ISMS-P 인증 기준 2.3.2.외부자 계약 시 보안: Difference between revisions

From CS Wiki
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.3.외부자 보안|2.3.외부자 보안]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.3.외부자 보안|2.3.외부자 보안]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.3.2.외부자 계약 시 보안
!2.3.2.외부자 계약 시 보안
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
|외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?
*중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?
* 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?
*외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?
* 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?
*정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 개인정보 보호역량 고려 ====
주요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하여야 한다.
 
*정보보호 및 개인정보보호 역량이 있는 업체가 선정될 수 있도록 관련 요건을 [[제안요청서|제안요청서(RFP)]] 및 제안 평가항목에 반영하여 업체 선정 시 적용
 
==== [[개인정보 처리 업무 위탁|개인정보 처리 업무 위탁 보안]] ====
조직의 정보처리 업무를 외부자에게 위탁하거나 외부 서비스를 이용하는 경우 다음과 같은 보안 요구사항을 정의하여 계약 시 반영하여야 한다(개인정보보호법 제26조 및 동법 시행령 제28조 참고).
 
*정보보호 및 개인정보보호 관련 법률 준수, 정보보호 및 개인정보보호 서약서 제출
*위탁 업무 수행 직원 대상 주기적인 정보보호 교육 수행 및 주기적 보안점검 수행
*업무수행 관련 취득한 중요정보 유출 방지 대책
*외부자 인터넷접속 제한, 물리적 보호조치(장비 및 매체 반출입 등), PC 등 단말 보안(백신설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등), 무선 네트워크 사용 제한
*정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차
*재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안 요구사항 정의
*보안 요구사항 위반 시 처벌, 손해배상 책임, 보안사고 발생에 따른 보고 의무 등<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 개인정보 처리업무 위탁 시 문서에 포함되어야 할 사항'''
 
*위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
*개인정보의 기술적·관리적 보호조치에 관한 사항
*위탁업무의 목적 및 범위
*재위탁 제한에 관한 사항
*개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
*위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
*수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항</div>
 
==== 시스템 개발 위탁 보안 ====
정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수하여야 할 정보보호 및 개인정보 보호 요구사항을 계약서에 명시하여야 한다.
 
*정보보호 및 개인정보보호 관련 법적 요구사항 준수
*안전한 코딩 표준 준수 등 [[소프트웨어 개발 보안|개발보안]] 절차 적용
*개발 완료된 정보시스템 및 개인정보처리시스템에 대한 취약점 점검 및 조치
*개발 관련 산출물, 소스 프로그램, 개발용 데이터 등 개발환경에 대한 보안관리
*개발 과정에서 취득한 정보에 대한 비밀유지 의무
*위반 시 손해배상 등 책임에 대한 사항 등
 
