주요사항

RFP/평가에 보안역량 반영, 보안요구사항 계약서 명시, 외보·목범재안감책

인증기준

외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다.

확인사항

  • 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?
  • 외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?
  • 정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?

결함사례

  • IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
  • 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서 상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우
  • 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나 계약서 등에는 위탁 업무의 특성에 따른 보안요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우
  • 개인정보 처리위탁시 포함사항
    (개인정보 보호법 제26조제1항)
    개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
    1. 위탁업무 수행 목적 개인정보의 처리 금지에 관한 사항
    2. 개인정보의 기술적·관리적 호조치에 관한 사항
      (개인정보 보호법 시행령 제28조제1항)
    3. 위탁업무의 적 및
    4. 위탁 제한에 관한 사항
    5. 개인정보에 대한 접근 제한 등 전성 확보 조치에 관한 사항
    6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 독에 관한 사항
    7. 법 제26조제2항에 따른 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 임에 관한 사항