항목 : 2.3.1 외부자 현황 관리
■ 인증기준 : 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
■ 주요 확인사항
- 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설·서비스의 이용 현황을 식별하고 있는가?
- 업무 위탁 및 외부 시설·서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?
■ 관련 법규
- 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
- 정보통신망법 제50조의3(영리목적의 광고성 정보 전송의 위탁 등)
금융분야 추가확인사항
- 전자금융거래법 제40조(외부주문등에 대한 감독 및 검사) 제1항
- 전자금융감독규정 제60조(외부주문등에 대한 기준) 제1항
- 신용정보법 제17조(처리의 위탁) 제1항, 제4항, 제5항
- 신용정보법 시행령 제14조(수집된 신용정보 처리의 위탁)
■ 세부 설명
① 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설·서비스의 이용 현황을 명확히 식별하여야 한다.
- 관리체계 범위 내 업무위탁 및 외부 시설·서비스 이용현황 파악
- 업무위탁 및 외부 시설·서비스 이용현황에 대한 목록 작성 및 지속적인 현행화 관리
② 업무 위탁 및 외부 시설・서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호 대책을 마련하여야 한다.
- 개인정보 처리업무 위탁에 해당되는지 확인
- 개인정보 등의 국외 이전에 해당되는지 확인
- 개인정보 보호법, 정보통신망법, 전자금융거래법, 신용정보법 등 관련된 법적 요구사항 파악
금융분야 추가확인사항
- 법적 요구사항을 포함하여 업무 위탁 및 외부 시설・서비스 이용에 따른 위험평가 수행
- 위험평가 결과를 반영하여 적절한 보호대책 마련 및 이행(예를 들어, 고위험의 수탁사에 대해서는 점검주기 및 점검항목을 달리하여 집중 현장점검 수행 등)
■ 증적예시
- 외부 위탁 및 외부 시설·서비스 현황
- 외부 위탁 계약서
- 위험분석 보고서 및 보호대책
- 위탁 보안관리 지침, 체크리스트 등
■ 결함사례
- 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
- 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 외부자 보안(2.3.3 외부자 보안 이행 관리) (0) | 2023.02.14 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 외부자 보안(2.3.2 외부자 계약시 보안) (0) | 2023.02.14 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.6 보안 위반 시 조치) (0) | 2023.02.13 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.5 퇴직 및 직무변경 관리) (0) | 2023.02.13 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.4 인식제고 및 교육훈련) (0) | 2023.02.13 |