수탁업체가 보안인증을 받았다면 위탁업체의 관리감독 여부나 책임을 대체할 수 있나요? 이와 관련된 법적 조항이나 근거가 있다면 설명 부탁드립니다.
　
[보안뉴스 원병철 기자] 수탁사가 ISMS 인증이나 PIMS 인증을 받았다고 해서 위탁사가 수탁사에 대해 점검 등 관리감독을 하지 않아도 된다는 법적 조항은 없습니다. 다만, 개인적인 생각으로는 공인된 보안인증(ISMS, PIMS 등)을 수탁업체에서 획득하고, 주기적으로 업데이트 등 관리가 되는 경우에 한해 위탁사의 관리감독을 대체할 수 있도록 하는 것도 좋은 방안으로 생각됩니다.

또는 위탁업체는 수탁업체가 보안인증을 받은 경우 해당 보안인증 대상 및 내용 등을 검토하여 대체 가능한 항목은 대체하되, 이외 항목에 대해서는 관리감독을 하는 것도 좋은 방안으로 판단됩니다.
[문성태 한국정보보호심사원협회 이사
(munnt72@hotmail.com)]
　
수탁업체가 보안인증을 받았다고 하더라도, 법적으로 계약이 진행 중인 동안 수탁업체는 위탁업체의 직원으로 간주하게 됩니다. 그렇기 때문에 보안인증을 받았더라도 관리감독 여부나 책임은 위탁업체에 있게 됩니다.
[한국산업기술보호협회 중소기업기술지킴센터]
　
인증은 하나의 참고자료가 될 수 있으나, 위탁업체의 관리감독 여부나 책임을 완전하게 대체하기에는 위험이 따릅니다. 인증 받은 시기와 위수탁 계약이 이루어진 시점의 차이도 발생할 수 있기 때문에 위탁업체의 관리감독, 지속적인 교육 등은 반드시 필요하다고 판단됩니다.
[유진호 상명대학교 교수(jyhyoo@smu.ac.kr)]
　
대체할 수 없습니다. 개인정보보호법 제26조 제4항에 의거해 위탁업체는 수탁업체에 대한 교육 및 관리/감독의 책임이 있으므로, 정기적인 수탁업체 관리를 통해 개인정보를 안전하게 처리해야 합니다.
※ 해당 법령 : 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
[김세정 이지서티 선임연구원(ksj@easyceri.com)/
김가영 이지서티 전임연구원(gykim@easycerti.com)]

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>