ISMS-P 인증을 위해 정보보안 담당자는 무엇을 체크해야 하나?

2023년 한국인터넷진흥원(KISA) 심사 결과 분석에 따르면, ISMS-P 심사를 받은 기업의 약 60% 이상이 1건 이상의 결함 통보를 받았습니다. 심사 자체를 통과하지 못해 인증이 보류된 사례도 적지 않습니다. "우리는 보안 시스템을 잘 갖추고 있다"는 자체 판단과 심사 결과 사이의 간극은 대부분 문서화 미비, 운영 증거 부족, 정책과 실행의 불일치에서 발생합니다.

인증기준 구조부터 다시 잡아야 합니다

ISMS-P 인증기준은 총 101개 항목, 328개 세부 점검항목으로 구성됩니다. 크게 세 영역으로 나뉩니다.

• 관리체계 수립 및 운영 (16개 항목): 경영진 참여, 위험관리, 내부감사 등
• 보호대책 요구사항 (64개 항목): 접근통제, 암호화, 외부자 보안 등
• 개인정보 처리 단계별 요구사항 (21개 항목): 수집·이용·제공·파기 전 주기

담당자들이 흔히 범하는 오류는 세 번째 영역을 개인정보팀 소관으로 분리해 버리는 것입니다. 심사는 영역을 구분하지 않습니다. CISO와 개인정보보호 책임자(CPO)가 동일한 증거 체계 위에서 함께 답해야 합니다.

결함이 집중되는 영역 세 곳

1. 위험관리 프로세스의 형식화 (ISMS-P 인증기준 1.2.2, 1.2.3)

위험평가 보고서를 매년 작성하지만, 평가 결과가 보호대책 선정으로 실제 연결되지 않는 경우가 많습니다. 심사원은 "이 위험이 어떤 통제로 수용 또는 감소되었는가"를 추적합니다. 위험수용 기준이 문서에만 존재하고 승인 이력이 없다면 결함 처리됩니다.

체크 포인트: 위험평가 결과 → 보호대책 도출 → 경영진 승인 → 이행 증적의 연결 고리가 단절 없이 존재하는가

2. 접근권한 관리의 운영 증거 부족 (ISMS-P 인증기준 2.5.1, 2.5.2)

정책 문서에 "최소 권한 원칙"을 명시해 놓고, 실제 시스템 계정 목록을 확인하면 퇴직자 계정이 살아 있거나 과도한 권한이 부여된 사례가 발견됩니다. 접근권한 검토를 분기 또는 반기 주기로 수행했다는 회의록, 검토 결과 보고서, 승인 이메일 중 하나라도 없으면 증거가 없는 것입니다.

체크 포인트: 최근 1년 이내 접근권한 정기 검토 이력이 검색 가능한 형태로 보존되어 있는가

3. 외부자 보안관리의 계약 공백 (ISMS-P 인증기준 2.3.2)

외부 개발사, 유지보수 업체와 맺은 계약서에 보안 서약 또는 개인정보 처리 위탁 조항이 누락된 경우가 빈번합니다. 개인정보 보호법 제26조에 따른 수탁자 관리 의무와 ISMS-P 요구사항이 동시에 충족되지 않으면 이중 결함으로 이어집니다.

체크 포인트: 전체 외주·위탁 업체 목록과 계약서의 보안 조항 포함 여부를 한 번에 대조할 수 있는가

심사 전 3개월, 담당자가 우선순위를 두어야 할 작업

문서와 운영의 정합성, 이것이 전부입니다

ISMS-P 심사는 보안 기술 수준을 평가하는 자리가 아닙니다. 정책이 존재하고, 그 정책대로 운영되고 있으며, 그 증거가 남아 있는가를 확인하는 과정입니다. 아무리 견고한 인프라를 갖추고 있어도 운영 증거가 없으면 심사원에게는 "없는 것"과 동일합니다.

101개 항목을 처음부터 전수 검토하기보다는, 전년도 내부심사 결함 항목과 동종 업계 결함 패턴을 기준으로 우선순위를 설정하는 것이 효율적입니다. 그 위에 증거 수집과 문서 정비를 얹으면 심사 당일의 리스크를 상당 부분 낮출 수 있습니다.

101개 인증기준에 대한 증거 현황을 체계적으로 관리하고, 결함 가능성이 높은 항목을 사전에 식별하고 싶다면 ComplixShield의 ISMS-P 대응 기능을 검토해 보시기 바랍니다.