2. 보호대책 요구사항(2)

2.3 외부자 보안

2.3.1 외부자 현황 관리

- 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구사항 및 외부 조직/서비스로부터 발생되는 위험을 파악해 적절한 보호대책을 마련해야 함

식별사항

• 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설/서비스의 이용 현황을 식별하고 있는가?

2.3.2 외부자 계약 시 보안

- 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시해야 함

 

2.3.3 외부자 보안 이행 관리

- 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리/감독해야 함

 

2.3.4 외부자 계약 변경 및 만료 시 보안

- 외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근 계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행해야 함

• 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근 계정 삭제, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립/이행하고 있는가?
• 개인정보 파기 여부 점검

2.4 물리 보안

2.4.1 보호구역 지정

- 물리적/환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위해 통제구역/제한구역/접견구역 등 물리적 보호구역을 지정하고 구역별 보호대책을 수립/이행해야 함

• 보호구역 지정기준 마련
• 구역별 보호대책을 수립/이행하고 있는가?

2.4.2 출입통제

- 보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토해야 함

• 허가자만 출입하도록 통제하고 있는가?
• 이력을 주기적으로 검토하고 있는가?

 

2.4.3 정보시스템 보호

- 정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려해 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호해야 함

 

2.4.4 보호설비 운영

- 보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온/습도 조절, 화재감지, 소화 설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립/운영해야 함

 

2.4.5 보호구역 내 작업

- 보호구역 내에서의 비인가행위 및 권한 오/남용 등을 방지하기 위한 작업 절차를 수립/이행하고, 작업 기록을 주기적으로 검토해야 함

 

2.4.6 반출입 기기 통제

- 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립/이행하고 주기적으로 검토하여야 함

 

2.4.7 업무환경 보안

- 공용으로 사용하는 사무용 기기 및 개인 업무 환경을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립/이행하여야 함