ISMS(정보보호관리체계) 인증 기준 2.3.1 외부자 현황 관리

2. 보호대책 요구사항 > 2.3 외부자 보안 > 2.3.1 외부자 현황 관리

항목		상세내용
2.3.1	외부자 현황 관리	업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직ㆍ서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
주요 확인사항		ㆍ관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설ㆍ서비스의 이용 현황을 식별하고 있는가? ㆍ업무 위탁 및 외부 시설ㆍ서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?
관련 법규

 

● 중요사안

- IT 외주용역의 경우 다음과 같은 유형이 있다.

유형	외주용역 예
운영 용역	ㆍ업무망 내 IT 시스템 네트워크 및 보안 장비 운영 ㆍ기업 내부망에 대한 취약점 점검 및 모의해킹
유지보수 용역	ㆍ업무망에 온라인 접속권한으로 수행된 업무에 대한 유지보수 ㆍ기업 내 온라인으로 진행되는 IT 시스템 네트워크 및 보안장비 유지보수 ㆍIT 외주업체 내에서 운영되는 IT 시스템 네트워크 및 보안장비 유지보수 ㆍ원격시스템 네트워크 및 보안장비 유지보수 ㆍ 원격 유지보수 및 장애 관리
SI 용역	ㆍIT 업무지원 시스템 개발 구축
데이터 처리 용역	ㆍ기업 내의 헬프데스크 운영 ㆍ기업 내부데이터를 활용한 대리점 운영
오프라인 지원	ㆍ오프라인으로 출력된 산출물을 관리하는 용역업체 ㆍ오프라인으로 출력된 내부데이터를 활용하여 면담으로 진행되는 정보보호 컨설팅 ㆍ오프라인으로 출력된 내부데이터를 활용하여 진행되는 기업 회계감사

 

 

● 운영현황

- 유지보수 계약시 정보보호 요구사항에 관한 합의내용을 작성하고 있음.

- 개인정보 처리업무를 위탁하는 경우 관계법령에서 요구하는 모든 사항을 포함하여 보안관리 계약을 체결하고 있음

 

 

● 기록(증적자료)

- 외주업체 계약서

- 정보보호 합의 문서