2.3.2. 외부자 계약 시 보안

 

항목	2.3.2. 외부자 계약 시 보안
키워드	위탁업체 역량 평가, 계약서(보안‧개발 요건)
인증기준	외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.
주요 확인사항	Ÿ 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?   Ÿ 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?   Ÿ 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수하여야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?
관련 법규	Ÿ 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
증거자료   (예시)	Ÿ 위탁 계약서   Ÿ 정보보호 및 개인정보보호 협약서(약정서, 부속합의서)   Ÿ 위탁 관련 내부 지침   Ÿ 위탁업체 선정 관련 RFP(제안요청서), 평가표
결함사례	사례 1 : IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우   사례 2 : 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우   사례 3 : 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나, 계약서 등에는 위탁 업무의 특성에 따른 보안 요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우