A-9 위탁 기관(업체) 또는 용역사업 참여 업체의 보안관련사항 위반이나 침해사고 발생 시 조치 수행

개요

카테고리 : 외부자 보안

통제항목번호 : A-09
통제항목 : 위탁 기관(업체) 또는 용역사업 참여 업체의 보안관련사항 위반이나 침해사고 발생 시 조치 수행
위험도 : 상

 

판단(평가기준)

 

만족
• 정보보호 정책 또는 위탁 용역사업 계약서 내 보안관련 위규 내용에 명시된 외부자에 의한 보안사고 발생 시 조치 이행여부 확인
• 위탁 용역사업 참여 업체에 의한 보안관련 위반이나 침해사고 발생 이력이 없는 경우

 

부분만족

• 계약서 등 관련내용 증빙자료가 없음
• 보안관련 위반이나 침해사고 발생 이력이 있으나 조치 또는 이력관리가 미흡

 

N/A :

• 제3자와 정보화 또는 정보보호 계약이 전무한 경우

관련 법령 및 규칙

 

관련 법령 및 규칙 : 

○ 국가 정보보안 기본지침
- 제26조(용역업체 보안)
- 제30조(누출금지정보 유출시 조치)
○ 행정안전부 소관 주요정보통신기반시설 보호지침
- 제27조(외부 용역사업 보안관리)
○ 보안업무규정
- 제5장(보안 조사)

 

증빙문서 및 참고사항

 

증빙 문서

• 정보보호 관련 규정
• 위탁 또는 용역사업 계약서

 

참고 사항
○ 정보보호 관련 정책서, 계약서 내 위탁 기관(업체) 또는 용역사업 참여 업체에 대한 사업자 보안위규 처리기준 및 보안 위약금 부과 기준 확인
○ 사업자 보안위규 처리 절차 : 경위 확인 ⇒ 보안위규 처리기준에 따른 조치 ⇒ 재발방지 대책 ⇒ 보안조치 이행여부 점검
○ 용역업체의 누출금지정보 유출 사실을 인지하거나 보고를 받은 기관의 장은 그 사실을 관계 행정안전부 장관 및 국가정보원장에게 통보하고, 관계 상급기관
의 장은 “국가를 당사자로 하는 계약에 관한 법률 시행령 제76조” 및 “지방자치단체를 당사자로 하는 계약에 관한 법률 시행령 제92조”에 따라 입찰 참가자
격 제한 등 관련조치를 수행하고 있는지 확인

 

Comment

 

위탁 기관(업체) 또는 용역사업 참여 업체의 보안관련사항 위반이나 침해사고 발생 시 조치 수행이 중요한 이유는 다음과 같습니다:

법적 책임: 개인정보처리 위탁 시 수탁자의 개인정보취급자를 위탁자의 직원으로 간주하기 때문에 법적 책임은 모두 위탁자에게 있습니다1. 따라서 위탁자는 수탁자의 보안 위반이나 침해사고에 대해 책임을 져야 하므로 신속하고 적절한 조치가 필요합니다.

개인정보 보호: 수탁자에 의한 개인정보 유출 사고가 발생하면 위탁자도 관리 책임에서 자유로울 수 없습니다3. 따라서 침해사고 발생 시 즉각적인 조치를 통해 개인정보 보호를 강화하고 추가적인 피해를 방지해야 합니다.

계약 관계 유지: 개인정보 관리가 부실할 경우 위수탁 계약이 해지되거나 재계약 시 불이익을 받을 수 있습니다3. 따라서 보안 위반이나 침해사고 발생 시 적절한 조치를 수행하여 계약 관계를 유지하고 신뢰를 회복하는 것이 중요합니다.