1.통제 목적
외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
2.주요 확인사항
- 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보보호 역량을 고려하도록 절차를 마련하고 있는가?
- 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?
- 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?
3.결함 사례
1)IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
2)개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서 상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리,감독에 관한 사항 등)이 포함되어 있지 않은 경우
3)인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나 계약서 등에는 위탁업무의 특성에 따른 보안 요구사항을 식별 · 반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우
'정보보호 및 개인정보보호 관리체계 > 항목별 참조 자료 모음' 카테고리의 다른 글
| 2.3.4 외부자 계약 변경 및 만료 시 보안 (0) | 2021.01.12 |
|---|---|
| 2.3.3 외부자 보안 이행 관리 (0) | 2020.12.21 |
| 2.3.1 외부자 현황 관리 (0) | 2020.12.21 |
| 2.2.6 보안 위반 시 조치 (0) | 2020.12.21 |
| 2.2.5 퇴직 및 직무변경 관리 (0) | 2020.12.17 |