항목 : 2.3.2 외부자 계약시 보안
■ 인증기준 : 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보 보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
■ 주요 확인사항
- 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?
- 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?
금융분야 추가확인사항
- 신용정보회사등이 신용정보제공・이용자가 다른 신용정보제공・이용자 또는 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사와 서로 신용정보를 제공하는 경우 신용정보 보안관리 대책을 포함한 계약을 체결하고 있는가?
- 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수하여야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?
■ 관련 법규
- 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한
금융분야 추가확인사항
- 전자금융거래법 제40조(외부주문등에 대한 감독 및 검사) 제1항
- 전자금융감독규정 제21조(정보처리시스템 구축 및 전자금융거래 관련 계약) 제2호, 제60조(외부주문등에 대한 기준) 제1항제7호
- 전자금융감독규정 시행세칙 제9조의2(외부주문등에 대한 기준) 제1항
- 신용정보법 제17조(처리의 위탁) 제1항, 제5항, 제19조(신용정보전산시스템의 안전보호) 제2항
- 신용정보법 시행령 14조(수집된 신용정보 처리의 위탁) 제5항, 제6항
- 신용정보업감독규정 제15조(수집된 신용정보의 처리의 위탁) 제5항, 제21조(보안관리약정 체결) [별표4] 신용정보계약에 포함될 신용정보 보안관리 대책
- 금융회사의 정보처리 업무 위탁에 관한 규정 제4조(정보처리의 위탁) 제3항
■ 세부 설명
① 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보보호 역량을 고려하도록 절차를 마련하여야 한다..
- 정보보호 및 개인정보보호 역량이 있는 업체가 선정될 수 있도록 관련 요건을 제안요청서(RFP) 및 제안 평가항목에 반영하여 업체 선정 시 적용
② 조직의 정보처리 업무를 외부자에게 위탁하거나 외부 서비스를 이용하는 경우 다음과 같은 보안 요구사항을 정의하여 계약 시 반영하여야 한다(개인정보 보호법 제26조 및 동법 시행령 제28조, 전자금융거래법 제21조, 제60조, 전자금융감독규정 제60조 및 동규정 시행세칙 제9조의2, 신용정보법 제17조, 동법 시행령 제14조, 신용정보업 감독규정 제21조 참고).
- 정보보호 및 개인정보보호 관련 법률 준수, 정보보호 및 개인정보보호 서약서 제출
- 위탁 업무 수행 직원 대상 주기적인 정보보호 교육 수행 및 주기적 보안점검 수행
- 업무수행 관련 취득한 중요정보 유출 방지 대책
- 외부자 인터넷접속 제한, 물리적 보호조치(장비 및 매체 반출입 등), PC 등 단말 보안(백신설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등), 무선 네트워크 사용 제한
- 정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차
- 재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안 요구사항 정의
- 보안 요구사항 위반 시 처벌, 손해배상 책임, 보안사고 발생에 따른 보고 의무 등
금융분야 추가확인사항
- 금융회사가 정보처리 업무를 위탁하는 경우 「금융회사의 정보처리 업무 위탁에 관한 규정」의 관련 내용 반영
- 외부자 보안요구사항을 계약서에 반영하지 못하는 경우 타당성 검토 등
③ 신용정보제공・이용자가 다른 신용정보제공・이용자 또는 개인신용평가회사, 개인사업자 신용평가회사, 기업신용조회회사와 서로 신용정보를 제공하는 경우 신용정보 보안관리대책을 포함한 계약을 체결하여야 한다.
- 신용정보 제공 시 계약서에 포함될 대책(※신용정보업감독규정 [별표4])
④ 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수하여야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하여야 한다.
- 정보보호 및 개인정보보호 관련 법적 요구사항 준수
- 안전한 코딩 표준 준수 등 개발보안 절차 적용
- 개발 완료된 정보시스템 및 개인정보처리시스템에 대한 취약점 점검 및 조치
- 개발 관련 산출물, 소스 프로그램, 개발용 데이터 등 개발환경에 대한 보안관리
- 개발 과정에서 취득한 정보에 대한 비밀유지 의무
- 위반 시 손해배상 등 책임에 대한 사항 등
■ 증적예시
- 위탁 계약서
- 정보보호 및 개인정보보호 협약서(약정서, 부속합의서)
- 위탁 관련 내부 지침
- 위탁업체 선정 관련 RFP(제안요청서), 평가표
■ 결함사례
- IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
- 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우
- 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나, 계약서 등에는 위탁 업무의 특성에 따른 보안 요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.3 외부자 보안(2.3.4 외부자 계약 변경 및 만료 시 보안) (0) | 2023.02.15 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 외부자 보안(2.3.3 외부자 보안 이행 관리) (0) | 2023.02.14 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 외부자 보안(2.3.1 외부자 현황 관리) (0) | 2023.02.14 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.6 보안 위반 시 조치) (0) | 2023.02.13 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.2 인적 보안(2.2.5 퇴직 및 직무변경 관리) (0) | 2023.02.13 |