초록 ▼

4. 연구 내용 및 결과
본 연구에서는 IT 외주용역의 현황 및 사고사례 분석, 기존의 『IT 외주인력 보안통제 안내서』보고서 분석을 통하여, 기업이 IT 외주용역 업무 수행 시 준수해야 하는 보안강화 지침을 개발 및 보완하였으며, 관련 법령을 검토하여 법·제도적 개선방향과 구체적인 지침을 제시하였다. 본 연구 결과를 살펴보면 다음과 같다.
먼저 제 2장 “IT 외주용역의 분류 및 특성 정의”에서는 기업의 정보시스템 운영 방식을 아웃소싱, 인소싱으로 유형을 분류하고 각각의 특성을 정의하였다. 본 연구의 목적에 맞는 아웃소

4. 연구 내용 및 결과
본 연구에서는 IT 외주용역의 현황 및 사고사례 분석, 기존의 『IT 외주인력 보안통제 안내서』보고서 분석을 통하여, 기업이 IT 외주용역 업무 수행 시 준수해야 하는 보안강화 지침을 개발 및 보완하였으며, 관련 법령을 검토하여 법·제도적 개선방향과 구체적인 지침을 제시하였다. 본 연구 결과를 살펴보면 다음과 같다.
먼저 제 2장 “IT 외주용역의 분류 및 특성 정의”에서는 기업의 정보시스템 운영 방식을 아웃소싱, 인소싱으로 유형을 분류하고 각각의 특성을 정의하였다. 본 연구의 목적에 맞는 아웃소싱 현황을 체계적으로 분석하여 IT 외주용역 유형별 특성을 정의하였다. 제 3장 “IT 외주용역 유형별 사고사례 및 보안 위협 분석” 에서는 IT 외주용역별 사고 사례 조사하여 시스템 접근권한에 따라 분류하였으며, 각 사례에 대한 보안 위협을 분석하였다. 제 4장 “ IT 외주용역 유형별 보안강화 방안 연구”에서는 담당자 관점의 단계별 보안요구 사항 및 대응지침을 제시하였다. 그 단계는 입찰 및 계약 단계, 개발 및 구축단계, 사업 완료 단계, 유지 보수 단계 등으로 이루어지며, 각 단계에 따라 요구되는 보안관리와 보안 대책을 제시하였다. 제 5장 “IT 외주인력 보안통제 강화 대책 연구”에서는 2011년 12월 발간된『IT 외주인력 보안통제 안내서』지침을 살펴보고, 변화한 정보통신 환경에 대응하기 위한 보안통제 강화 대책의 시사점을 제시하였다. 2, 3, 4장의 보안사고 사례 연구와 본 연구의 세미나 개최 결과 등을 종합하여, 2014년 현재 시점의 물리적, 인적, 관리적, 기술적 측면에서 수정, 보완되어야 할 부분을 제시하였다. 또한 본 장에서는 산업별로 특화된 보안 통제 강화안의 필요성을 검토하고 그 대안을 제시하였는데, 관련 산업은 전자상거래 기반의 유통 산업, 의료 산업, 국가 시설·정보 관련 산업으로 선정하였다. 제 6장 “IT 외주인력 보안 강화 법제화 방안 연구”에서는 IT 외주와 관련된 규제법령 현황, IT 외주인력에 대한 관리·감독에 관한 법원의 기준을 분석함으로써 현재의 규율방식이 가지고 있는 문제점 내지 한계를 제시하고, IT 외주인력에 대한 관리감독 관련 기준 법제화 방안을 검토하였다.
현재의 규율방식이 가지고 있는 문제점 내지 한계로는 IT 외주인력에 대한 관리·감독과 관련한 일반적인 규정이 부재하며, 위탁자의 IT 외주인력에 대한 관리·감독과 관련한 구체적인 기준 부재한 것으로 도출되었다. 이에 따라 IT 외주인력에 대한 관리·감독 관련 기준의 법제화 필요성이 강조되었으며, 법제화 방안이 논의되었다.
본 연구결과는 논의를 종합하여, “정보시스템 관련 업무 위탁을 위한 지침”과 “보안기준 위반에 대한 처리기준”을 별첨으로 제시하였다.

Abstract ▼

4. Research Results
In this study, we have analysed IT outsourcing business with accidents to develop security guidelines on IT outsourcing and suggested recommendations of improvements for relating legislation.
Firstly, we have defined corporate's types of information system operation and cat

4. Research Results
In this study, we have analysed IT outsourcing business with accidents to develop security guidelines on IT outsourcing and suggested recommendations of improvements for relating legislation.
Firstly, we have defined corporate's types of information system operation and categorized security threats by analyzing past accidents.
Secondly, we defined precess as bidding and contract - develop and installation of the system - finalize the project - maintenance and customer service. For each steps, we have suggested management of authority requests and its counter indicator as in manager perspective.
Third, we have evaluated the "IT outsourcing security regulation guideline issued by KISA in December 2011" and updated guideline in order to measure devised to deal with dramatically changing ICT environment. Thus, issues on human resource, technology trend and management perspectives are renewed in 2014 guidelines.
Lastly, we have evaluated government regulation and law as well as inspections of outsourcing human resource administration under the courts criterion. Limitation of the present regulation method is that there is no appropriate regulation for managing IT outsourcing HR as well as Client's guidelines for the related issues.

