ISMS-P 인증 기준 2.3.3.외부자 보안 이행 관리 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | |||
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]] | * '''분류''': [[ISMS-P 인증 기준 2.3.외부자 보안|2.3.외부자 보안]] | ||
*'''분류''': [[ISMS-P 인증 기준 2.3.외부자 보안|2.3.외부자 보안]] | == 개요 == | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!2.3.3.외부자 보안 이행 관리 | !2.3.3.외부자 보안 이행 관리 | ||
|- | |- | ||
| style="text-align:center" |'''인증기준''' | | style="text-align:center"|'''인증기준''' | ||
|계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리·감독하여야 한다. | |계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리·감독하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
*외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가? | * 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가? | ||
*외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립‧이행하고 있는가? | * 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립‧이행하고 있는가? | ||
*개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 | * 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가? | ||
|} | |} | ||
==세부 설명 | == 세부 설명 == | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | * 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하여야 한다. | ||
** 외부자와 계약 시 정의한 보안 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사 수행 | |||
** 외부자에 대한 점검 또는 감사는 업무 시작 전, 업무 진행되는 과정, 종료 시점에 진행하되 필요한 경우 수시로 진행 | |||
** 수탁사의 정보보호 및 개인정보보호 역량, 자체 시스템 보유 여부, 처리하는 정보의 수량 및 민감도 등을 고려하여 실태점검 주기 및 방법 결정 | |||
* 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립·이행하여야 한다. | |||
** 점검 및 감사 결과에 대하여 공유하고 발견된 문제점에 대한 개선방법 및 재발 방지대책을 수립하여 이행 | |||
** 개선 조치 완료 여부에 대한 이행점검 수행 | |||
* 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하여야 한다. | |||
** 개인정보 처리 수탁자는 위탁자의 동의를 받은 경우에 한하여 재위탁하고, 위탁자가 수탁자에게 요구하는 동일한 수준의 기술적·관리적 보호조치를 재위탁자가 이행하도록 관리·감독 | |||
== 증거 자료 == | |||
* 외부자 및 수탁자 보안점검 결과 | |||
* 외부자 및 수탁자 교육 내역(교육 결과, 참석자 명단, 교육교재 등) | |||
* 개인정보 위탁 계약서 | |||
== 결함 사례 == | |||
* 회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우 | |||
* 개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우 | |||
* 수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우 | |||
* 개인정보 처리업무 위탁계약서의 재위탁 제한 조항에는 재위탁 시 위탁자의 사전 승인을 받도록 하고 있으나, 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 재위탁한 경우 | |||
* 영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우 | |||
== 같이 보기 == | |||
* [[정보보호 및 개인정보보호관리체계 인증]] | |||
* [[ISMS-P 인증 기준]] | |||
* [[ISMS-P 인증 기준 세부 점검 항목]] | |||
== 참고 문헌 == | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |