2.3.1 외부자 현황 관리
업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 및 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직, 서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.
결함 사례
-
내부 규정에 따라 외부 위탁 및 외부 시설/서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
-
관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우
2.3.2 외부자 계약 시 보안
외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 (개인)정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
결함 사례
- IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
- 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서에 개인정보보호법 등 법령에서 요구하는 일부 항목(관리/감독에 관한 사항 등)이 포함되어 있지 않은 경우
- 인프라 운영과 개인정보처리 업무를 외부업체에 위탁하고 있으나, 계약서 등에는 위탁 업무의 특성에 따른 보안 요구사항을 식별&반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우
2.3.3 외부자 보안 이행 관리
계약서, 협정서, 내부정책에 명시된 (개인)정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리&감독 하여야 한다.
외부자에 대한 점검 또는 감사는 업무 시작 전, 업무 진행되는 과정, 종료 시점에 진행하되 필요한 경우 수시로 진행
수탁사의 (개인)정보보호 역량, 자체 시스템 보유 여부, 처리하는 정보의 수량 및 민감도 등을 고려하여 실태점검 주기 및 방법 결정
개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하여야 한다.
결함 사례
-
회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
-
개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우
-
수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 신뢰성이 매우 떨어지는 경우
-
개인정보 처리업무 위탁계약서의 재위탁 제한 조항에는 재위탁 시 위탁자의 사전 승인을 받도록 하고 있으나, 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 재위탁한 경우
-
영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리&감독을 수행하고 있지 않는 경우
2.3.4 외부자 계약 변경 및 만료 시 보안
외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다.
결함 사례
-
일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
-
외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약만료로 퇴직하였으나, 관련 인력들에 대한 퇴사 시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
-
개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기하였는지 여부를 확인/점검하지 않은 경우
