2.3 외부자 보안

2.3.1	외부자 현황 관리	업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
2.3.2	외부자 계약 시 보안	외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
2.3.3	외부자 보안 이행 관리	계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리·감독하여야 한다.
2.3.4	외부자 계약 변경 및 만료 시 보안	외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.

 

2.3.1 외부자 현황 관리

- 관리체계 범위 내 업무위탁 및 외부 시설 ․ 서비스 이용현황 파악

※ 업무 위탁 및 외부 시설 ․ 서비스 이용 (예시) ㆍIT 및 보안 업무 위탁 : 정보시스템 개발 ․ 운영, 유지보수, 서버 ․ 네트워크 ․ 보안장비 운영, 보안 관제, 출입관리 및 경비, 정보보호컨설팅 등 ㆍ개인정보 처리위탁 : 개인정보 처리업무(개인정보 수집 대행 등), 고객 상담, 개인정보처리시스 템 운영 등 ㆍ외부 시설 이용 : 집적정보통신시설(IDC) 등 ㆍ외부 서비스 이용 : 클라우드 서비스, 애플리케이션서비스(ASP) 등

 

- 업무위탁 및 외부 시설 ․ 서비스 이용현황에 대한 목록 작성 및 지속적인 현행화 관리

※ 업무 위탁 및 외부 시설 ․ 서비스 이용현황 목록에 포함되어야 할 사항 (예시) ㆍ수탁자 및 외부 시설 ․ 서비스 명 ㆍ위탁하는 업무의 내용 및 외부 서비스 내용 ㆍ담당부서 및 담당자명 ㆍ위탁 및 서비스 이용 기간 ㆍ계약서 작성 여부, 보안점검 여부 등 관리 ․ 감독에 관한 사항 등

 

 

 

 

2.3.2 외부자 계약 시 보안

 

2.3.3 외부자 보안 이행 관리

 

2.3.4 외부자 계약 변경 및 만료 시 보안