1.통제 목적
계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적으로 점검 또는 감사 등 관리 · 감독하여야 한다.
2.주요 확인 사항
- 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?
- 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선 계획을 수립 · 이행하고 있는가?
- 개인정보 처리업무 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자가 승인을 받도록 하고 있는가?
3.결함 사례
1)회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우
2)개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행여부를 확인하고 있지 않은 경우
3)정보통신서비스 제공자인 신청기관으로부터 개인정보 처리업무를 위탁받은 수탁자 중 일부가 신청기관의 동의 없이 해당 업무를 재위탁한 경우
4)수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안 점검 결과의 실뢰성이 매우 떨어지는 경우
'정보보호 및 개인정보보호 관리체계 > 항목별 참조 자료 모음' 카테고리의 다른 글
| 2.4.1 보호구역 지정 (0) | 2021.01.12 |
|---|---|
| 2.3.4 외부자 계약 변경 및 만료 시 보안 (0) | 2021.01.12 |
| 2.3.2 외부자 계약시 보안 (0) | 2020.12.21 |
| 2.3.1 외부자 현황 관리 (0) | 2020.12.21 |
| 2.2.6 보안 위반 시 조치 (0) | 2020.12.21 |