정보처리 업무 위탁 또는 외부 서비스 이용 시, 계약에 포함되어야 하는 보안 요구사항
- 정보보호 및 개인정보보호 관련 법률 준수, 정보보호 및 개인정보보호 서약서 제출
- 위탁 업무 수행 직원 대상 주기적인 정보보호 교육 수행 및 주기적 보안점검 수행
- 업무수행 관련 취득한 중요정보 유출 방지 대책
- 외부자 인터넷 접속 제한, 물리적 보호조치(장비 및 매체 반출입 등), PC 등 단말 보안(백신 설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등), 무선 네트워크 사용 제한
- 정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차
- 재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안 요구사항 정의
- 보안 요구사항 위반 시 처벌, 손해배상 책임, 보안사고 발생에 따른 보고 의무 등
정보시스템 및 개인정보처리시스템 개발 위탁 시, 계약에 포함되어야 하는 보안 요구사항
- 정보보호 및 개인정보보호 관련 법적 요구사항 준수
- 안전한 코딩 표준 준수 등 개발보안 절차 적용
- 개발 완료된 정보시스템 및 개인정보처리시스템에 대한 취약점 점검 및 조치
- 개발 관련 산출물, 소스 프로그램, 개발용 데이터 등 개발환경에 대한 보안관리
- 개발 과정에서 취득한 정보에 대한 비밀유지 의무
- 위반 시 손해배상 등 책임에 대한 사항 등
[출처] ISMS-P 인증기준 안내서(2019)
'Compliance' 카테고리의 다른 글
[Day 328] KISA ISMS 인증심사기간 내 일정(최초,사후) (0) | 2022.01.10 |
---|---|
[Day 313] PG사에 대한 수탁사 관리 감독은 어떻게 해야 할까? (0) | 2021.06.18 |
[Day 295] 개인정보 간접 수집 시 통지 의무 요건 (0) | 2021.05.31 |
[Day 291] 법적 요구사항에 따른 암호화 대상 개인정보 (0) | 2021.05.27 |
[Day 281] 보존이 필요한 주요 로그 유형 예시 (0) | 2021.05.17 |