ISMS-P 인증 예산, 얼마나 잡아야 할까?
ISMS-P 인증을 처음 추진하거나 연간 예산을 편성해야 하는 상황에서 가장 먼저 막히는 지점이 바로 "얼마가 필요한가?"입니다. 인터넷에 나온 숫자들은 범위가 너무 넓고, 견적을 받기 전까지는 감도 잡히지 않습니다.
이 글에서는 ISMS-P 인증 비용을 취득 단계와 유지 단계로 구분하고, 각 항목별로 실제 시장에서 통용되는 수준의 금액대를 정리했습니다. 단, 조직 규모·범위·현황에 따라 편차가 크므로, 아래 수치는 예산 계획의 출발점으로 활용하시기 바랍니다.
1단계: 비용 구조부터 파악하기
ISMS-P 인증 비용은 크게 세 가지 버킷으로 나뉩니다.
- 외부 컨설팅비: 갭 분석, 정책·절차 수립, 인증심사 대비
- 인증심사비: 한국인터넷진흥원(KISA) 또는 인증기관에 납부하는 공식 심사 수수료
- 내부 운영비: 솔루션 도입, 인력, 교육, 문서화 도구 등
이 세 가지를 명확히 구분하지 않으면 예산 편성 시 항목이 뒤섞여 사후에 비용 초과가 발생합니다.
2단계: 취득 비용 항목별 금액대
외부 컨설팅비
규모와 인증 범위에 따라 차이가 크지만, 일반적인 시장 금액대는 아래와 같습니다.
| 조직 규모 | 컨설팅 기간 | 비용 범위 |
|---|---|---|
| 소규모 (임직원 100명 이하) | 3~4개월 | 2,000만 ~ 4,000만 원 |
| 중규모 (임직원 100~500명) | 4~6개월 | 4,000만 ~ 8,000만 원 |
| 대규모 (임직원 500명 이상) | 6~12개월 | 8,000만 원 이상 |
컨설팅사마다 산출 방식이 다릅니다. 투입 컨설턴트 수·일수 기반으로 견적을 내는 곳과 패키지 고정가로 제시하는 곳이 혼재하므로, 견적서에서 인력 투입 계획과 산출물 목록을 반드시 확인해야 합니다.
인증심사비
ISMS-P 심사 수수료는 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 별표에 따라 결정됩니다. 심사원 수·심사 일수를 기준으로 산정되며, 실제 청구 금액은 인증기관 확인이 필요합니다.
대략적인 기준:
- 심사원 1인당 하루 약 70만 ~ 100만 원 수준
- 초기 인증심사(최초심사)는 보통 2
4명의 심사원이 35일 투입 - 결과적으로 심사비만 500만 ~ 2,000만 원 범위에 형성되는 경우가 많음
내부 운영비 (비가시적 비용 주의)
컨설팅비와 심사비는 견적서에 드러나지만, 내부 운영비는 예산에서 누락되기 쉽습니다.
- 보안 솔루션 추가 도입: 취약점 스캐너, DLP, 접근제어 솔루션 등 갭 분석 결과에 따라 수천만 원 추가 가능
- 담당 인력 공수: 사내 보안팀원이 인증 준비에 투입하는 시간의 기회비용
- 임직원 교육비: ISMS-P 인증기준 2.2.4(보안 인식 및 교육)에 따른 연간 교육 이수 비용
- 문서 관리 도구: 정책·절차서, 증적 관리 체계 구축에 필요한 도구 또는 플랫폼
3단계: 유지 비용 — 취득보다 장기적으로 더 큰 항목
ISMS-P 인증은 취득 후 매년 사후심사, 3년마다 갱신심사가 의무입니다. 유지 비용을 처음부터 포함하지 않으면 2~3년 차에 예산 충격이 옵니다.
| 항목 | 주기 | 비용 범위 |
|---|---|---|
| 사후심사비 | 매년 | 300만 ~ 800만 원 |
| 갱신심사비 | 3년마다 | 최초심사와 유사 수준 |
| 컨설팅 유지·보수 | 연간 계약 시 | 1,000만 ~ 3,000만 원 |
| 내부 운영(교육·솔루션 유지) | 연간 | 조직별 상이 |
흔히 하는 실수 두 가지
실수 1. 컨설팅비만 예산으로 잡는 경우
심사비와 내부 솔루션 도입비를 별도 예산으로 편성하지 않으면, 인증 완료 직전에 추가 예산 승인을 받아야 하는 상황이 발생합니다. 예산 요청 단계에서 세 가지 버킷을 모두 포함해 상신하는 것이 안전합니다.
실수 2. 유지 비용을 첫 해 이후 예산에서 빠뜨리는 경우
인증 취득 연도에만 집중하다 보면 2년 차 사후심사 준비가 급해집니다. 최소 3년치 유지 비용을 중장기 IT 예산 계획에 반영해두는 것이 현실적입니다.
예산 편성 체크리스트
예산 계획서를 작성하기 전, 아래 항목을 확인하세요.
- 인증 범위(서비스·시스템·조직) 확정 여부
- 갭 분석 결과 또는 자체 현황 진단 완료 여부
- 컨설팅 계약 시 산출물 및 투입 인력 명시 여부
- 심사비 별도 편성 여부 (컨설팅 계약에 포함 여부 확인)
- 솔루션 도입 및 교육 예산 별도 항목 편성 여부
- 3년 이상 유지 비용 중장기 계획 포함 여부
ISMS-P 인증 준비에 드는 시간과 비용을 줄이고 싶다면, ComplixShield가 인증 준비 현황 진단부터 증적 관리까지 지원합니다. 예산 편성 전 현황 진단을 먼저 받아보시면 실제 필요한 항목을 좁힐 수 있습니다.