[ISMS-P] 재위탁과 관련된 인증기준 정리

재위탁과 관련된 인증기준

• 2.3.2 외부자 계약 시 보안
  • 재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안 요구사항 정의
• 2.3.3 외부자 보안 이행 관리
  • 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 동의를 받도록 하여야 한다.
  • 결함: 개인정보 처리업무 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 제3자에게 재위탁한 경우
• 3.1.6 영상정보처리기기 설치·운영
  공공기관의 영상정보처리기기 설치·운영 사무 위탁 계약서에 포함되어야 할 내용
  1. 위탁하는 사무의 목적 및 범위
  2. 재위탁 제한에 관한 사항
  3. 영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
  4. 영상정보의 관리 현황 점검에 관한 사항
  5. 위탁받는 자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
• 3.2.5 가명정보 처리
  가명정보 처리업무 위탁계약서에 포함되어야 할 사항(예시)
  1. 위탁업무 수행 목적 외 처리금지
  2. 가명정보의 안전조치 사항
  3. 위탁업무의 목적 및 범위
  4. 재위탁 제한
  5. 관리·감독에 관한 사항
  6. 수탁자가 준수하여야 할 의무 위반시 손해배상 등 책임에 관한 사항
  7. 재식별 금지
  8. 재식별 위험 발생 시 통지
• 3.3.2 개인정보 처리 업무 위탁
  • 개인정보 처리업무를 제3자에게 위탁(재위탁 포함)하는 경우 인터넷 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 공개해야 한다
  • 결함: 개인정보 처리업무를 위탁받은 자가 해당 업무를 제3자에게 재위탁을 하고 있지만, 재위탁에 관한 사항을 인터넷 홈페이지 등에 공개하고 있지 않은 경우