반응형
2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.3 외부자 보안 | 2.3.1 외부자 현황 관리 |
| 2.3.2 외부자 계약 시 보안 | |
| 2.3.3 외부자 보안 이행 관리 | |
| 2.3.4 외부자 계약 변경 및 만료 시 보안 |
외부자의 보호대책 이행 여부 주기적 점검, 관리 · 감독,
개선계획 수립 · 이행
재위탁 승인 절차
협력사에 대한 현장대리인 통한 보안점검
핵심 키워드 & 내용
- 외부자의 보호대책 이행 여부, 주기적인 점검 또는 감사 등 관리·감독
- 외부자의 보안 요구사항 주기적 점검 또는 감사 수행
- 발견된 문제점에 대한 개선계획 수립 · 이행
- 수탁자가 제3자에게 재위탁 시 위탁자의 승인
연관 두음
인증기준
계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라
외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리 · 감독하여야 한다.
주요 확인사항
* 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지
주기적으로 점검 또는 감사를 수행하고 있는가?
* 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립 · 이행하고 있는가?
* 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를
제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가?
세부 설명
□ 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지
주기적으로 점검 또는 감사를 수행하여야 한다.
□ 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립 · 이행하여야 한다.
□ 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우
위탁자의 승인을 받도록 하여야 한다.
결함사례
사례 1 :
회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는
외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
사례 2 :
개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나,
교육 수행 여부를 확인하고 있지 않은 경우
사례 3 :
수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나,
수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여
확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우
사례 4 :
개인정보 처리업무 위탁계약서의 재위탁 제한 조항에는
재위탁 시 위탁자의 사전 승인을 받도록 하고 있으나,
수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 재위탁한 경우
사례 5 :
영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서
수탁자에 대한 관리 · 감독을 수행하지 않고 있는 경우
가상자산 사업자 대상 주요 확인사항
제휴, 위탁을 통한 가상자산 거래 서비스,
개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는
내부업무용과 분리 설치 · 운영하고 있는가?
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
반응형
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.4.1 보호구역 지정 (0) | 2023.01.08 |
|---|---|
| 2.3.4 외부자 계약 변경 및 만료 시 보안 (0) | 2023.01.08 |
| 2.3.2 외부자 계약 시 보안 (0) | 2023.01.08 |
| 2.3.1 외부자 현황 관리 (0) | 2023.01.08 |
| 2.2.6 보안 위반 시 조치 (0) | 2023.01.07 |
댓글