반응형
2. 보호대책 요구사항 > 2.3 외부자 보안 > 2.3.3 외부자 보안 이행 관리
| 항목 | 상세내용 | |
| 2.3.3 | 외부자 보안 이행 관리 | 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리ㆍ감독하여야 한다. |
| 주요 확인사항 | ㆍ외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가? ㆍ외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립ㆍ이행하고 있는가? ㆍ개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가? |
|
| 관련 법규 | ||
● 중요사안
- IT외주용역 과정과 외주인력에 대한 물리적 보안대책을 수립ㆍ이행하여야 한다.
| 정보보호 활동 | 세부 내용 |
| 자료에 대한 보안관리 | 내부자료 관리 계획을 수립하여 내부정보 유출 방지 |
| 사무실ㆍ장비에 대한 보안관리 | 외주업체 사무실의 물리적 보안조치에 대해서 확인하고 외주인력이 반ㆍ출입하는 장비에 대한 보안관리 계획을 수립하고 이행 |
| 내ㆍ외부망 접근 관리 | 외주인력의 내부시스템 접근에 대한 관리 및 외부망 접근제어 |
| 외주인력 신원조회 | 외주인력을 통한 정보유출을 막기 위해 보안서약서 작성 및 사전 신원조사 실시 |
IT외주용역 과정 중 보안대책(예시)
| 정보보호 활동 | 세부 내용 |
| 물리적 접근통제 | 외주인력의 정보시스템, 정보보관소 접근 통제 필요시 접근 유형 및 접근 사유 파악 제한구역, 접견구역, 장비출하구역 등을 구분하여 보안조치와 절차 수립 |
| 출입이력 관리 | 출입이력 관리대장 사용 접근통제의 방법과 범위 등을 문서화 |
| 이동매체 반ㆍ출입 통제 | 반ㆍ출입되는 이동매체에 대한 파악 이동매체 반ㆍ출입 과정의 문서화 반ㆍ출입되는 이동매체의 보안검사 |
외주인력에 대한 물리적 보안대책(예시)
- 금융회사 또는 전자금융업자는 전자금융감독규정 제60조(외부주문 등에 대한 기준)에 따라 전자금융보조업자에 대한 재무건전성 및 서비스의 품질수준을 연 1회 이상 평가하고 금융
- 계약서 내의 보안준수사항을 근거로 보안준수 이행여부를 정기적으로 관리ㆍ감독하여야 한다.
● 운영현황
- 외주인력과 보안요구사항을 포함한 계약서를 체결하고 이를 근거로 연 1회 이상 이행점검을 수행하며 미흡사항이 확인되는 경우 조치계획을 수립하고 개선하고 있음
● 기록(증적자료)
- 외주업체 계약서
- 외부업체 보안점검 계획서 및 결과서
- 보안점검 이행 증적자료
반응형
'보안담당자로 살아가기 > ISMS(정보보호관리체계)' 카테고리의 다른 글
| ISMS(정보보호관리체계) 인증 기준 2.4.1 보호구역 지정 (0) | 2023.09.05 |
|---|---|
| ISMS(정보보호관리체계) 인증 기준 2.3.4 외부자 계약 변경 및 만료 시 보안 (1) | 2023.09.04 |
| ISMS(정보보호관리체계) 인증 기준 2.3.2 외부자 계약 시 보안 (0) | 2023.09.01 |
| ISMS(정보보호관리체계) 인증 기준 2.3.1 외부자 현황 관리 (0) | 2023.09.01 |
| ISMS(정보보호관리체계) 인증 기준 2.2.6 보안 위반 시 조치 (0) | 2023.08.31 |