ISMS-P 인증 기준 2.3.1.외부자 현황 관리: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.3.외부자 보안|2.3.외부자 보안]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.3.외부자 보안|2.3.외부자 보안]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.3.1.외부자 현황 관리
!2.3.1.외부자 현황 관리
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
|업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황을 식별하고 있는가?
*관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황을 식별하고 있는가?
* 업무 위탁 및 외부 시설‧서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?
*업무 위탁 및 외부 시설‧서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 업무위탁 등 식별 ====
관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설·서비스의 이용 현황을 명확히 식별하여야 한다.
 
*관리체계 범위 내 업무위탁 및 외부 시설·서비스 이용현황 파악
*업무위탁 및 외부 시설·서비스 이용현황에 대한 목록 작성 및 지속적인 현행화 관리
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 업무 위탁 및 외부 시설·서비스 이용(예시)'''
 
*IT 및 보안 업무 위탁 : 정보시스템 개발·운영, 유지보수, 서버·네트워크·보안장비 운영, 보안 관제, 출입관리 및 경비, 정보보호컨설팅 등
*개인정보 처리위탁 : 개인정보 처리업무(개인정보 수집 대행 등), 고객 상담, 개인정보처리시스템 운영 등
*외부 시설 이용 : 집적정보통신시설(IDC) 등
*외부 서비스 이용 : 클라우드 서비스, 애플리케이션서비스(ASP) 등</div>
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 업무 위탁 및 외부 시설·서비스 이용현황 목록에 포함되어야 할 사항(예시)'''
 
*수탁자 및 외부 시설·서비스명
*위탁하는 업무의 내용 및 외부 서비스 내용
*담당부서 및 담당자명
*위탁 및 서비스 이용 기간
*계약서 작성 여부, 보안점검 여부 등 관리·감독에 관한 사항 등</div>
 
==== 업무 위탁 보호대책 마련 ====
업무 위탁 및 외부 시설·서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하여야 한다.
 
*[[개인정보 처리 업무 위탁|개인정보 처리업무 위탁]]에 해당되는지 확인
*[[개인정보 국외 이전|개인정보 등의 국외 이전]]에 해당되는지 확인
*개인정보 보호법, 정보통신망법 등 관련된 법적 요구사항 파악
*법적 요구사항을 포함하여 업무 위탁 및 외부 시설·서비스 이용에 따른 위험평가 수행
*위험평가 결과를 반영하여 적절한 보호대책 마련 및 이행
**예를 들어, 고위험의 수탁사에 대해서는 점검 주기 및 점검항목을 달리하여 집중 현장점검 수행 등
 
