2.3.1. 외부자 현황 관리
업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직· 서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
1. 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설· 서비스의 이용 현황을 식별하고 있는가?
상세 기준 ▶
- 관리체계 범위 내 업무위탁 및 외부 시설· 서비스 이용현황 파악
※ 업무 위탁 및 외부 시설· 서비스 이용(예시)
- IT 및 보안 업무 위탁 : 정보시스템 개발· 운영, 유지보수, 서버· 네트워크· 보안장비 운영, 보안 관제, 출입관리 및 경비, 정보보호컨설팅 등
- 개인정보 처리위탁 : 개인정보 처리업무(개인정보 수집 대행 등), 고객 상담, 개인정보처리시스템 운영 등
- 외부 시설 이용 : 집적정보통신시설(IDC) 등
- 외부 서비스 이용 : 클라우드 서비스, 애플리케이션서비스(ASP) 등
- 업무위탁 및 외부 시설· 서비스 이용현황에 대한 목록 작성 및 지속적인 현행화 관리
※ 업무 위탁 및 외부 시설· 서비스 이용현황 목록에 포함되어야 할 사항(예시)
- 수탁자 및 외부 시설· 서비스 명
- 위탁하는 업무의 내용 및 외부 서비스 내용
- 담당부서 및 담당자명
- 위탁 및 서비스 이용 기간
- 계약서 작성 여부, 보안점검 여부 등 관리· 감독에 관한 사항 등
2. 업무 위탁 및 외부 시설· 서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하였는가?
상세 기준 ▶
- 개인정보 처리업무 위탁에 해당되는지 확인
- 개인정보 등의 국외 이전에 해당되는지 확인
- 개인정보 보호법, 정보통신망법 등 관련된 법적 요구사항 파악
- 법적요구사항을 포함하여 업무 위탁 및 외부 시설· 서비스 이용에 따른 위험평가 수행
- 위험평가 결과를 반영하여 적절한 보호대책 마련 및 이행(예를 들어, 고위험의 수탁사에 대해서는 점검주기 및 점검항목을 달리하여 집중 현장점검 수행 등)
운영 내역(증적) 예시
- 외부 위탁 및 외부 시설·서비스 현황
- 외부 위탁 계약서
- 위험분석 보고서 및 보호대책
- 위탁 보안관리 지침, 체크리스트 등
** 인증심사 결함사항 예시 **
- 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나 이에 대한 식별 및 위험평가가 수행되지 않은 경우
- 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 수개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
2.3.2. 외부자 계약 시 보안
외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
(간편인증-7의2) 2.2.1. 외부자 계약 시 보안 (간편인증-7의3) 2.3.1. 외부자 계약 시 보안
1. 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 정보보호 및 개인정보보호 역량이 있는 업체가 선정될 수 있도록 관련 요건을 제안요청서(RFP) 및 제안 평가항목에 반영하여 업체 선정 시 적용
2. 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
(개인정보보호법 제26조 및 동법 시행령 제28조 참고)
- 정보보호 및 개인정보보호 관련 법률 준수, 정보보호 및 개인정보보호 서약서 제출
- 위탁 업무 수행 직원 대상 주기적인 정보보호 교육 수행 및 주기적 보안점검 수행
- 업무수행 관련 취득한 중요정보 유출 방지 대책
- 외부자 인터넷접속 제한, 물리적 보호조치(장비 및 매체 반출입 등), PC 등 단말 보안(백신설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등). 무선 네트워크 사용 제한 정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차
- 재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안요구사항 정의
- 보안요구사항 위반 시 처벌, 손해배상 책임, 보안사고 발생에 따른 보고 의무 등
※ 개인정보 처리업무 위탁 시 문서에 포함되어야 할 사항
- 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
- 개인정보의 기술적· 관리적 보호조치에 관한 사항
- 위탁업무의 목적 및 범위
- 재위탁 제한에 관한 사항
- 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
- 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
- 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
3. 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수하여야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 정보보호 및 개인정보보호 관련 법적요구사항 준수
- 안전한 코딩 표준 준수 등 개발보안 절차 적용
- 개발 완료된 정보시스템 및 개인정보처리시스템에 대한 취약점 점검 및 조치
- 개발 관련 산출물, 소스 프로그램, 개발용 데이터 등 개발환경에 대한 보안관리
- 개발 과정에서 취득한 정보에 대한 비밀유지 의무
- 위반 시 손해배상 등 책임에 대한 사항 등
운영 내역(증적) 예시
- 위탁계약서
- 정보보호 및 개인정보보호 협약서(약정서, 부속합의서)
- 위탁 관련 내부 지침
- 위탁업체 선정 관련 RFP(제안요청서), 평가표
** 인증심사 결함사항 예시 **
- 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나 계약서 등에는 위탁업무의 특성에 따른 보안요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우
- IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
- 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서 상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우
(CELA)IT 및 정보보호 등 유지보수 계약시 SLA(Service-Level Agreement, 서비스 수준 협약)를 확인할 수 없는 경우
- (CELA)(AWS)클라우드 운영 업무를 외부업체에 위탁하고 있으나, 계약서상 정보보호 요구사항이 반영되지 않아 정보보호 사항이 수행되고 있지 않은 경우 : 정보보호 서약서 제출 등
2.3.3. 외부자 보안 이행 관리
계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리· 감독하여야 한다.
