2.3.2 외부자 계약 시 보안

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.3 외부자 보안	2.3.1 외부자 현황 관리
	2.3.2 외부자 계약 시 보안
	2.3.3 외부자 보안 이행 관리
	2.3.4 외부자 계약 변경 및 만료 시 보안

---

---

외보목범제안감책

업무 위탁, 외부 서비스 이용

요구사항 식별, 계약서 · 협정서 명시

계약서 등에는 위탁 업무의 특성에 따른 보안 요구사항을 식별 · 반영

핵심 키워드 & 내용

 

- 외부 서비스 이용 및 업무 위탁, 정보보호 및 개인정보보호 요구사항 식별
- 계약서 또는 협정서 등에 명시
- 외부자 선정 시 정보보호 역량 평가 절차 마련
- 보안 요구사항 정의 및 계약 시 반영
- 개발을 위탁 시 (개인)정보보호 요구사항을 계약서에 명시

 

연관 두음

 

▶ 개인정보 처리업무 위탁 시 문서에 포함되어야 할 사항

[두음] 외보목범제안감책
목적 외 처리 금지, 보호조치, 목적 및 범위, 재위탁 제한, 안전성 확보 조치, 감독, 책임

---

 

인증기준

 

외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우
이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고,
관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.

 

주요 확인사항

 

* 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우
  정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?

* 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고
  이를 계약서 또는 협정서에 명시하고 있는가?

* 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우
  개발 시 준수하여야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?

 

세부 설명

 

□ 주요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우

   정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하여야 한다.

 

□ 조직의 정보처리 업무를 외부자에게 위탁하거나 외부 서비스를 이용하는 경우

   다음과 같은 보안 요구사항을 정의하여 계약 시 반영하여야 한다.

   (개인정보보호법 제26조 및 동법 시행령 제28조 참고)

 

▶ 개인정보 처리업무 위탁 시 문서에 포함되어야 할 사항

 

[두음] 외보목범제안감책

목적 외 처리 금지, 보호조치, 목적 및 범위, 재위탁 제한, 안전성 확보 조치, 감독, 책임

 

□ 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시

   준수하여야 할 정보보호 및 개인정보 보호 요구사항을 계약서에 명시하여야 한다.

 

결함사례

 

사례 1 :
IT 운영, 개발 및 개인정보 처리업무를 위탁하는
외주용역업체에 대한 위탁계약서가 존재하지 않는 경우

사례 2 :
개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서상에 개인정보 보호법 등
법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우

사례 3 : ★
인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나,
계약서 등에는 위탁 업무의 특성에 따른 보안 요구사항을 식별 · 반영하지 않고
비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)