우 다음과 같은 보안 요구사항을 정의하여 계약 시 반영하여야 한다([https://www.law.go.kr/법령/개인정보보호법/(20230915,19234,20230314)/제26조 개인정보보호법 제26조] 및 [https://www.law.go.kr/법령/개인정보보호법시행령/(20240101,33723,20230912)/제28조 동법 시행령 제28조] 참고). | ||
38번째 줄: | 38번째 줄: | ||
*외부자 인터넷접속 제한, 물리적 보호조치(장비 및 매체 반출입 등), PC 등 단말 보안(백신설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등), 무선 네트워크 사용 제한 | *외부자 인터넷접속 제한, 물리적 보호조치(장비 및 매체 반출입 등), PC 등 단말 보안(백신설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등), 무선 네트워크 사용 제한 | ||
*정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차 | *정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차 | ||
* 재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안 요구사항 정의 | *재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안 요구사항 정의 | ||
*보안 요구사항 위반 시 처벌, 손해배상 책임, 보안사고 발생에 따른 보고 의무 등 | * 보안 요구사항 위반 시 처벌, 손해배상 책임, 보안사고 발생에 따른 보고 의무 등 | ||
<div style="width:60%; padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px; margin-left:20px"> | <div style="width:60%; padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px; margin-left:20px"> | ||
'''※ 개인정보 처리업무 위탁 시 문서에 포함되어야 할 사항''' | '''※ 개인정보 처리업무 위탁 시 문서에 포함되어야 할 사항''' | ||
50번째 줄: | 50번째 줄: | ||
*수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항</div> | *수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항</div> | ||
====개발 | ====시스템 개발 위탁 보안==== | ||
정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수하여야 할 정보보호 및 개인정보 보호 요구사항을 계약서에 명시하여야 한다. | 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수하여야 할 정보보호 및 개인정보 보호 요구사항을 계약서에 명시하여야 한다. | ||
56번째 줄: | 56번째 줄: | ||
*안전한 코딩 표준 준수 등 [[소프트웨어 개발 보안|개발보안]] 절차 적용 | *안전한 코딩 표준 준수 등 [[소프트웨어 개발 보안|개발보안]] 절차 적용 | ||
*개발 완료된 정보시스템 및 개인정보처리시스템에 대한 취약점 점검 및 조치 | *개발 완료된 정보시스템 및 개인정보처리시스템에 대한 취약점 점검 및 조치 | ||
* 개발 관련 산출물, 소스 프로그램, 개발용 데이터 등 개발환경에 대한 보안관리 | *개발 관련 산출물, 소스 프로그램, 개발용 데이터 등 개발환경에 대한 보안관리 | ||
*개발 과정에서 취득한 정보에 대한 비밀유지 의무 | * 개발 과정에서 취득한 정보에 대한 비밀유지 의무 | ||
*위반 시 손해배상 등 책임에 대한 사항 등 | *위반 시 손해배상 등 책임에 대한 사항 등 | ||
==증거 자료== | ==증거 자료 == | ||
* 위탁 계약서 | *위탁 계약서 | ||
*정보보호 및 개인정보보호 협약서(약정서, 부속합의서) | *정보보호 및 개인정보보호 협약서(약정서, 부속합의서) | ||
*위탁 관련 내부 지침 | *위탁 관련 내부 지침 | ||
*위탁업체 선정 관련 RFP(제안요청서), 평가표 | *위탁업체 선정 관련 RFP(제안요청서), 평가표 | ||
==결함 사례 == | ==결함 사례== | ||
*IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우 | *IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우 |