1. 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?
상세 기준 ▶
- 외부자와 계약 시 정의한 보안 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행
- 외부자에 대한 점검 또는 감사는 업무 시작 전, 업무 진행되는 과정, 종료 시점에 진행하되 필요한 경우 수시로 진행
- 수탁사의 정보보호 및 개인정보보호 역량, 자체 시스템 보유 여부, 처리하는 정보의 수량 및 민감도 등을 고려하여 실태점검 주기 및 방법을 결정
2. 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립· 이행하고 있는가?
상세 기준 ▶
- 점검 및 감사 결과에 대하여 공유하고 발견된 문제점에 대한 개선방법 및 재발 방지대책을 수립하여 이행
- 개선 조치 완료 여부에 대한 이행점검 수행
3. 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가? (개정 23.11.23.)
상세 기준 ▶
- 개인정보 처리 수탁자는 위탁자의 동의를 받은 경우에 한하여 재위탁하고, 위탁자가 수탁자에게 요구하는 동일한 수준의 기술적· 관리적 보호조치를 재위탁자가 이행하도록 관리· 감독
[참고] 개인정보 처리업무 재위탁 시 조치사항(개인정보 보호법 제26조제6항)
⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다. (개정 23.11.23.)
(가상자산사업자) 제휴, 위탁을 통한 가상자산 거래 서비스, 개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는 내부업무용과 분리 설치·운영하고 있는가?
상세 기준 ▶
- 업무 장소는 칸막이, 별도공간 등으로 내부업무장소와 분리
- 개발 시 개발환경 외 운영환경 접근 금지
운영 내역(증적) 예시 (개정 23.11.23.)
- 외부자 및 수탁자 보안점검 결과
- 외부자 및 수탁자 교육 내역(교육 결과, 참석자 명단, 교육교재 등)
- 개인정보 위탁 계약서
- 개인정보 처리업무 재위탁 시 위탁자 동의 증거자료 (개정 23.11.23)
** 인증심사 결함사항 예시 ** (개정 23.11.23.)
- 회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
- 개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나 교육 수행여부를 확인하고 있지 않은 경우
- 영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우
- 수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우
개인정보 처리업무 위탁계약서의 재위탁 제한 조항에는 재위탁 시 위탁자의 사전 승인을 받도록 하고 있으나, 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 재위탁한 경우개인정보 처리업무 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 제3자에게 재위탁한 경우 (개정 23.11.23.)
2.3.4. 외부자 계약 변경 및 만료 시 보안
외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.
1. 외부자 계약만료, 업무 종료, 담당자 변경 시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립· 이행하고 있는가?
상세 기준 ▶
- 담당조직이 외부자 계약만료, 업무 종료, 담당자 변경이 발생하였음을 신속하게 인지할 수 있도록 정보 공유 방안 마련
- 외부자 계약만료, 업무 종료, 담당자 변경에 따른 보안대책 수립 및 이행
※ 외부자 계약만료, 업무 종료, 담당자 변경 시 보안대책(예시)
- 사용 중인 정보자산 반납(업무용 PC, 스마트 디바이스 등)
- 정보시스템 접근계정 삭제(VPN 등 관련된 모든 계정 포함)
- 접근권한의 회수 또는 변경
- 공용 계정 비밀번호 변경
- 출입증 회수 및 출입권한 삭제
- 비밀유지 확약서 징구 등
2. 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수· 파기할 수 있도록 절차를 수립· 이행하고 있는가?
상세 기준 ▶
- 개인정보 등 중요정보를 회수· 파기하기 위하여 수탁사 직접 방문 또는 원격으로 개인정보 파기한 후 파기 확약서 작성
- 정보시스템과 담당자 PC뿐 아니라, 메일 송수신함 등 해당 정보가 저장되어 있는 모든 장치 및 매체에 대한 삭제 조치 필요
- 해당 정보가 복구· 재생되지 않도록 안전한 방법으로 파기
운영 내역(증적) 예시
- 정보보호 및 개인정보보호 서약서
- 비밀유지 확약서
- 정보 및 개인정보 파기 확약서
- 외부자 계약 종료와 관련된 내부 정책, 지침
** 인증심사 결함사항 예시 **
- 일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
- 외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나 관련 인력들에 대한 퇴사시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
- 개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기했는지 여부를 확인·점검하지 않은 경우