==증거 자료==
 
*위탁 계약서
*정보보호 및 개인정보보호 협약서(약정서, 부속합의서)
*위탁 관련 내부 지침
*위탁업체 선정 관련 RFP(제안요청서), 평가표
 
==결함 사례==
 
*IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
*개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우
*인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나, 계약서 등에는 위탁 업무의 특성에 따른 보안 요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 주요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 정보보호 및 개인정보보호 역량이 있는 업체가 선정될 수 있도록 관련 요건을 제안요청서(RFP) 및 제안 평가항목에 반영하여 업체 선정 시 적용
* 조직의 정보처리 업무를 외부자에게 위탁하거나 외부 서비스를 이용하는 경우 다음과 같은 보안 요구사항을 정의하여 계약 시 반영하여야 한다(개인정보보호법 제26조 및 동법 시행령 제28조 참고).
** 정보보호 및 개인정보보호 관련 법률 준수, 정보보호 및 개인정보보호 서약서 제출
** 위탁 업무 수행 직원 대상 주기적인 정보보호 교육 수행 및 주기적 보안점검 수행
** 업무수행 관련 취득한 중요정보 유출 방지 대책
** 외부자 인터넷접속 제한, 물리적 보호조치(장비 및 매체 반출입 등), PC 등 단말 보안(백신설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등), 무선 네트워크 사용 제한
** 정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차
** 재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안 요구사항 정의
** 보안 요구사항 위반 시 처벌, 손해배상 책임, 보안사고 발생에 따른 보고 의무 등
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 개인정보 처리업무 위탁 시 문서에 포함되어야 할 사항
* 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
* 개인정보의 기술적·관리적 보호조치에 관한 사항
* 위탁업무의 목적 및 범위
* 재위탁 제한에 관한 사항
* 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
* 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
* 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항</div>
* 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수하여야 할 정보보호 및 개인정보 보호 요구사항을 계약서에 명시하여야 한다.
** 정보보호 및 개인정보보호 관련 법적 요구사항 준수
** 안전한 코딩 표준 준수 등 개발보안 절차 적용
** 개발 완료된 정보시스템 및 개인정보처리시스템에 대한 취약점 점검 및 조치
** 개발 관련 산출물, 소스 프로그램, 개발용 데이터 등 개발환경에 대한 보안관리
** 개발 과정에서 취득한 정보에 대한 비밀유지 의무
** 위반 시 손해배상 등 책임에 대한 사항 등
== 증거 자료 ==
* 위탁 계약서
* 정보보호 및 개인정보보호 협약서(약정서, 부속합의서)
* 위탁 관련 내부 지침
* 위탁업체 선정 관련 RFP(제안요청서), 평가표
== 결함 사례 ==
* IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
* 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우
* 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나, 계약서 등에는 위탁 업무의 특성에 따른 보안 요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 22:49, 23 June 2022


개요

항목 2.3.2.외부자 계약 시 보안
인증기준 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
주요 확인사항
  • 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?
  • 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?
  • 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?

세부 설명

개인정보 보호역량 고려

주요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하여야 한다.

  • 정보보호 및 개인정보보호 역량이 있는 업체가 선정될 수 있도록 관련 요건을 제안요청서(RFP) 및 제안 평가항목에 반영하여 업체 선정 시 적용

개인정보 처리 업무 위탁 보안

조직의 정보처리 업무를 외부자에게 위탁하거나 외부 서비스를 이용하는 경우 다음과 같은 보안 요구사항을 정의하여 계약 시 반영하여야 한다(개인정보보호법 제26조 및 동법 시행령 제28조 참고).

  • 정보보호 및 개인정보보호 관련 법률 준수, 정보보호 및 개인정보보호 서약서 제출
  • 위탁 업무 수행 직원 대상 주기적인 정보보호 교육 수행 및 주기적 보안점검 수행
  • 업무수행 관련 취득한 중요정보 유출 방지 대책
  • 외부자 인터넷접속 제한, 물리적 보호조치(장비 및 매체 반출입 등), PC 등 단말 보안(백신설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등), 무선 네트워크 사용 제한
  • 정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차
  • 재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안 요구사항 정의
  • 보안 요구사항 위반 시 처벌, 손해배상 책임, 보안사고 발생에 따른 보고 의무 등

※ 개인정보 처리업무 위탁 시 문서에 포함되어야 할 사항

  • 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
  • 개인정보의 기술적·관리적 보호조치에 관한 사항
  • 위탁업무의 목적 및 범위
  • 재위탁 제한에 관한 사항
  • 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
  • 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
  • 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

시스템 개발 위탁 보안

정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수하여야 할 정보보호 및 개인정보 보호 요구사항을 계약서에 명시하여야 한다.

  • 정보보호 및 개인정보보호 관련 법적 요구사항 준수
  • 안전한 코딩 표준 준수 등 개발보안 절차 적용
  • 개발 완료된 정보시스템 및 개인정보처리시스템에 대한 취약점 점검 및 조치
  • 개발 관련 산출물, 소스 프로그램, 개발용 데이터 등 개발환경에 대한 보안관리
  • 개발 과정에서 취득한 정보에 대한 비밀유지 의무
  • 위반 시 손해배상 등 책임에 대한 사항 등

증거 자료

  • 위탁 계약서
  • 정보보호 및 개인정보보호 협약서(약정서, 부속합의서)
  • 위탁 관련 내부 지침
  • 위탁업체 선정 관련 RFP(제안요청서), 평가표

결함 사례

  • IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
  • 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우
  • 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나, 계약서 등에는 위탁 업무의 특성에 따른 보안 요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)