2.3.1. 외부자 현황 관리

업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직· 서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.

 

1. 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설· 서비스의 이용 현황을 식별하고 있는가?

상세 기준

  - 관리체계 범위 내 업무위탁 및 외부 시설· 서비스 이용현황 파악

    ※ 업무 위탁 및 외부 시설· 서비스 이용(예시)

      - IT 및 보안 업무 위탁 : 정보시스템 개발· 운영, 유지보수, 서버· 네트워크· 보안장비 운영, 보안 관제, 출입관리 및 경비, 정보보호컨설팅 등

      - 개인정보 처리위탁 : 개인정보 처리업무(개인정보 수집 대행 등), 고객 상담, 개인정보처리시스템 운영 등

      - 외부 시설 이용 : 집적정보통신시설(IDC) 등

      - 외부 서비스 이용 : 클라우드 서비스, 애플리케이션서비스(ASP) 등

  - 업무위탁 및 외부 시설· 서비스 이용현황에 대한 목록 작성 및 지속적인 현행화 관리

    ※ 업무 위탁 및 외부 시설· 서비스 이용현황 목록에 포함되어야 할 사항(예시)

      - 수탁자 및 외부 시설· 서비스 명

      - 위탁하는 업무의 내용 및 외부 서비스 내용

      - 담당부서 및 담당자명

      - 위탁 및 서비스 이용 기간

      - 계약서 작성 여부, 보안점검 여부 등 관리· 감독에 관한 사항 등

 

2. 업무 위탁 및 외부 시설· 서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하였는가?

상세 기준

  - 개인정보 처리업무 위탁에 해당되는지 확인

  - 개인정보 등의 국외 이전에 해당되는지 확인

  - 개인정보 보호법, 정보통신망법 등 관련된 법적 요구사항 파악

  - 법적요구사항을 포함하여 업무 위탁 및 외부 시설· 서비스 이용에 따른 위험평가 수행

  - 위험평가 결과를 반영하여 적절한 보호대책 마련 및 이행(예를 들어, 고위험의 수탁사에 대해서는 점검주기 및 점검항목을 달리하여 집중 현장점검 수행 등)

 

    운영 내역(증적) 예시

 

  • 외부 위탁 및 외부 시설·서비스 현황
  • 외부 위탁 계약서
  • 위험분석 보고서 및 보호대책
  • 위탁 보안관리 지침, 체크리스트 등

 

    ** 인증심사 결함사항 예시 **

 

  1. 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나 이에 대한 식별 및 위험평가가 수행되지 않은 경우
  2. 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 수개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우

2.3.2. 외부자 계약 시 보안

외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.

 

1. 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?

상세 기준

  - 정보보호 및 개인정보보호 역량이 있는 업체가 선정될 수 있도록 관련 요건을 제안요청서(RFP) 및 제안 평가항목에 반영하여 업체 선정 시 적용

 

2. 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?

상세 기준

(개인정보보호법 제26조 및 동법 시행령 제28조 참고)

  - 정보보호 및 개인정보보호 관련 법률 준수, 정보보호 및 개인정보보호 서약서 제출

  - 위탁 업무 수행 직원 대상 주기적인 정보보호 교육 수행 및 주기적 보안점검 수행

  - 업무수행 관련 취득한 중요정보 유출 방지 대책

  - 외부자 인터넷접속 제한, 물리적 보호조치(장비 및 매체 반출입 등), PC 등 단말 보안(백신설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등). 무선 네트워크 사용 제한 정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차

  - 재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안요구사항 정의

  - 보안요구사항 위반 시 처벌, 손해배상 책임, 보안사고 발생에 따른 보고 의무 등

    ※ 개인정보 처리업무 위탁 시 문서에 포함되어야 할 사항

      - 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

      - 개인정보의 기술적· 관리적 보호조치에 관한 사항

      - 위탁업무의 목적 및 범위

      - 재위탁 제한에 관한 사항

      - 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

      - 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항

      - 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

 

3. 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수하여야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?

 

상세 기준

  - 정보보호 및 개인정보보호 관련 법적요구사항 준수

  - 안전한 코딩 표준 준수 등 개발보안 절차 적용

  - 개발 완료된 정보시스템 및 개인정보처리시스템에 대한 취약점 점검 및 조치

  - 개발 관련 산출물, 소스 프로그램, 개발용 데이터 등 개발환경에 대한 보안관리

  - 개발 과정에서 취득한 정보에 대한 비밀유지 의무

  - 위반 시 손해배상 등 책임에 대한 사항 등

 

    운영 내역(증적) 예시

 

  • 위탁계약서
  • 정보보호 및 개인정보보호 협약서(약정서, 부속합의서)
  • 위탁 관련 내부 지침
  • 위탁업체 선정 관련 RFP(제안요청서), 평가표

 

    ** 인증심사 결함사항 예시 **

 

  1. 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나 계약서 등에는 위탁업무의 특성에 따른 보안요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우
  2. IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
  3. 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서 상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우

  4. (CELA)IT 및 정보보호 등 유지보수 계약시 SLA(Service-Level Agreement, 서비스 수준 협약)를 확인할 수 없는 경우

  5. (CELA)(AWS)클라우드 운영 업무를 외부업체에 위탁하고 있으나, 계약서상 정보보호 요구사항이 반영되지 않아 정보보호 사항이 수행되고 있지 않은 경우 : 정보보호 서약서 제출 등

2.3.3. 외부자 보안 이행 관리

계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리· 감독하여야 한다.

