2.3.1 외부자 현황 관리

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.3 외부자 보안	2.3.1 외부자 현황 관리
	2.3.2 외부자 계약 시 보안
	2.3.3 외부자 보안 이행 관리
	2.3.4 외부자 계약 변경 및 만료 시 보안

---

---

업무 위탁, 외부 시설 · 서비스 이용

현황 식별, 법적 요구사항 및 위험 파악, 보호대책 마련

핵심 키워드 & 내용

 

- 업무 위탁 및 외부 시설 · 서비스의 이용, 현황 식별, 법적 요구사항과 위험을 파악, 보호대책
- 업무 위탁, 시설 또는 서비스 이용 현황 식별
- 업무 위탁 및 외부 서비스 현황 목록 작성 현행화 관리
- 법적 요구사항, 위험 파악 및 보호대책 마련

 

연관 두음

 

---

 

인증기준

 

업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 
외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우
그 현황을 식별하고 법적 요구사항 및 외부 조직 · 서비스로부터 발생되는 위험을 파악하여
적절한 보호대책을 마련하여야 한다.

 

주요 확인사항

 

* 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설 · 서비스의 이용 현황을 식별하고 있는가?

* 업무 위탁 및 외부 시설 · 서비스의 이용에 따른 법적 요구사항과 위험을 파악하고
  적절한 보호대책을 마련하고 있는가?

 

세부 설명

 

□ 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설 · 서비스의 이용 현황을 명확히 식별하여야 한다.

 

업무 위탁: 개발, 운영, 유지보수, 보안 등

외부 시설 및 서비스 이용: IDC, 클라우드 서비스 등

 

□ 업무 위탁 및 외부 시설·서비스의 이용에 따른 법적 요구사항과 위험을 파악하고

   적절한 보호대책을 마련하여야 한다.

 

결함사례

 

사례 1 :
내부 규정에 따라 외부 위탁 및 외부 시설 · 서비스 현황을 목록으로 관리하고 있으나,
몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우

사례 2 :
관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나,
이에 대한 식별 및 위험평가가 수행되지 않은 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)