목차 Contents

• 표지 ... 1
• 제 출 문 ... 3
• 목 차 ... 4
• 표 목 차 ... 7
• 그 림 목 차 ... 9
• 요 약 문 ... 10
• SUMMARY ... 14
• CONTENTS ... 17
• 제1장 서 론 ... 18
• 제2장 IT 외주용역의 분류 및 특성 정의 ... 21
• 제1절 IT 외주용역의 필요성 및 운영 방식 분류 ... 21
• 1. IT 외주용역 필요성 ... 21
• 2. 정보시스템 운영 방식 분류 ... 23
• 제2절 정보시스템 운영 방식 분석 ... 25
• 1. 아웃소싱 ... 25
• 2. 인소싱 ... 30
• 제3절 IT 외주용역 유형별 특성 정의 ... 34
• 제3장 IT 외주용역 유형별 사고사례 및 보안 위협 분석 ... 36
• 제1절 IT 유형별 사고 사례 및 보안 위협 분석 ... 36
• 1. 온·오프라인 시스템 접근권한에 의한 사고 사례 ... 36
• 2. 온라인 시스템 접근권한에 의한 사고 사례 ... 43
• 3. 오프라인 시스템 접근권한에 의한 사고 사례 ... 48
• 4. 영역별 보안위협 분석 ... 49
• 제4장 IT 외주용역 유형별 보안강화 방안 연구 ... 54
• 제1절 담당자 관점의 단계별 보안요구사항 및 대응지침 ... 54
• 1. 입찰 및 계약 단계 ... 54
• 2. 개발 및 구축단계 ... 60
• 3. 사업 완료 단계 ... 66
• 4. 유지 보수 단계 ... 68
• 5. 보안위약금 부과 등 처벌기준 강화 ... 69
• 제5장 IT 외주인력 보안통제 강화 대책 연구 ... 73
• 제1절 물리적 측면의 인력 보안통제 강화 대책 ... 73
• 1. 물리적 보호 구역의 설정 ... 74
• 2. 물리적 접근 통제 ... 74
• 3. 출입이력 감시와 감지 ... 75
• 4. 정보화기기 반·출입 통제 ... 76
• 제2절 인적 측면의 인력 보안통제 강화 대책 ... 78
• 1. 내부 인력 중 정보보안 담당자 운영 ... 78
• 2. 외부인력 신원 확인 및 보안의식 강화 마련 ... 78
• 3. 현장 동행 ... 79
• 제3절 관리적 측면의 인력 보안통제 강화 대책 ... 80
• 1. 작업내역 관리 ... 80
• 2. 시스템 접근권한 관리 ... 82
• 3. 정보 시스템 관리 ... 83
• 4. 조직체계 정비 및 검사 ... 84
• 제4절 기술적 측면의 인력 보안통제 강화 대책 ... 86
• 1. 접근관리 ... 87
• 2. 출력물 유출관리 ... 87
• 3. 네트워크 제한 ... 88
• 4. 반·출입 매체관리 ... 88
• 제5절 산업별 IT 외주용역인력 보안통제 강화안 분석 ... 90
• 1. 전자상거래 기반의 유통 산업 ... 90
• 2. 의료 산업 ... 93
• 3. 국가 시설·정보 관련 산업 ... 97
• 제6장 IT 외주인력 보안 강화 법제화 방안 연구 ... 100
• 제1절 IT 외주와 관련한 규제법령 현황 ... 100
• 1. 정보통신망법 ... 101
• 2. 개인정보보호법 ... 103
• 3. 신용정보법 ... 105
• 4. 전자금융거래법 ... 107
• 5. 금융회사 정보처리 위탁규정 ... 109
• 6. 내부통제 모범규준 ... 112
• 7. 정보기술 이행지침 ... 115
• 제2절 IT 외주인력에 대한 관리·감독에 관한 법원의 기준 ... 117
• 1. 위탁자의 수탁자에 대한 관리·감독 의무 ... 117
• 2. 관리·감독 의무이행에 대한 판단기준 ... 120
• 제3절 현재의 규율방식이 가지고 있는 문제점 내지 한계 ... 125
• 1. IT 외주인력에 대한 관리·감독과 관련한 일반적인 규정 부재 ... 125
• 2. 위탁자의 IT 외주인력에 대한 관리·감독과 관련한 구체적인 기준 부재 ... 125
• 제4절 IT 외주인력에 대한 관리·감독 관련 기준 법제화 방안 검토 ... 127
• 1. IT 외주인력에 대한 관리·감독 관련 기준의 법제화 필요성 ... 127
• 2. 법제화 방안 ... 127
• 제7장 결 론 ... 130
• 참고문헌 ... 136
• [별첨] 정보시스템 관련 업무 위탁을 위한 지침 ... 141
• [별지] 보안기준 위반에 대한 처리기준 ... 153
• 끝페이지 ... 157