ISMS-P 인증 기준 2.3.3.외부자 보안 이행 관리 편집하기

[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
* '''분류''': [[ISMS-P 인증기준 2.3.외부자 보안|2.3.외부자 보안]]
== 개요 ==
{| class="wikitable"
!항목
!2.3.3.외부자 보안 이행 관리
|-
| style="text-align:center"|'''인증기준'''
|계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리·감독하여야 한다.
|-
|'''주요 확인사항'''
|
* 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?
* 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립‧이행하고 있는가?
* 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가?
|}
== 세부 설명 ==

* 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하여야 한다.
** 외부자와 계약 시 정의한 보안 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사 수행
** 외부자에 대한 점검 또는 감사는 업무 시작 전, 업무 진행되는 과정, 종료 시점에 진행하되 필요한 경우 수시로 진행
** 수탁사의 정보보호 및 개인정보보호 역량, 자체 시스템 보유 여부, 처리하는 정보의 수량 및 민감도 등을 고려하여 실태점검 주기 및 방법 결정
* 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립·이행하여야 한다.
** 점검 및 감사 결과에 대하여 공유하고 발견된 문제점에 대한 개선방법 및 재발 방지대책을 수립하여 이행
** 개선 조치 완료 여부에 대한 이행점검 수행
* 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하여야 한다.
** 개인정보 처리 수탁자는 위탁자의 동의를 받은 경우에 한하여 재위탁하고, 위탁자가 수탁자에게 요구하는 동일한 수준의 기술적·관리적 보호조치를 재위탁자가 이행하도록 관리·감독
== 증거 자료 ==
* 외부자 및 수탁자 보안점검 결과
* 외부자 및 수탁자 교육 내역(교육 결과, 참석자 명단, 교육교재 등)
* 개인정보 위탁 계약서
== 결함 사례 ==
* 회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
* 개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우
* 수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우
* 개인정보 처리업무 위탁계약서의 재위탁 제한 조항에는 재위탁 시 위탁자의 사전 승인을 받도록 하고 있으나, 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 재위탁한 경우
* 영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
@@ 1번째 줄: / 1번째 줄: @@
 [[분류: ISMS-P 인증 기준]]
+* '''영역''': [[ISMS-P 인증기준 2.보호대책 요구사항|2.보호대책 요구사항]]
-*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
+* '''분류''': [[ISMS-P 인증기준 2.3.외부자 보안|2.3.외부자 보안]]
-*'''분류''': [[ISMS-P 인증 기준 2.3.외부자 보안|2.3.외부자 보안]]
+== 개요 ==
-==개요==
 {| class="wikitable"
 !항목
 !2.3.3.외부자 보안 이행 관리
 |-
-| style="text-align:center" |'''인증기준'''
+| style="text-align:center"|'''인증기준'''
 |계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리·감독하여야 한다.
 |-
 |'''주요 확인사항'''
 |
-*외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?
+* 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?
-*외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립‧이행하고 있는가?
+* 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립‧이행하고 있는가?
-*개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가?
+* 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가?
-*(가상자산사업자) 제휴, 위탁을 통한 가상자산 거래 서비스, 개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는 내부업무용과 분리 설치·운영하고 있는가?
 |}
-==세부 설명==
+== 세부 설명 ==
-==== 주기적 점검 및 감사 ====
-외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하여야 한다.
-*외부자와 계약 시 정의한 보안 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사 수행
-*외부자에 대한 점검 또는 감사는 업무 시작 전, 업무 진행되는 과정, 종료 시점에 진행하되 필요한 경우 수시로 진행
-*수탁사의 정보보호 및 개인정보보호 역량, 자체 시스템 보유 여부, 처리하는 정보의 수량 및 민감도 등을 고려하여 실태점검 주기 및 방법 결정
-==== 개선 계획 수립 및 이행 ====
-외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립·이행하여야 한다.
-*점검 및 감사 결과에 대하여 공유하고 발견된 문제점에 대한 개선방법 및 재발 방지대책을 수립하여 이행
-*개선 조치 완료 여부에 대한 이행점검 수행
-==== 개인정보 처리 업무 재위탁 보안 ====
-[[개인정보 처리 업무 위탁|개인정보 처리업무를 위탁]]받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하여야 한다.
-*개인정보 처리 수탁자는 위탁자의 동의를 받은 경우에 한하여 재위탁하고, 위탁자가 수탁자에게 요구하는 동일한 수준의 기술적·관리적 보호조치를 재위탁자가 이행하도록 관리·감독
-==증거 자료==
-*외부자 및 수탁자 보안점검 결과
-*외부자 및 수탁자 교육 내역(교육 결과, 참석자 명단, 교육교재 등)
-*개인정보 위탁 계약서
-==결함 사례==
-*회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
-*개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우
-*수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우
-*개인정보 처리업무 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 제3자에게 재위탁한 경우
-*[https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률/(20221211,18871,20220610)/제50조의3 영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우]
-== 유사 기준 ==
-* [[ISMS-P 인증 기준 2.3.1.외부자 현황 관리|2.3.1.외부자 현황 관리]]
-* [[ISMS-P 인증 기준 2.3.2.외부자 계약 시 보안|2.3.2.외부자 계약 시 보안]]
-* [[ISMS-P 인증 기준 2.3.4.외부자 계약 변경 및 만료 시 보안|2.3.4.외부자 계약 변경 및 만료 시 보안]]
-==같이 보기==
-*[[정보보호 및 개인정보보호관리체계 인증]]
-*[[ISMS-P 인증 기준]]
-*[[ISMS-P 인증 기준 세부 점검 항목]]
-==참고 문헌==
-*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
+* 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하여야 한다.
+** 외부자와 계약 시 정의한 보안 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사 수행
+** 외부자에 대한 점검 또는 감사는 업무 시작 전, 업무 진행되는 과정, 종료 시점에 진행하되 필요한 경우 수시로 진행
+** 수탁사의 정보보호 및 개인정보보호 역량, 자체 시스템 보유 여부, 처리하는 정보의 수량 및 민감도 등을 고려하여 실태점검 주기 및 방법 결정
+* 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립·이행하여야 한다.
+** 점검 및 감사 결과에 대하여 공유하고 발견된 문제점에 대한 개선방법 및 재발 방지대책을 수립하여 이행
+** 개선 조치 완료 여부에 대한 이행점검 수행
+* 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하여야 한다.
+** 개인정보 처리 수탁자는 위탁자의 동의를 받은 경우에 한하여 재위탁하고, 위탁자가 수탁자에게 요구하는 동일한 수준의 기술적·관리적 보호조치를 재위탁자가 이행하도록 관리·감독
+== 증거 자료 ==
+* 외부자 및 수탁자 보안점검 결과
+* 외부자 및 수탁자 교육 내역(교육 결과, 참석자 명단, 교육교재 등)
+* 개인정보 위탁 계약서
+== 결함 사례 ==
+* 회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
+* 개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우
+* 수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우
+* 개인정보 처리업무 위탁계약서의 재위탁 제한 조항에는 재위탁 시 위탁자의 사전 승인을 받도록 하고 있으나, 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 재위탁한 경우
+* 영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우
+== 같이 보기 ==
+* [[정보보호 및 개인정보보호관리체계 인증]]
+* [[ISMS-P 인증 기준]]
+* [[ISMS-P 인증 기준 세부 점검 항목]]
+== 참고 문헌 ==
+* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)