2.3.1 외부자 현황 관리

1. 통제 목적

업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.

 

2.주요 확인사항

• 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설 · 서비스의 이용 현황을 식별하고 있는가?
• 업무 위탁 및 외부 시설 · 서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하였는가?

 

3.결함 사례

 

1)내부 규정에 따라 외부 위탁 및 외부시설 ·서비스 현황을 목록으로 관리하고 있으나, 수개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우

 

2)관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나 이에 대한 식별 및 위험평가가 수행되지 않은 경우