ISMS-P 인증 기준 2.3.3.외부자 보안 이행 관리: Difference between revisions
From IT Wiki
No edit summary |
(→결함 사례: '23.11 결함사항 수정 내용 반영) |
||
(3 intermediate revisions by one other user not shown) | |||
Line 17: | Line 17: | ||
*외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립‧이행하고 있는가? | *외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립‧이행하고 있는가? | ||
*개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가? | *개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가? | ||
*(가상자산사업자) 제휴, 위탁을 통한 가상자산 거래 서비스, 개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는 내부업무용과 분리 설치·운영하고 있는가? | |||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
Line 49: | Line 50: | ||
*개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우 | *개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우 | ||
*수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우 | *수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우 | ||
*개인정보 처리업무 | *개인정보 처리업무 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 제3자에게 재위탁한 경우 | ||
*영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우 | *[https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률/(20221211,18871,20220610)/제50조의3 영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우] | ||
== 유사 기준 == | == 유사 기준 == |
Latest revision as of 17:14, 6 February 2024
- 영역: 2.보호대책 요구사항
- 분류: 2.3.외부자 보안
개요[edit | edit source]
항목 | 2.3.3.외부자 보안 이행 관리 |
---|---|
인증기준 | 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리·감독하여야 한다. |
주요 확인사항 |
|
세부 설명[edit | edit source]
주기적 점검 및 감사[edit | edit source]
외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하여야 한다.
- 외부자와 계약 시 정의한 보안 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사 수행
- 외부자에 대한 점검 또는 감사는 업무 시작 전, 업무 진행되는 과정, 종료 시점에 진행하되 필요한 경우 수시로 진행
- 수탁사의 정보보호 및 개인정보보호 역량, 자체 시스템 보유 여부, 처리하는 정보의 수량 및 민감도 등을 고려하여 실태점검 주기 및 방법 결정
개선 계획 수립 및 이행[edit | edit source]
외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립·이행하여야 한다.
- 점검 및 감사 결과에 대하여 공유하고 발견된 문제점에 대한 개선방법 및 재발 방지대책을 수립하여 이행
- 개선 조치 완료 여부에 대한 이행점검 수행
개인정보 처리 업무 재위탁 보안[edit | edit source]
개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하여야 한다.
- 개인정보 처리 수탁자는 위탁자의 동의를 받은 경우에 한하여 재위탁하고, 위탁자가 수탁자에게 요구하는 동일한 수준의 기술적·관리적 보호조치를 재위탁자가 이행하도록 관리·감독
증거 자료[edit | edit source]
- 외부자 및 수탁자 보안점검 결과
- 외부자 및 수탁자 교육 내역(교육 결과, 참석자 명단, 교육교재 등)
- 개인정보 위탁 계약서
결함 사례[edit | edit source]
- 회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
- 개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우
- 수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우
- 개인정보 처리업무 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 제3자에게 재위탁한 경우
- 영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우
유사 기준[edit | edit source]
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)