 

1. 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?

상세 기준

  - 외부자와 계약 시 정의한 보안 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행

  - 외부자에 대한 점검 또는 감사는 업무 시작 전, 업무 진행되는 과정, 종료 시점에 진행하되 필요한 경우 수시로 진행

  - 수탁사의 정보보호 및 개인정보보호 역량, 자체 시스템 보유 여부, 처리하는 정보의 수량 및 민감도 등을 고려하여 실태점검 주기 및 방법을 결정

 

2. 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립· 이행하고 있는가?

상세 기준

  - 점검 및 감사 결과에 대하여 공유하고 발견된 문제점에 대한 개선방법 및 재발 방지대책을 수립하여 이행

  - 개선 조치 완료 여부에 대한 이행점검 수행

 

3. 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가? (개정 23.11.23.)

상세 기준

  - 개인정보 처리 수탁자는 위탁자의 동의를 받은 경우에 한하여 재위탁하고, 위탁자가 수탁자에게 요구하는 동일한 수준의 기술적· 관리적 보호조치를 재위탁자가 이행하도록 관리· 감독

 [참고] 개인정보 처리업무 재위탁 시 조치사항(개인정보 보호법 제26조제6항)

 ⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다. (개정 23.11.23.)

 

(가상자산사업자) 제휴, 위탁을 통한 가상자산 거래 서비스, 개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는 내부업무용과 분리 설치·운영하고 있는가?

상세 기준

  - 업무 장소는 칸막이, 별도공간 등으로 내부업무장소와 분리

  - 개발 시 개발환경 외 운영환경 접근 금지

 

    운영 내역(증적) 예시 (개정 23.11.23.)

 

  • 외부자 및 수탁자 보안점검 결과
  • 외부자 및 수탁자 교육 내역(교육 결과, 참석자 명단, 교육교재 등)
  • 개인정보 위탁 계약서
  • 개인정보 처리업무 재위탁 시 위탁자 동의 증거자료 (개정 23.11.23)

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
  2. 개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나 교육 수행여부를 확인하고 있지 않은 경우
  3. 영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우
  4. 수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우
  5. 개인정보 처리업무 위탁계약서의 재위탁 제한 조항에는 재위탁 시 위탁자의 사전 승인을 받도록 하고 있으나, 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 재위탁한 경우 개인정보 처리업무 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 제3자에게 재위탁한 경우 (개정 23.11.23.)

2.3.4. 외부자 계약 변경 및 만료 시 보안

외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.

 

1. 외부자 계약만료, 업무 종료, 담당자 변경 시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립· 이행하고 있는가?

상세 기준

  - 담당조직이 외부자 계약만료, 업무 종료, 담당자 변경이 발생하였음을 신속하게 인지할 수 있도록 정보 공유 방안 마련

  - 외부자 계약만료, 업무 종료, 담당자 변경에 따른 보안대책 수립 및 이행

    ※ 외부자 계약만료, 업무 종료, 담당자 변경 시 보안대책(예시)

      - 사용 중인 정보자산 반납(업무용 PC, 스마트 디바이스 등)

      - 정보시스템 접근계정 삭제(VPN 등 관련된 모든 계정 포함)

      - 접근권한의 회수 또는 변경

      - 공용 계정 비밀번호 변경

      - 출입증 회수 및 출입권한 삭제

      - 비밀유지 확약서 징구 등

 

2. 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수· 파기할 수 있도록 절차를 수립· 이행하고 있는가?

상세 기준

  - 개인정보 등 중요정보를 회수· 파기하기 위하여 수탁사 직접 방문 또는 원격으로 개인정보 파기한 후 파기 확약서 작성

  - 정보시스템과 담당자 PC뿐 아니라, 메일 송수신함 등 해당 정보가 저장되어 있는 모든 장치 및 매체에 대한 삭제 조치 필요

  - 해당 정보가 복구· 재생되지 않도록 안전한 방법으로 파기

 

    운영 내역(증적) 예시

 

  • 정보보호 및 개인정보보호 서약서
  • 비밀유지 확약서
  • 정보 및 개인정보 파기 확약서
  • 외부자 계약 종료와 관련된 내부 정책, 지침

 

    ** 인증심사 결함사항 예시 **

 

  1. 일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
  2. 외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나 관련 인력들에 대한 퇴사시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
  3. 개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기했는지 여부를 확인·점검하지 않은 경우