[K-ISMS 인증기준] 정보보호대책 3. 외부자보안

K-ISMS 인증기준 - 3. 외부자보안

---

3.1 보안요구사항 정의

3.1.1 외부자 계약 시 보안요구사항

조직의 정보처리 업무를 외부자에게 위탁하거나 정보자산에 대한 접근을 허용할 경우, 또는 업무를 위해 클라우드 서비스 등 외부 서비스를 이용하는 경우에는 보안요구사항을 식별하고 관련 내용을 계약서 및 협정서 등에 명시하여야 한다.

3.1.1.1 조직의 정보처리 업무를 외부자에게 위탁하는 경우 다음과 같은 보안요구사항을 정의하여 계약 시 반영하고 있는가?

- 정보보호 관련 법률 준수 (개인정보 처리 관련 등)

- 정보보호서약서 제출 (비밀유지, 정보보호 책임 등)

- 위탁 업무 수행 직원 대상 주기적인 정보보호 교육 수행

- 업무수행 관련 취득한 중요정보 유출 방지 대책

- 외부자 내부네트워크(업무망) 연결 시 인터넷접속 제한

- 외부자 사무실 공간에 대한 물리적 보호조치 (장비 및 매체 반출입, 출입통제 등)

- 외부자 직원 PC 등 단말 보안 (백신설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등)

- 조직 중요정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차

- 주기적 보안점검 수행

- 무선네트워크 구축 및 사용 제한 (필요 시 위험분석을 통한 대책 마련 후 책임자 승인)

- 재위탁 하도급 계약 시 본 계약 수준의 보안요구사항 정의  

- 보안요구사항 위반 시 처벌, 손해배상 책임

- 보안사고발생에 따른 보고 의무 등

ㅇ조직의 업무 중 서비스 제공을 위한 시스템 통합(SI : System Integration), 운영(SM : System Maintenance), 유지보수, 고객상담 등 외부자에게 업무를 위탁하거나 클라우드 서비스를 이용하는 경우 외부자 업무형태(자사 건물 상주, 독립된 공간 근무 등)에 따라 준수하여야 할 보안요구사항을 정의하고 계약과정에서 명확하게 반영하여야 한다.  - 이는 위탁업무 수행과정에서 외부자가 접근하는 중요정보(시스템 및 네트워크 구성도, 개인정보, 산출물, 산업기밀 등)의 유출, 침해사고를 예방하기 위한 것이다. - 다만 외부자 업무형태에 따라 세부점검항목에서 제시하고 있는 보안요구사항을 계약서에 반영하지 못하는 경우 타당한 사유가 있어야 한다.

---

3.2 외부자 보안 이행

3.2.1 외부자 보안 이행 관리

외부자가 계약서 및 협정서에 명시된 보안요구사항의 이행여부를 관리 감독하고 주기적인 점검 또는 감사를 수행하여야 한다.

3.2.1.1 외부자가 계약서에 명시한 보안요구사항을 준수하고 있는 지 주기적으로 점검 또는 감사를 수행하고 문제점 발견 시 개선할 수 있는 보호대책을 수립 ∙ 이행하고 있는가?

ㅇ 조직의 외부자 관리 직무를 맡은 담당자는 외부자와 계약 시 정의한 보안요구사항을 준수하고 있는 지 주기적으로 점검 또는 감사를 수행하여야 한다. 또한 외부자가 자체적으로 정보보호책임자를 지정하여 보안점검을 수행한 경우 그 결과를 주기적으로 보고하고 문제점 발생 시 유사한 문제가 재발하지 않도록 추가적인 보호대책을 수립하고 이행하여야 한다.

3.2.2 외부자 계약 만료 시 보안

외부자와의 계약 만료, 업무 종료, 담당자 변경 시 조직이 외부자에게 제공한 정보자산의 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 시 알게 된 정보의 비밀유지 확약서 등의 내용을 확인하여야 한다.

3.2.2.1 외부자가 위탁 업무 수행과정에서 담당자 퇴직 등의 변경사항이 발생할 경우 위탁사 관련부서에 보고하고 공식적인 절차에 따라 정보자산 반납, 접근계정 삭제 등의 조치를 하고 있는가?

ㅇ 위탁 업무 수행과정에서 외부자의 관련 업무 담당자가 변경될 수 있으며 변경이력에 대한 보고 및 적절한 보호조치가 지체 없이 이루어질 수 있도록 관리하여야 한다.

3.2.2.2 외부자와의 계약 만료, 업무 종료 시 공식적인 절차에 따라 정보자산의 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 물리적 출입권한 삭제 업무 수행 시 알게 된 정보의 비밀유지서약서 작성 등을 확인하고 있는가?

ㅇ 외부자와의 계약 만료, 업무 종료에 따른 공식적인 정책 및 절차가 수립되어야 하며 이 정책 및 절차를 통해 정보시스템 자산 반납 및 업무 중 사용하였던 모든 접근계정 삭제 확인보장되어야 한다

.