==증거 자료==
 
*외부 위탁 및 외부 시설·서비스 현황
*외부 위탁 계약서
*위험분석 보고서 및 보호대책
*위탁 보안관리 지침, 체크리스트 등
 
==결함 사례==
 
*내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
*관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설·서비스의 이용 현황을 명확히 식별하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 관리체계 범위 내 업무위탁 및 외부 시설·서비스 이용현황 파악
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 업무 위탁 및 외부 시설·서비스 이용(예시)
* IT 및 보안 업무 위탁 : 정보시스템 개발·운영, 유지보수, 서버·네트워크·보안장비 운영, 보안 관제, 출입관리 및 경비, 정보보호컨설팅 등
* 개인정보 처리위탁 : 개인정보 처리업무(개인정보 수집 대행 등), 고객 상담, 개인정보처리시스템 운영 등
* 외부 시설 이용 : 집적정보통신시설(IDC) 등
* 외부 서비스 이용 : 클라우드 서비스, 애플리케이션서비스(ASP) 등</div>
** 업무위탁 및 외부 시설·서비스 이용현황에 대한 목록 작성 및 지속적인 현행화 관리
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 업무 위탁 및 외부 시설·서비스 이용현황 목록에 포함되어야 할 사항(예시)
* 수탁자 및 외부 시설·서비스명
* 위탁하는 업무의 내용 및 외부 서비스 내용
* 담당부서 및 담당자명
* 위탁 및 서비스 이용 기간
* 계약서 작성 여부, 보안점검 여부 등 관리·감독에 관한 사항 등</div>
* 업무 위탁 및 외부 시설·서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하여야 한다.
** 개인정보 처리업무 위탁에 해당되는지 확인
** 개인정보 등의 국외 이전에 해당되는지 확인
** 개인정보 보호법, 정보통신망법 등 관련된 법적 요구사항 파악
** 법적 요구사항을 포함하여 업무 위탁 및 외부 시설·서비스 이용에 따른 위험평가 수행
** 위험평가 결과를 반영하여 적절한 보호대책 마련 및 이행(예를 들어, 고위험의 수탁사에 대해서는 점검 주기 및 점검항목을 달리하여 집중 현장점검 수행 등)
== 증거 자료 ==
* 외부 위탁 및 외부 시설·서비스 현황
* 외부 위탁 계약서
* 위험분석 보고서 및 보호대책
* 위탁 보안관리 지침, 체크리스트 등
== 결함 사례 ==
* 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
* 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 12:45, 24 June 2022


개요

항목 2.3.1.외부자 현황 관리
인증기준 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
주요 확인사항
  • 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황을 식별하고 있는가?
  • 업무 위탁 및 외부 시설‧서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?

세부 설명

업무위탁 등 식별

관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설·서비스의 이용 현황을 명확히 식별하여야 한다.

  • 관리체계 범위 내 업무위탁 및 외부 시설·서비스 이용현황 파악
  • 업무위탁 및 외부 시설·서비스 이용현황에 대한 목록 작성 및 지속적인 현행화 관리

※ 업무 위탁 및 외부 시설·서비스 이용(예시)

  • IT 및 보안 업무 위탁 : 정보시스템 개발·운영, 유지보수, 서버·네트워크·보안장비 운영, 보안 관제, 출입관리 및 경비, 정보보호컨설팅 등
  • 개인정보 처리위탁 : 개인정보 처리업무(개인정보 수집 대행 등), 고객 상담, 개인정보처리시스템 운영 등
  • 외부 시설 이용 : 집적정보통신시설(IDC) 등
  • 외부 서비스 이용 : 클라우드 서비스, 애플리케이션서비스(ASP) 등

※ 업무 위탁 및 외부 시설·서비스 이용현황 목록에 포함되어야 할 사항(예시)

  • 수탁자 및 외부 시설·서비스명
  • 위탁하는 업무의 내용 및 외부 서비스 내용
  • 담당부서 및 담당자명
  • 위탁 및 서비스 이용 기간
  • 계약서 작성 여부, 보안점검 여부 등 관리·감독에 관한 사항 등

업무 위탁 보호대책 마련

업무 위탁 및 외부 시설·서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하여야 한다.

  • 개인정보 처리업무 위탁에 해당되는지 확인
  • 개인정보 등의 국외 이전에 해당되는지 확인
  • 개인정보 보호법, 정보통신망법 등 관련된 법적 요구사항 파악
  • 법적 요구사항을 포함하여 업무 위탁 및 외부 시설·서비스 이용에 따른 위험평가 수행
  • 위험평가 결과를 반영하여 적절한 보호대책 마련 및 이행
    • 예를 들어, 고위험의 수탁사에 대해서는 점검 주기 및 점검항목을 달리하여 집중 현장점검 수행 등

증거 자료

  • 외부 위탁 및 외부 시설·서비스 현황
  • 외부 위탁 계약서
  • 위험분석 보고서 및 보호대책
  • 위탁 보안관리 지침, 체크리스트 등

결함 사례

  • 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
  • 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
Retrieved from "https://itwiki.kr/index.php?title=ISMS-P_인증_기준_2.3.1.외부자_현황_관리&oldid=31549"