ISMS-P 인증기준 [2. 보호대책 요구사항] 2.3 외부자 보안(2.3.4 외부자 계약 변경 및 만료 시 보안)

항목 : 2.3.3 외부자 계약 변경 및 만료 시 보안

 

■ 인증기준 : 외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호 대책을 이행하여야 한다

 

 

■ 주요 확인사항

• 외부자 계약만료, 업무 종료, 담당자 변경 시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안 대책을 수립·이행하고 있는가?
• 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수·파기할 수 있도록 절차를 수립·이행하고 있는가?

 

■  관련 법규

• 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
• 정보통신망법 제50조의3(영리목적의 광고성 정보 전송의 위탁 등

금융분야 추가확인사항

• 전자금융감독규정 제60조(외부주문등에 대한 기준) 제13호
• 전자금융감독규정 제60조(외부주문등에 대한 기준) 제1항제7호 전자금융감독규정 시행세칙 제9조의2(외부주문등에 대한 기준) 제1항[별표5의2] 보안관리방안

 

 

■ 세부 설명

 ① 외부자 계약만료, 업무 종료, 담당자 변경 시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립･이행하여야 한다. 

• 담당조직이 외부자 계약만료, 업무 종료, 담당자 변경이 발생하였음을 신속하게 인지할 수 있도록 정보공유 방안 마련
• 외부자 계약만료, 업무 종료, 담당자 변경에 따른 보안대책 수립 및 이행

 

② 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수･파기할 수 있도록 절차를 수립･이행하여야 한다.

• 개인정보 등 중요정보를 회수･파기하기 위하여 수탁사 직접 방문 또는 원격으로 개인정보를 파기한 후 파기 확약서 작성
• 정보시스템과 담당자 PC뿐 아니라, 메일 송수신함 등 해당 정보가 저장되어 있는 모든 장치 및 매체에 대한 삭제 조치 필요
• 해당 정보가 복구･재생되지 않도록 안전한 방법으로 파기

금융분야 추가확인사항

• 용역사업 완료 후 보안관리방안에 따라 수행(※전자금융감독규정 시행세칙 제9조의2 참조)

 

   

■ 증적예시

• 정보보호 및 개인정보보호 서약서
• 비밀유지 확약서
• 정보 및 개인정보 파기 확약서
• 외부자 계약 종료와 관련된 내부 정책, 지침

 

 

■ 결함사례

1. 일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
2. 외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나, 관련 인력들에 대한 퇴사 시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
3. 개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기하였는지 여부를 확인･점검하지 않은 경우

금융분야 추가확인사항

   4. 외부업체가 참여한 프로젝트 업무가 종료된 후, 프로젝트 중 제공한 자료의 파기 등 사후 보안조치에 관하여 대표자

       확약서를 징구하지 않은 경우

 

 

 

 

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람