[ISMS-P인증기준] 2.3.1 외부자 현황 관리

항목

---

2. 보호대책 요구사항

  - 2.3. 외부자 보안

  - 2.3.1 외부자 현황 관리

 

인증기준

---

 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.

2.3.1 외부자 현황 관리

 

세부설명

---

■ 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설·서비스의 이용 현황을 명확히 식별하여야 한다.

 

- 관리체계 범위 내 업무위탁 및 외부 시설·서비스 이용현황 파악

- 업무위탁 및 외부 시설·서비스 이용현황에 대한 목록 작성 및 지속적인 현행화 관리

 

■ 업무 위탁 및 외부 시설·서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하여야 한다.

 

- 개인정보 처리업무 위탁에 해당되는지 확인

- 개인정보 등의 국외 이전에 해당되는지 확인

- 개인정보 보호법, 정보통신망법 등 관련된 법적 요구사항 파악

- 법적 요구사항을 포함하여 업무 위탁 및 외부 시설·서비스 이용에 따른 위험평가 수행

- 위험평가 결과를 반영하여 적절한 보호대책 마련 및 이행(예를 들어, 고위험의 수탁자에 대해서는 점검주기 및 점검항목을 달리하여 집중 현장점검 수행 등)

 

 

결함사례

---

‧ 사례 1 : 내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우

 

‧ 사례 2 : 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."