SecuFiby TechFi
🛡️ 개인정보보호법 제26조 · ISMS-P 2.3.3

수탁사(위수탁)
보안 점검 컨설팅

개인정보를 처리하는 수탁사를 제대로 관리하지 않으면
개인정보보호법 위반으로 과태료·과징금 대상이 됩니다.
서면점검·현장점검·보고서·이행 확인까지 전 과정을 지원합니다.

제26조

개인정보보호법 수탁자 관리 의무

연 1회+

ISMS-P 점검 권고 주기

3~5일

서면 점검 완료 기간

Legal Basis

수탁사 점검, 선택이 아닌 의무입니다

의무를 이행하지 않으면 과태료 최대 3,000만원, ISMS-P 인증 심사 불적합

⚖️

개인정보보호법 제26조

수탁자 관리·감독 의무

개인정보 처리를 위탁한 위탁사는 수탁자가 개인정보를 안전하게 처리하는지 정기적으로 교육·감독하여야 합니다.

🛡️

ISMS-P 2.3.3

외부자 보안 요구사항 관리

개인정보를 처리하는 외부 서비스 공급자에 대한 보안 요구사항을 정의하고 계약 체결, 이행 여부를 점검·관리하여야 합니다.

📋

개인정보보호법 제28조

개인정보의 안전성 확보조치

수탁자가 위탁받은 업무 범위에서 개인정보를 안전하게 관리하도록 기술적·관리적·물리적 보호조치 이행 여부를 확인하여야 합니다.

🔍

개인정보 영향평가 기준

위탁 현황 공개 의무

개인정보 처리방침에 수탁자 명칭·위탁 업무 내용을 공개하고, 위탁 계약서에 보안 조항을 포함해야 합니다.

Service Scope

수탁사 점검 서비스 범위

현황 파악부터 이행 확인서 발급까지 — 6개 항목 전체 지원

수탁사 현황 파악 및 점검 대상 선정

  • 개인정보 처리 위탁 계약 현황 전수 조사
  • 처리하는 개인정보 민감도·규모별 위험 등급 분류
  • 점검 방식(서면/현장) 및 우선순위 결정

서면 점검 (체크리스트 배포·분석)

  • ISMS-P·개인정보보호법 기준 맞춤 점검 체크리스트 설계
  • 수탁사 자체 점검 체크리스트 배포 및 회수
  • 제출 증빙자료(접근통제 로그, 암호화 정책 등) 검토·분석

현장 점검 (방문·원격 인터뷰)

  • 보안 담당자 인터뷰 및 시스템 환경 직접 확인
  • SecuFi 웹 취약점 자동 스캔 연계 (수탁사 웹 서비스)
  • 물리적 보안·접근통제·암호화·로깅 현장 점검

점검 결과 보고서 작성

  • 수탁사별 보안 점검 결과 종합 보고서 작성
  • 미흡·개선 사항 목록 및 조치 권고안 제시
  • ISMS-P 심사 증빙용 점검 결과 요약표 포함

개선 조치 이행 확인 및 사후관리

  • 미흡 사항 조치 계획서 접수 및 검토
  • 이행 완료 증빙 확인 및 사후점검
  • 이행 확인서 발급 (ISMS-P 심사 제출용)

위탁 계약 보안 조항 검토

  • 개인정보보호법 제26조 필수 계약 조항 누락 여부 점검
  • 재위탁 제한·수탁자 변경 통지 조항 포함 여부 확인
  • 보안사고 발생 시 통지·배상 조항 적정성 검토

🔍 수탁사 웹 서비스 — SecuFi 자동 취약점 점검 연계

수탁사 URL 입력 → 30초 → Nuclei 기반 취약점 점검 리포트 자동 발급. 현장 점검 시 SecuFi 스캔 결과를 증빙으로 활용합니다.

무료 스캔 먼저 해보기 →

Process

수탁사 점검 진행 프로세스

상담 신청부터 이행 확인서 발급까지 — 6단계

STEP 1
📞

상담 신청

위탁 현황 간단 설명 → 당일 회신

STEP 2
📄

수탁사 목록 파악

위탁 계약 현황·개인정보 처리 내역 제출

STEP 3
🗂️

점검 계획 수립

위험 등급별 수탁사 분류·점검 방식 확정 (3 영업일)

STEP 4
🔍

서면·현장 점검

체크리스트 배포·회수 또는 방문/원격 점검 수행

STEP 5
📋

보고서 작성

수탁사별 점검 결과·미흡 사항·권고안 보고서 전달

STEP 6

이행 확인서 발급

개선 조치 확인 → 이행 확인서 발급 (ISMS-P 심사 증빙용)

자주 묻는 질문

수탁사 점검은 어떤 기업이 해야 하나요?

개인정보를 외부에 위탁하는 모든 기업(위탁사)은 개인정보보호법 제26조에 따라 수탁자를 관리·감독할 의무가 있습니다. ISMS-P 인증 기업은 2.3.3 통제항목에 따른 연 1회 이상 점검이 필수입니다.

수탁사가 많은 경우에도 가능한가요?

네. 수탁사 수·위험 등급에 따라 점검 방식을 분류(중요 수탁사 현장점검, 일반 수탁사 서면점검)하여 효율적으로 진행합니다. 수탁사 10~30개 규모의 중견·중소기업 점검 경험이 있습니다.

서면점검과 현장점검의 차이는 무엇인가요?

서면점검은 체크리스트·증빙자료를 수탁사로부터 제출받아 검토하는 방식이고, 현장점검은 전문가가 직접 방문(또는 원격)하여 인터뷰·시스템 확인을 수행하는 방식입니다. 개인정보 규모·민감도에 따라 방식을 결정합니다.

ISMS-P 심사 증빙으로 활용할 수 있나요?

네. 수탁사별 점검 결과 보고서, 이행 확인서를 ISMS-P 2.3.3 통제항목 심사 증빙으로 바로 활용할 수 있도록 작성합니다.

🛡️

수탁사 관리 의무, 지금 바로 이행하세요

서면·현장 점검부터 보고서·이행 확인서까지 원스톱.
ISMS-P 심사 증빙 즉시 활용 가능. 당일 회신.