ISMS 인증 조항 - 2.3 외부자 보안

구분	변경 전		변경 후
항목	2.3.1 외부자 현황 관리		-
상세내용	업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직∙서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.		-
주요 확인사항	∙ 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설∙서비스의 이용 현황을 식별하고 있는가? ∙ 업무 위탁 및 외부 시설∙서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.3.2 외부자 계약 시 보안		-
상세내용	외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.		-
주요 확인사항	∙ 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가? ∙ 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가? ∙ 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?		-

 

구분	변경 전		변경 후
항목	2.3.3 외부자 보안 이행 관리		-
상세내용	계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리∙감독하여야 한다.		-
주요 확인사항	∙ 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가? ∙ 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립∙이행하고 있는가? ∙ 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가?		∙ 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가? ∙ 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립∙이행하고 있는가? ∙ 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 동의를 받도록 하고 있는가?

 

구분	변경 전		변경 후
항목	2.3.4 외부자 계약 변경 및 만료 시 보안		-
상세내용	외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.		-
주요 확인사항	∙ 외부자 계약만료, 업무 종료, 담당자 변경시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립∙이행하고 있는가? ∙ 외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수∙파기할 수 있도록 절차를 수립∙이행하고 있는가?