ISMS-P 인증기준 안내서 2.3

2.3 외부자 보안

2.3.1 외부자 현황 관리

• 업무의 일부를 외부에 위탁하거나 외부의 시설 또는 서비스를 이용하는 경우 그 현황을 식별하고 법적요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
  • 업무 위탁 및 외부 시설·서비스의 이용 현황을 명확히 식별
  • 법적 요구사항 및 위험파악 후 적절한 보호대책 마련
• 결함사례
  • 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
  • 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우

2.3.2 외부자 계약 시 보안

• 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
  • 위탁 업체 선정 시 정보보호 및 개인정보보호 역량 평가절차 마련
  • 보안요구사항 계약서 반영
  • 개발 시 준수하여야 할 정보보호 및 개인정보보호 요구사항 계약서 반영
• 결함사례
  • IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
  • 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우
  • 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나, 계약서 등에는 위탁 업무의 특성에 따른 보안 요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우

2.3.3 외부자 보안 이행 관리

• 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리·감독하여야 한다.
  • 외부자 주기적으로 점검 또는 감사 수행
  • 발견된 문제점 개선계획을 수립·이행
  • 제3자에게 재위탁하는 경우 위탁자의 승인 
• 결함사례
  • 회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
  • 개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우
  • 수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우
  • 개인정보 처리업무 위탁계약서의 재위탁 제한 조항에는 재위탁 시 위탁자의 사전 승인을 받도록 하고 있으나, 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 재위탁한 경우
  • 영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우

2.3.4 외부자 계약 변경 및 만료 시 보안

• 외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.
  • 공식절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 비밀유지 확약서 징구
  • 중요정보 및 개인정보 보유 확인 및 회수
• 결함사례
  • 일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
  • 외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나, 관련 인력들에 대한 퇴사 시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
  • 개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기하였는지 여부를 확인·점검하지 않은 경우

---

[요약정리]

2.3 외부자 보안 (현계보변)

2.3.1 외부자 현황 관리 (위탁업무,시설,서비스 현황 식별 / 법적요구사항·위험파악 및 보호대책 마련)

2.3.2 외부자 계약 시 보안 (위탁업체 역량 평가 / 계약서(보안요건,개발요건 포함))

2.3.3 외부자 보안 이행 관리 (외부자 점검 및 감사 / 개선계획 / 재위탁 시 승인)

2.3.4 외부자 계약 변경 및 만료 시 보안 (외부자 자산,계정,권한 반납 및 보안서약서 징구 / 중요정보 파기 및 회수)