ISMS-P 인증기준 외부자보안 2.3.1 외부자 현황관리(위탁, 재위탁 관리)

외부자현황관리의 경우 업무 위탁(ISMS-P의 경우 개인정보처리업무 위탁 포함)에 따른 위탁사와 재위탁사에 대한 리스트관리, 현황파악에 대한 부분을 중심으로 보게 되며, IDC에서 AWS로의 이전과 같이 퍼블릭클라우드로 이전할 때 위험평가가 되지 않아 문제가 발생한 경우는 클라우드 보안보다 가장 근본적인 원인인 해당 통제항목 2.3.1 외부자 현황관리 결함으로 분류하게 됩니다.
 

※ ISMS-P [2.3.1 외부자현황관리] 관련법규

「개인정보 보호법」 제26조(업무위탁에 따른 개인정보의 처리 제한)

① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다.   1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항   2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항  3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항 ② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.  ③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다. ④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.  ⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다. ⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다.  ⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다. <개정 2023. 3. 14.> ⑧ 수탁자에 관하여는 제15조부터 제18조까지, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제25조의2, 제27조, 제28조, 제28조의2부터 제28조의5까지, 제28조의7부터 제28조의11까지, 제29조, 제30조, 제30조의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2를 준용한다. 이 경우 “개인정보처리자”는 “수탁자”로 본다.

「정보통신망법」  제50조의3(영리목적의 광고성 정보 전송의 위탁 등)

① 영리목적의 광고성 정보의 전송을 타인에게 위탁한 자는 그 업무를 위탁받은 자가 제50조를 위반하지 아니하도록 관리ㆍ감독하여야 한다. ② 제1항에 따라 영리목적의 광고성 정보의 전송을 위탁받은 자는 그 업무와 관련한 법을 위반하여 발생한 손해의 배상책임에서 정보 전송을 위탁한 자의 소속 직원으로 본다.

 
 
들어가기에 앞서 「행정위임위탁규정」에서 정의한 “위탁”이란 법률에 규정된 행정기관의 장의 권한 중 일부를 다른 행정기관의 장에게 맡겨 그의 권한과 책임 아래 행사하도록 하는 것을 말하며, “민간위탁”이란 법률에 규정된 행정기관의 사무 중 일부를 지방자치단체가 아닌 법인ㆍ단체 또는 그 기관이나 개인에게 맡겨 그의 명의로 그의 책임 아래 행사하도록 하는 것을 말합니다. 
 
「개인정보 보호법」에서 정의하는 “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말합니다. 
이러한 개인정보의 처리 업무를 위탁하는 개인정보처리자를 “위탁자”라고 하며, 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자를 "수탁자"라고 합니다. (개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함)
 

출처 : 정보보호 및 개인정보보호 관리체계(ISMS-P) 구축운영 TIP 증적 예시

 
 

항목		인증기준	주요 확인사항
2.3.1	외부자 현황 관리	업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직∙서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다.	관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설∙서비스의 이용 현황을 식별하고 있는가?
			업무 위탁 및 외부 시설∙서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?

 
관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설·서비스의 이용 현황을 명확히 식별하여야 합니다
▶  업무 위탁 및 외부 시설·서비스 이용 현황 식별의 예시

• IT 및 보안 업무 위탁 : 정보시스템 개발·운영, 유지보수, 서버·네트워크·보안장비 운영, 보안관제, 출입관리 및 경비, 정보보호컨설팅 등
• 개인정보 처리업무 위탁 : 개인정보 수집 대행, 고객 상담, 개인정보처리시스템 운영 등
• 외부 시설 이용 : 집적정보 통신시설(IDC) 등
• 외부 서비스 이용 : 클라우드 서비스, 애플리케이션서비스(ASP) 등

▶  업무 위탁 및 외부 시설·서비스 이용현황 목록에 포함되어야 할 사항 예시

• 수탁자 및 외부 시설·서비스명
• 위탁하는 업무의 내용 및 외부 서비스 내용
• 담당부서 및 담당자명
• 위탁 및 서비스 이용 기간
• 계약서 작성 여부, 보안점검 여부 등 관리·감독에 관한 사항 등

 
업무 위탁 및 외부 시설·서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하여야 합니다. 

• 개인정보 처리업무 위탁에 해당되는지 확인
• 개인정보 등의 국외 이전에 해당되는지 확인
• 개인정보 보호법, 정보통신망법 등 관련된 법적 요구사항 파악 
• 법적 요구사항을 포함하여 업무 위탁 및 외부 시설·서비스 이용에 따른 위험평가 수행 
• 위험평가 결과를 반영하여 적절한 보호대책 마련 및 이행
•  ex, 고위험의 수탁자에 대해서는 점검주기 및 점검항목을 달리하여 집중 현장점검 수행한다

 
 
 
 

※  증적자료 예시

• 외부 위탁 및 외부 시설·서비스 현황
• 외부 위탁 계약서
• 위험분석 보고서 및 보호대책
• 위탁 보안관리 지침, 체크리스트 등

 

※ 보호대책요구사항 결함사례

• 사례 1
•  :  내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
• 사례 2
•  : 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우

 

※ 위탁업체 관련 유사 상황 발생 시 결함 구분방법

위탁업체 관리 문제 발생 시	리스트 관리가 누락된 경우	2.3.1 외부자 현황관리
	처리방침 공개가 누락된 경우	3.3.2 개인정보처리 업무위탁
	계약서, 관리감독, 재위탁 동의 등이 누락된 경우	2.3.2 외부자 계약 시 보안