항목2. 보호대책 요구사항- 2.3. 외부자 보안- 2.3.3 외부자 보안 이행 관리 인증기준계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리·감독하여야 한다. 세부설명■ 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하여야 한다. - 외부자와 계약 시 정의한 보안 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사 수행- 외부자에 대한 점검 또는 감사는 업무 시작 전, 업무 진행되는 과정, 종료 시점에 진행하되 필요한 경우 수시로 진행- 수탁자의 정보보호 및 개인정보보호 역량, 자체 시스템 보유 여부, 처리하는 정보의 수량 및 민..

항목2. 보호대책 요구사항 - 2.3. 외부자 보안 - 2.3.2 외부자 계약 시 보안 인증기준외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다. 세부설명■ 주요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하여야 한다. - 정보보호 및 개인정보보호 역량이 있는 업체가 선정될 수 있도록 관련 요건을 제안요청서(RFP) 및 제안 평가항목에 반영하여 업체 선정 시 적용 ■ 조직의 정보처리 업무를 외부자에게 위탁하거나 외부 서비스를 이용하는 경우 다음과 같은 보안 요구사항을 정의하여 계약 시 반영하여야 한다..

항목2. 보호대책 요구사항 - 2.3. 외부자 보안 - 2.3.1 외부자 현황 관리 인증기준 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. 세부설명■ 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설·서비스의 이용 현황을 명확히 식별하여야 한다. - 관리체계 범위 내 업무위탁 및 외부 시설·서비스 이용현황 파악- 업무위탁 및 외부 시설·서비스 이용현황에 대한 목록 작성 및 지속적인 현행화 관리 ■ 업무 위탁 및 외부 시설·서비스..

항목2. 보호대책 요구사항 - 2.2. 인적 보안 - 2.2.6 보안 위반 시 조치 인증기준임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다. 세부설명■ 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하여야 한다. - 관련 법규 및 내부 규정 미준수, 책임 미이행, 중요 정보 및 개인정보의 훼손, 유·노출, 오·남용 등이 발견된 경우 조사, 소명, 징계 등의 조치 기준 및 절차 수립- 정보보호 및 개인정보보호 책임과 의무를 충실히 이행한 경우에 대한 보상 방안도 고려 ■ 정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하여야 ..

항목2. 보호대책 요구사항- 2.2. 인적 보안- 2.2.5 퇴직 및 직무변경 관리 인증기준퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다. 세부설명■ 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호부서, 개인정보보호부서, 시스템 운영부서 등 관련 부서 간 신속히 공유되어야 한다. - 관련 조직 및 시스템 간 인사변경 내용이 신속하게 공유될 수 있도록 절차 수립·이행 ■ 조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 및 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수·조정, 결과 확인 등 절차를 수립·이행하여야 한다. - 퇴직 및 직무..