Home » ISMS 인증기준 – 정보보호대책 (외부자보안)

ISMS 인증기준 – 정보보호대책 (외부자보안)

3.1 보안요구사항 정의

3.1.1 외부자 계약 시 보안요구사항

조직의 정보처리 업무를 외부자에게 위탁하거나 정보자산에 대한 접근을 허용할 경우, 또는 업무를 위해 클라우드 서비스 등 외부 서비스를 이용하는 경우에는 보안요구사항을 식별하고 관련 내용을 계약서 및 협정서 등에 명시하여야 한다.

  • 조직의 정보처리 업무를 외부자에게 위탁하는 경우 다음과 같은 보안요구사항을 정의하여 계약 시 반영하고 있는가?

  • 정보보호 관련 법률 준수 (개인정보 처리 관련 등)

  • 정보보호서약서 제출 (비밀유지, 정보보호 책임 등)
  • 위탁 업무 수행 직원 대상 주기적인 정보보호 교육 수행
  • 업무수행 관련 취득한 중요정보 유출 방지 대책
  • 외부자 내부네트워크(업무망) 연결 시 인터넷접속 제한
  • 외부자 사무실 공간에 대한 물리적 보호조치 (장비 및 매체 반출입, 출입통제 등)
  • 외부자 직원 PC 등 단말 보안 (백신설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등)
  • 조직 중요정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차
  • 주기적 보안점검 수행
  • 무선네트워크 구축 및 사용 제한 (필요 시 위험분석을 통한 대책 마련 후 책임자 승인)
  • 재위탁 하도급 계약 시 본 계약 수준의 보안요구사항 정의
  • 보안요구사항 위반 시 처벌, 손해배상 책임
  • 보안사고발생에 따른 보고 의무 등
ㅇ조직의 업무 중 서비스 제공을 위한 시스템 통합(SI : System Integration), 운영(SM : System Maintenance), 유지보수, 고객상담 등 외부자에게 업무를 위탁하거나 클라우드 서비스를 이용하는 경우 외부자 업무형태(자사 건물 상주, 독립된 공간 근무 등)에 따라 준수하여야 할 보안요구사항을 정의하고 계약과정에서 명확하게 반영하여야 한다.

– 이는 위탁업무 수행과정에서 외부자가 접근하는 중요정보(시스템 및 네트워크 구성도, 개인정보, 산출물, 산업기밀 등)의 유출, 침해사고를 예방하기 위한 것이다.
– 다만 외부자 업무형태에 따라 세부점검항목에서 제시하고 있는 보안요구사항을 계약서에 반영하지 못하는 경우 타당한 사유가 있어야 한다.

3.2 외부자 보안 이행

3.2.1 외부자 보안 이행 관리

외부자가 계약서 및 협정서에 명시된 보안요구사항의 이행여부를 관리 감독하고 주기적인 점검 또는 감사를 수행하여야 한다.

  • 외부자가 계약서에 명시한 보안요구사항을 준수하고 있는 지 주기적으로 점검 또는 감사를 수행하고 문제점 발견 시 개선할 수 있는 보호대책을 수립 ∙ 이행하고 있는가?
ㅇ 조직의 외부자 관리 직무를 맡은 담당자는 외부자와 계약 시 정의한 보안요구사항을 준수하고 있는 지 주기적으로 점검 또는 감사를 수행하여야 한다. 또한 외부자가 자체적으로 정보보호책임자를 지정하여 보안점검을 수행한 경우 그 결과를 주기적으로 보고하고 문제점 발생 시 유사한 문제가 재발하지 않도록 추가적인 보호대책을 수립하고 이행하여야 한다.

3.2.2 외부자 계약 만료 시 보안

외부자와의 계약 만료, 업무 종료, 담당자 변경 시 조직이 외부자에게 제공한 정보자산의 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 시 알게 된 정보의 비밀유지 확약서 등의 내용을 확인하여야 한다.

  • 외부자가 위탁 업무 수행과정에서 담당자 퇴직 등의 변경사항이 발생할 경우 위탁사 관련부서에 보고하고 공식적인 절차에 따라 정보자산 반납, 접근계정 삭제 등의 조치를 하고 있는가?
ㅇ 위탁 업무 수행과정에서 외부자의 관련 업무 담당자가 변경될 수 있으며 변경이력에 대한 보고 및 적절한 보호조치가 지체 없이 이루어질 수 있도록 관리하여야 한다.

  • 외부자와의 계약 만료, 업무 종료 시 공식적인 절차에 따라 정보자산의 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 물리적 출입권한 삭제 업무 수행 시 알게 된 정보의 비밀유지서약서 작성 등을 확인하고 있는가?
ㅇ 외부자와의 계약 만료, 업무 종료에 따른 공식적인 정책 및 절차가 수립되어야 하며 이 정책 및 절차를 통해 정보시스템 자산 반납 및 업무 중 사용하였던 모든 접근계정 삭제 확인보장되어야 한다.