인증기준
- 업무 위탁이나 외부 서비스 이용 시 그 현황을 식별하고 위험을 파악하여 적절한 보호대책을 마련하여야 합니다.
주요 확인사항
- 관리체계 범위 내 업무 위탁 및 외부 서비스 이용 현황을 식별하고 있는지 확인합니다.
- 위탁에 따른 법적 요구사항과 위험을 파악하여 보호대책을 수립했는지 점검합니다.
세부 설명
- IT 업무 위탁, 개인정보 처리 위탁, 클라우드 이용 등을 목록으로 작성하여 현행화해야 합니다.
- 금융권의 경우 전자금융거래법 및 신용정보법에 따른 외부주문 및 처리 위탁 법적 요건을 준수해야 합니다.
결함 사례
- 사례 1 : 변경된 위탁업체가 목록에 반영되지 않는 등 현행화 관리가 미흡한 경우.
- 사례 2 : 일부 시스템을 클라우드로 이전했으나 이에 대한 위험평가를 수행하지 않은 경우.