ISMS-P 인증 예산, 얼마나 잡아야 할까?

ISMS-P 인증을 처음 추진하거나 연간 예산을 편성해야 하는 상황에서 가장 먼저 막히는 지점이 바로 "얼마가 필요한가?"입니다. 인터넷에 나온 숫자들은 범위가 너무 넓고, 견적을 받기 전까지는 감도 잡히지 않습니다.

이 글에서는 ISMS-P 인증 비용을 취득 단계와 유지 단계로 구분하고, 각 항목별로 실제 시장에서 통용되는 수준의 금액대를 정리했습니다. 단, 조직 규모·범위·현황에 따라 편차가 크므로, 아래 수치는 예산 계획의 출발점으로 활용하시기 바랍니다.

1단계: 비용 구조부터 파악하기

ISMS-P 인증 비용은 크게 세 가지 버킷으로 나뉩니다.

• 외부 컨설팅비: 갭 분석, 정책·절차 수립, 인증심사 대비
• 인증심사비: 한국인터넷진흥원(KISA) 또는 인증기관에 납부하는 공식 심사 수수료
• 내부 운영비: 솔루션 도입, 인력, 교육, 문서화 도구 등

이 세 가지를 명확히 구분하지 않으면 예산 편성 시 항목이 뒤섞여 사후에 비용 초과가 발생합니다.

2단계: 취득 비용 항목별 금액대

외부 컨설팅비

규모와 인증 범위에 따라 차이가 크지만, 일반적인 시장 금액대는 아래와 같습니다.

컨설팅사마다 산출 방식이 다릅니다. 투입 컨설턴트 수·일수 기반으로 견적을 내는 곳과 패키지 고정가로 제시하는 곳이 혼재하므로, 견적서에서 인력 투입 계획과 산출물 목록을 반드시 확인해야 합니다.

인증심사비

ISMS-P 심사 수수료는 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 별표에 따라 결정됩니다. 심사원 수·심사 일수를 기준으로 산정되며, 실제 청구 금액은 인증기관 확인이 필요합니다.

대략적인 기준:

• 심사원 1인당 하루 약 70만 ~ 100만 원 수준
• 초기 인증심사(최초심사)는 보통 24명의 심사원이 35일 투입
• 결과적으로 심사비만 500만 ~ 2,000만 원 범위에 형성되는 경우가 많음

내부 운영비 (비가시적 비용 주의)

컨설팅비와 심사비는 견적서에 드러나지만, 내부 운영비는 예산에서 누락되기 쉽습니다.

• 보안 솔루션 추가 도입: 취약점 스캐너, DLP, 접근제어 솔루션 등 갭 분석 결과에 따라 수천만 원 추가 가능
• 담당 인력 공수: 사내 보안팀원이 인증 준비에 투입하는 시간의 기회비용
• 임직원 교육비: ISMS-P 인증기준 2.2.4(보안 인식 및 교육)에 따른 연간 교육 이수 비용
• 문서 관리 도구: 정책·절차서, 증적 관리 체계 구축에 필요한 도구 또는 플랫폼

3단계: 유지 비용 — 취득보다 장기적으로 더 큰 항목

ISMS-P 인증은 취득 후 매년 사후심사, 3년마다 갱신심사가 의무입니다. 유지 비용을 처음부터 포함하지 않으면 2~3년 차에 예산 충격이 옵니다.

흔히 하는 실수 두 가지

실수 1. 컨설팅비만 예산으로 잡는 경우

심사비와 내부 솔루션 도입비를 별도 예산으로 편성하지 않으면, 인증 완료 직전에 추가 예산 승인을 받아야 하는 상황이 발생합니다. 예산 요청 단계에서 세 가지 버킷을 모두 포함해 상신하는 것이 안전합니다.

실수 2. 유지 비용을 첫 해 이후 예산에서 빠뜨리는 경우

인증 취득 연도에만 집중하다 보면 2년 차 사후심사 준비가 급해집니다. 최소 3년치 유지 비용을 중장기 IT 예산 계획에 반영해두는 것이 현실적입니다.

예산 편성 체크리스트

예산 계획서를 작성하기 전, 아래 항목을 확인하세요.

• 인증 범위(서비스·시스템·조직) 확정 여부
• 갭 분석 결과 또는 자체 현황 진단 완료 여부
• 컨설팅 계약 시 산출물 및 투입 인력 명시 여부
• 심사비 별도 편성 여부 (컨설팅 계약에 포함 여부 확인)
• 솔루션 도입 및 교육 예산 별도 항목 편성 여부
• 3년 이상 유지 비용 중장기 계획 포함 여부

ISMS-P 인증 준비에 드는 시간과 비용을 줄이고 싶다면, ComplixShield가 인증 준비 현황 진단부터 증적 관리까지 지원합니다. 예산 편성 전 현황 진단을 먼저 받아보시면 실제 필요한 항목을 좁힐 수 있습니다.