ISMS(정보보호관리체계) 인증 기준 2.3.2 외부자 계약 시 보안

2. 보호대책 요구사항 > 2.3 외부자 보안 > 2.3.2 외부자 계약 시 보안

항목		상세내용
2.3.2	외부자 계약 시 보안	외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
주요 확인사항		ㆍ중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보보호 역량을 고려하도록 절차를 마련하고 있는가? ㆍ외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가? ㆍ정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?
관련 법규

 

● 중요사안

- 개인정보처리 업무를 외부자에게 위탁할 경우 개인정보보호법 제26조(위탁업무에 따른 개인정보의 처리 제한)에 따라 계약서 등 문서로 기술적ㆍ관리적 보호조치 요구를 명시하여야 한다.

- 금융회사 또는 전자금융업자는 전자금융감독규정 제60조(외주부문 등에 대한 기준)을 준수하도록 하고 있어 심사원 및 담당자는 반드시 세부사항을 검토해야 한다.

- 외주 위탁 개발시 보안기능의 설계요구사항과 개발자의 보안준수사항을 제안요청서에 기재하고 계약서에 반영해야 한다.

 

 

● 운영현황

- 통합유지보수, 외주계약 시 보안요구사항을 포함하는 협정서를 작성하고 있음.

- 개인정보처리업무를 위탁하는 경우 관계법령에서 요구하는 사항을 모두 포함하여 보안관리 계약을 체결하고 있음.

- 프로그램 개발을 외부에 위탁하는 경우 다음 보안요구사항을 계약에 포함하고 체결한 계약을 적절히 이행하고 있는지 관리ㆍ감독하도록 정하고 있음

   > 개발 시 보안요구사항 정의 및 기능설계

   > 설계된 보안기능의 구현여부 관리ㆍ감독

   > 보안기능의 점수 및 미흡사항 조치 등

 

 

● 기록(증적자료)

- 외주업체 계약서

- 정보보호 합의 문서

- 개인정보처리 위수탁 계약서

- SLA(서비스수준 협약서)

- 개발보안 요건 적용 내역서