개인정보 수탁사 실태점검
Third-party Risk Management
개인정보 처리 업무 위탁 시 발생할 수 있는 법적 리스크를 관리하기 위해 수탁사의 개인정보보호 관리 실태를 정기적으로 점검하고 개선합니다.
수탁사 점검의 중요성
1. 법적 의무 준수 (Compliance)
문서화된 계약: 표준 개인정보처리 위탁 계약서 작성 및 체결 필수
관리·감독 의무: 수탁자가 개인정보를 안전하게 처리하는지 정기적 점검
교육 실시: 수탁사 임직원 대상 개인정보보호 교육 연 1회 이상 실시
재위탁 제한: 위탁자의 동의 없는 재위탁 금지 및 현황 파악
2. 리스크 기반 관리 체계 (Risk-Based)
차등 관리: 위탁 업무의 중요도, 민감정보 취급 여부에 따른 관리 수준 차별화
정기/수시 점검: 체크리스트 기반 자가점검(Self-Check) 및 현장 실사 병행
증빙 확보: 단순 점검표 작성을 넘어, 실제 이행 여부를 증명할 수 있는 증적(Evidence) 관리
COPIES 주요기능
COPIES(중앙 관리 플랫폼)에서 제공하는 기능을 통해 다양한 수탁사 점검을 쉽고 빠르게 수행할 수 있으며,
수탁사의 미흡한 부분을 지속적으로 관리하여 안전한 보안환경을 구성할 수 있도록 지원합니다.
점검수행 일정 수립 및 수행원 확보
- 점검 대상 수탁사 및 점검 일정 관리
- 점검 일정에 따른 점검 수행원 인력풀 확보
개인정보 위·수탁사 상생플랫폼
이행조치와 지속적 관심
- 점검 결과 미흡사항에 대한 이행조치 계획 수립
- 조치계획에 따른 이행여부 확인 및 가이드 제공
수탁사 관리
- 지속적 관리를 통한 보안수준 향상 실현
- 법적 준거성 확보 및 사고예방
점검 프로세스
Preparation
점검 준비
- 수탁사 정보 및 개인정보 처리 업무 현황 사전 확인
- 법령/내부 기준 반영 체크리스트 구성
- 점검 대상 및 범위 확정
Project
프로젝트 생성
- 플랫폼 내 점검 프로젝트 생성
- 수탁사 계정 및 권한 설정
Execution
점검 수행
- 수탁사 대상 플랫폼 이용 안내
- 결과 작성 및 증빙 업로드
- 검토 및 필요 시 현장 실사 수행
- 실제 업무 절차 및 현황 확인
Action
이행조치
- 점검 결과 기반 미흡사항 도출
- 개선 조치 방향 및 가이드 제공
- 조치 결과 확인 및 이행 관리
점검시스템(COPIES)을 통해 점검 수행, 증빙 관리, 이행조치 확인까지 전 과정의 체계적인 관리 지원
점검 구분
관리적 보호조치
- 내부관리계획 수립 및 이행
- 개인정보 취급자 권한 관리
- 정기 보안 교육 및 서약서 징구
- 수탁사 자체 보안점검 이행
기술적 보호조치
- 시스템 접근통제 및 2차 인증
- 중요 데이터의 안전한 암호화
- 접속기록(로그) 보관 및 위변조 방지
- 악성코드 예방 및 최신 패치 적용
물리적 보호조치
- 통제구역 지정 및 출입 통제
- 인쇄물 및 보조저장매체(USB) 보안
- 업무 환경 보안 (클린데스크)
- 안전한 물리적 파기 절차
운영/컴플라이언스
- 목적 외 이용 및 제3자 제공 금지
- 계약 종료 시 지체 없는 파기
- 재위탁 시 사전 승인 및 관리·감독
- 침해사고 대응 체계 및 통지 절차
주요 기능
점검 결과 관리
연 단위의 수탁사를 점검을 통해 지속적으로 관리합니다.
온라인/현장 점검
온라인/현장 점검 등 점검방식을 선택할 수 있습니다.
점검지 관리
법률 기반으로 생성된 점검지를 생성할 수 있습니다.
대시보드
점검 종료 후 차트, 그래프 등을 통해 점검결과를 확인할 수 있습니다.
서식 제공
미흡한 항목의 문서 서식을 제공합니다. (예시: 내부관리계획)
교육
온라인 교육을 제공하고 수료증을 발급합니다.
이행 관리
조치 계획을 수립하고 지속적인 관리를 통해 보안성을 향상시킵니다.
현황 파악
평균 점수, 수탁사 수준 정도를 확인합니다.