ISMS-P 인증 기준 2.3.4.외부자 계약 변경 및 만료 시 보안: 두 판 사이의 차이

IT위키
(Imported from text file)
편집 요약 없음
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.3.외부자 보안|2.3.외부자 보안]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.3.외부자 보안|2.3.외부자 보안]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.3.4.외부자 계약 변경 및 만료 시 보안
!2.3.4.외부자 계약 변경 및 만료 시 보안
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.
|외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 외부자 계약만료, 업무 종료, 담당자 변경시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립‧이행하고 있는가?
*외부자 계약만료, 업무 종료, 담당자 변경시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립‧이행하고 있는가?
* 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수‧파기할 수 있도록 절차를 수립‧이행하고 있는가?
*외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수‧파기할 수 있도록 절차를 수립‧이행하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 계약 종료, 변경 시 보안 ====
외부자 계약만료, 업무 종료, 담당자 변경 시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립·이행하여야 한다.
 
*담당조직이 외부자 계약만료, 업무 종료, 담당자 변경이 발생하였음을 신속하게 인지할 수 있도록 정보 공유 방안 마련
*외부자 계약만료, 업무 종료, 담당자 변경에 따른 보안대책 수립 및 이행<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 외부자 계약만료, 업무 종료, 담당자 변경 시 보안대책(예시)'''
 
*사용 중인 정보자산 반납(업무용 PC, 스마트 디바이스 등)
*정보시스템 접근계정 삭제(VPN 등 관련된 모든 계정 포함)
*접근권한의 회수 또는 변경
*공용 계정 비밀번호 변경
*출입증 회수 및 출입권한 삭제
*비밀유지 확약서 징구 등</div>
 
==== 정보 파기 절차 수립 및 이행 ====
 
*외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수·파기할 수 있도록 절차를 수립·이행하여야 한다.
**개인정보 등 중요정보를 회수·파기하기 위하여 수탁사 직접 방문 또는 원격으로 개인정보를 파기한 후 파기 확약서 작성
**정보시스템과 담당자 PC뿐 아니라, 메일 송수신함 등 해당 정보가 저장되어 있는 모든 장치 및 매체에 대한 삭제 조치 필요
**해당 정보가 복구·재생되지 않도록 안전한 방법으로 파기
 
==증거 자료==
 
*정보보호 및 개인정보보호 서약서
*비밀유지 확약서
*정보 및 개인정보 파기 확약서
*외부자 계약 종료와 관련된 내부 정책, 지침
 
==결함 사례==
 
*일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
*외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나, 관련 인력들에 대한 퇴사 시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
*개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기하였는지 여부를 확인·점검하지 않은 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 외부자 계약만료, 업무 종료, 담당자 변경 시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립·이행하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 담당조직이 외부자 계약만료, 업무 종료, 담당자 변경이 발생하였음을 신속하게 인지할 수 있도록 정보 공유 방안 마련
** 외부자 계약만료, 업무 종료, 담당자 변경에 따른 보안대책 수립 및 이행
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 외부자 계약만료, 업무 종료, 담당자 변경 시 보안대책(예시)
* 사용 중인 정보자산 반납(업무용 PC, 스마트 디바이스 등)
* 정보시스템 접근계정 삭제(VPN 등 관련된 모든 계정 포함)
* 접근권한의 회수 또는 변경
* 공용 계정 비밀번호 변경
* 출입증 회수 및 출입권한 삭제
* 비밀유지 확약서 징구 등</div>
* 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수·파기할 수 있도록 절차를 수립·이행하여야 한다.
** 개인정보 등 중요정보를 회수·파기하기 위하여 수탁사 직접 방문 또는 원격으로 개인정보를 파기한 후 파기 확약서 작성
** 정보시스템과 담당자 PC뿐 아니라, 메일 송수신함 등 해당 정보가 저장되어 있는 모든 장치 및 매체에 대한 삭제 조치 필요
** 해당 정보가 복구·재생되지 않도록 안전한 방법으로 파기
== 증거 자료 ==
* 정보보호 및 개인정보보호 서약서
* 비밀유지 확약서
* 정보 및 개인정보 파기 확약서
* 외부자 계약 종료와 관련된 내부 정책, 지침
== 결함 사례 ==
* 일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
* 외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나, 관련 인력들에 대한 퇴사 시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
* 개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기하였는지 여부를 확인·점검하지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

2022년 6월 24일 (금) 12:53 판


개요

항목 2.3.4.외부자 계약 변경 및 만료 시 보안
인증기준 외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.
주요 확인사항
  • 외부자 계약만료, 업무 종료, 담당자 변경시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립‧이행하고 있는가?
  • 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수‧파기할 수 있도록 절차를 수립‧이행하고 있는가?

세부 설명

계약 종료, 변경 시 보안

외부자 계약만료, 업무 종료, 담당자 변경 시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립·이행하여야 한다.

  • 담당조직이 외부자 계약만료, 업무 종료, 담당자 변경이 발생하였음을 신속하게 인지할 수 있도록 정보 공유 방안 마련
  • 외부자 계약만료, 업무 종료, 담당자 변경에 따른 보안대책 수립 및 이행

※ 외부자 계약만료, 업무 종료, 담당자 변경 시 보안대책(예시)

  • 사용 중인 정보자산 반납(업무용 PC, 스마트 디바이스 등)
  • 정보시스템 접근계정 삭제(VPN 등 관련된 모든 계정 포함)
  • 접근권한의 회수 또는 변경
  • 공용 계정 비밀번호 변경
  • 출입증 회수 및 출입권한 삭제
  • 비밀유지 확약서 징구 등

정보 파기 절차 수립 및 이행

  • 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수·파기할 수 있도록 절차를 수립·이행하여야 한다.
    • 개인정보 등 중요정보를 회수·파기하기 위하여 수탁사 직접 방문 또는 원격으로 개인정보를 파기한 후 파기 확약서 작성
    • 정보시스템과 담당자 PC뿐 아니라, 메일 송수신함 등 해당 정보가 저장되어 있는 모든 장치 및 매체에 대한 삭제 조치 필요
    • 해당 정보가 복구·재생되지 않도록 안전한 방법으로 파기

증거 자료

  • 정보보호 및 개인정보보호 서약서
  • 비밀유지 확약서
  • 정보 및 개인정보 파기 확약서
  • 외부자 계약 종료와 관련된 내부 정책, 지침

결함 사례

  • 일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
  • 외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나, 관련 인력들에 대한 퇴사 시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
  • 개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기하였는지 여부를 확인·점검하지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
원본 주소 "https://itwiki.kr/index.php?title=ISMS-P_인증_기준_2.3.4.외부자_계약_변경_및_만료_시_보안&oldid=31552"