2.3.2 외부자 계약시 보안

1.통제 목적

외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.

 

2.주요 확인사항

• 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보보호 역량을 고려하도록 절차를 마련하고 있는가?
• 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?
• 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?

 

3.결함 사례

 

1)IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우

 

2)개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서 상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리,감독에 관한 사항 등)이 포함되어 있지 않은 경우

 

3)인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나 계약서 등에는 위탁업무의 특성에 따른 보안 요구사항을 식별 · 반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우