[ISMS-P인증기준] 2.3.4 외부자 계약 변경 및 만료 시 보안

항목

---

2. 보호대책 요구사항

  - 2.3. 외부자 보안

  - 2.3.4 외부자 계약 변경 및 만료 시 보안

 

인증기준

---

외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.

2.3.4 외부자 계약 변경 및 만료 시 보안

 

세부설명

---

■ 외부자 계약만료, 업무 종료, 담당자 변경 시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립·이행하여야 한다.

 

- 담당조직이 외부자 계약만료, 업무 종료, 담당자 변경이 발생하였음을 신속하게 인지할 수 있도록 정보공유 방안 마련

- 외부자 계약만료, 업무 종료, 담당자 변경에 따른 보안대책 수립 및 이행

 

 

■ 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수·파기할 수 있도록 절차를 수립·이행하여야 한다.

 

- 개인정보 등 중요정보를 회수·파기하기 위하여 수탁자의 사무실 직접 방문 또는 원격으로 개인정보를 파기한 후 파기 확약서 작성

- 정보시스템과 담당자 PC뿐 아니라, 메일 송수신함 등 해당 정보가 저장되어 있는 모든 장치 및 매체에 대한 삭제 조치 필요

- 해당 정보가 복구·재생되지 않도록 안전한 방법으로 파기

 

결함사례

---

‧ 사례 1 : 일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우

 

‧ 사례 2 : 외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나, 관련 인력들에 대한 퇴사 시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우

 

‧ 사례 3 : 개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기하였는지 여부를 확인·점검하지 않은 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."