반응형
2. 보호대책 요구사항 > 2.3 외부자 보안 > 2.3.1 외부자 현황 관리
| 항목 | 상세내용 | |
| 2.3.1 | 외부자 현황 관리 | 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직ㆍ서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. |
| 주요 확인사항 | ㆍ관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설ㆍ서비스의 이용 현황을 식별하고 있는가? ㆍ업무 위탁 및 외부 시설ㆍ서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가? |
|
| 관련 법규 | ||
● 중요사안
- IT 외주용역의 경우 다음과 같은 유형이 있다.
| 유형 | 외주용역 예 |
| 운영 용역 | ㆍ업무망 내 IT 시스템 네트워크 및 보안 장비 운영 ㆍ기업 내부망에 대한 취약점 점검 및 모의해킹 |
| 유지보수 용역 | ㆍ업무망에 온라인 접속권한으로 수행된 업무에 대한 유지보수 ㆍ기업 내 온라인으로 진행되는 IT 시스템 네트워크 및 보안장비 유지보수 ㆍIT 외주업체 내에서 운영되는 IT 시스템 네트워크 및 보안장비 유지보수 ㆍ원격시스템 네트워크 및 보안장비 유지보수 ㆍ 원격 유지보수 및 장애 관리 |
| SI 용역 | ㆍIT 업무지원 시스템 개발 구축 |
| 데이터 처리 용역 | ㆍ기업 내의 헬프데스크 운영 ㆍ기업 내부데이터를 활용한 대리점 운영 |
| 오프라인 지원 | ㆍ오프라인으로 출력된 산출물을 관리하는 용역업체 ㆍ오프라인으로 출력된 내부데이터를 활용하여 면담으로 진행되는 정보보호 컨설팅 ㆍ오프라인으로 출력된 내부데이터를 활용하여 진행되는 기업 회계감사 |
● 운영현황
- 유지보수 계약시 정보보호 요구사항에 관한 합의내용을 작성하고 있음.
- 개인정보 처리업무를 위탁하는 경우 관계법령에서 요구하는 모든 사항을 포함하여 보안관리 계약을 체결하고 있음
● 기록(증적자료)
- 외주업체 계약서
- 정보보호 합의 문서
반응형
'보안담당자로 살아가기 > ISMS(정보보호관리체계)' 카테고리의 다른 글
| ISMS(정보보호관리체계) 인증 기준 2.3.3 외부자 보안 이행 관리 (0) | 2023.09.04 |
|---|---|
| ISMS(정보보호관리체계) 인증 기준 2.3.2 외부자 계약 시 보안 (0) | 2023.09.01 |
| ISMS(정보보호관리체계) 인증 기준 2.2.6 보안 위반 시 조치 (0) | 2023.08.31 |
| ISMS(정보보호관리체계) 인증 기준 2.2.5 퇴직 및 직무변경 관리 (0) | 2023.08.31 |
| ISMS(정보보호관리체계) 인증 기준 2.2.4 인식제고 및 교육훈련 (0) | 2023.08.30 |