블로그로 돌아가기
ISMS-P컴플라이언스보안인증정보보호

ISMS-P 증적자료 완벽 가이드: 인증 심사를 통과하는 문서 관리법

ISMS-P 인증 심사에서 자주 지적받는 증적자료 실수 5가지와 101개 기준별 핵심 체크리스트, 체계적인 문서 관리법을 실무 담당자 관점에서 정리했습니다.

C
ComplixShield 편집팀
··읽는 시간 1

ISMS-P 인증을 준비하는 담당자라면 누구나 한 번쯤 이런 상황을 겪습니다. 심사 당일, 심사원이 특정 통제 항목의 이행 증거를 요청했는데 해당 증적자료가 어디 있는지 찾지 못하거나, 있더라도 형식이 맞지 않아 당황하게 되는 경우입니다. ISMS-P 인증 준비에서 증적자료 관리는 실제 보안 수준만큼이나 중요합니다. 이 글에서는 ISMS-P 인증 심사를 실제로 통과한 경험을 바탕으로, 증적자료를 체계적으로 준비하는 실무 방법을 안내합니다.

ISMS-P 증적자료란 무엇인가

증적자료(Evidence)란 ISMS-P의 101개 인증 기준 각각에 대해 실제로 이행하고 있음을 입증하는 문서와 기록입니다. 한국인터넷진흥원(KISA)의 ISMS-P 인증기준 안내서에 따르면, 증적자료는 크게 세 가지로 분류됩니다.

  • 정책·절차 문서: 정보보호 정책서, 개인정보 처리방침, 각종 지침 및 절차서
  • 이행 기록: 회의록, 교육 이수 확인서, 보안 점검 결과, 취약점 진단 보고서
  • 시스템 로그 및 설정 화면: 접근통제 로그, 백업 이력, 암호화 설정 캡처 화면

심사원은 정책 문서만으로는 인증을 부여하지 않습니다. "실제로 운영되고 있다"는 이행 기록이 반드시 함께 있어야 합니다.

가장 많이 지적받는 증적자료 실수 5가지

현장에서 반복적으로 발생하는 증적자료 관련 결함 사항들입니다. 사전에 체크해두면 심사 당일 불필요한 지적을 피할 수 있습니다.

1. 날짜가 없는 이행 기록 — 교육 이수 확인서나 보안 점검 결과에 날짜가 누락된 경우입니다. 모든 이행 기록에는 작성일과 작성자가 명시되어야 합니다.

2. 정책 문서와 실제 운영의 불일치 — 정책서에는 "분기 1회 취약점 진단"이라고 명시되어 있지만 실제 진단 보고서는 1년에 1건만 있는 경우입니다.

3. 개인정보 처리 현황의 최신화 미흡 — 개인정보파일 등록 현황이 실제 처리하는 개인정보 항목과 다른 경우입니다. 서비스 변경 시 즉시 업데이트해야 합니다.

4. 접근권한 관리 로그 미보관 — 시스템 접근 권한 부여·변경·삭제 이력을 로그로 보관하지 않는 경우입니다. 최소 1년 이상 보관이 권고됩니다.

5. 위탁업체 관리 증적 부재 — 개인정보 처리 위탁 계약서는 있지만 수탁자 교육 실시 및 점검 이행 기록이 없는 경우입니다.

인증 영역별 핵심 증적자료 체크리스트

ISMS-P는 크게 관리체계 수립·운영(16개), 보호대책 요구사항(64개), 개인정보 처리단계별 요구사항(21개) 총 101개 기준으로 구성됩니다.

관리체계 영역 (최우선 준비)

  • 경영진 승인이 포함된 정보보호 정책서 (최근 1년 내 승인 이력)
  • 정보보호 조직도 및 역할·책임 정의서
  • 연간 정보보호 계획서 및 이행 결과 보고서
  • 내부 감사 계획 및 감사 결과 보고서 (연 1회 이상)
  • 경영진 보고 회의록

보호대책 영역 (기술적 통제 중심)

  • 자산 목록 및 자산 분류 기준
  • 접근권한 신청·승인·변경·회수 이력 (개인별)
  • 취약점 진단 보고서 및 조치 결과 (연 1회 이상)
  • 백업 정책 및 백업 이행 로그
  • 보안 교육 계획 및 이수 확인서 (전직원, 연 1회 이상)

개인정보 보호 영역

  • 개인정보파일 등록 현황 (행안부 개인정보 보호 포털 등록 화면)
  • 개인정보 처리방침 (홈페이지 게시 화면 캡처)
  • 정보주체 동의 획득 방법 및 양식
  • 개인정보 위탁 계약서 및 수탁자 관리 점검 이력
  • 개인정보 파기 대장

증적자료 관리 체계 구축 방법

증적자료를 매년 반복해서 새로 만드는 것은 매우 비효율적입니다. 처음 한 번 체계를 잡아두면 이후 갱신이 훨씬 수월해집니다.

폴더 구조 표준화를 먼저 하세요. ISMS-P 101개 기준 번호에 맞춰 폴더를 구성하면 심사원이 요청하는 즉시 해당 파일을 찾을 수 있습니다. 예: 2.1 정책의 유지관리 > 2.1.1_정보보호정책서_v3.0_20250101.pdf

문서 버전 관리도 중요합니다. 정책 문서는 개정 이력을 문서 내에 반드시 포함시키고, 파일명에 버전과 날짜를 기입하는 습관을 들이세요.

주기적 이행 기록 자동화를 고려하세요. 접근 로그, 백업 이력 등 시스템에서 자동으로 생성되는 기록은 월별로 캡처하거나 추출해 보관하는 루틴을 만들어두면 심사 직전에 몰아서 준비하는 상황을 피할 수 있습니다.

ComplixShield로 증적자료 관리 자동화하기

ISMS-P 101개 기준에 대한 증적자료를 수작업으로 관리하는 것은 담당자 1~2명 기준으로 연간 수백 시간이 소요되는 작업입니다. ComplixShield는 ISMS-P 인증 기준별로 증적자료 현황을 실시간으로 추적하고, 갱신이 필요한 항목을 자동으로 알려주는 한국 컴플라이언스 자동화 솔루션입니다.

마치며

ISMS-P 증적자료 준비의 핵심은 "심사 직전이 아니라 평소에" 관리하는 것입니다. 정책과 실제 운영이 일치하는지 분기마다 점검하고, 이행 기록을 날짜와 함께 체계적으로 보관하는 루틴을 만들어두세요.