ISMS-P 인증 기준 2.3.1.외부자 현황 관리

From IT Wiki
Revision as of 23:12, 7 May 2022 by Maintenance script (talk | contribs) (Imported from text file)

개요

항목 2.3.1.외부자 현황 관리
인증기준 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
주요 확인사항
  • 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황을 식별하고 있는가?
  • 업무 위탁 및 외부 시설‧서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?

세부 설명

  • 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설·서비스의 이용 현황을 명확히 식별하여야 한다.
    • 관리체계 범위 내 업무위탁 및 외부 시설·서비스 이용현황 파악
  • ※ 업무 위탁 및 외부 시설·서비스 이용(예시)
  • IT 및 보안 업무 위탁 : 정보시스템 개발·운영, 유지보수, 서버·네트워크·보안장비 운영, 보안 관제, 출입관리 및 경비, 정보보호컨설팅 등
  • 개인정보 처리위탁 : 개인정보 처리업무(개인정보 수집 대행 등), 고객 상담, 개인정보처리시스템 운영 등
  • 외부 시설 이용 : 집적정보통신시설(IDC) 등
  • 외부 서비스 이용 : 클라우드 서비스, 애플리케이션서비스(ASP) 등
  • 업무위탁 및 외부 시설·서비스 이용현황에 대한 목록 작성 및 지속적인 현행화 관리
  • ※ 업무 위탁 및 외부 시설·서비스 이용현황 목록에 포함되어야 할 사항(예시)
  • 수탁자 및 외부 시설·서비스명
  • 위탁하는 업무의 내용 및 외부 서비스 내용
  • 담당부서 및 담당자명
  • 위탁 및 서비스 이용 기간
  • 계약서 작성 여부, 보안점검 여부 등 관리·감독에 관한 사항 등
  • 업무 위탁 및 외부 시설·서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하여야 한다.
    • 개인정보 처리업무 위탁에 해당되는지 확인
    • 개인정보 등의 국외 이전에 해당되는지 확인
    • 개인정보 보호법, 정보통신망법 등 관련된 법적 요구사항 파악
    • 법적 요구사항을 포함하여 업무 위탁 및 외부 시설·서비스 이용에 따른 위험평가 수행
    • 위험평가 결과를 반영하여 적절한 보호대책 마련 및 이행(예를 들어, 고위험의 수탁사에 대해서는 점검 주기 및 점검항목을 달리하여 집중 현장점검 수행 등)
  • 증거 자료

    • 외부 위탁 및 외부 시설·서비스 현황
    • 외부 위탁 계약서
    • 위험분석 보고서 및 보호대책
    • 위탁 보안관리 지침, 체크리스트 등

    결함 사례

    • 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
    • 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우

    같이 보기

    참고 문헌

    • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)