블로그로 돌아가기
ISMS-P 인증ISMS-P 준비ISMS-P 체크리스트정보보호 인증ISMS-P 로드맵

ISMS-P 인증 준비 체크리스트: 단계별 준비 로드맵

ISMS-P 인증 101개 기준, 328개 세부 점검항목을 기반으로 컴플라이언스 팀이 실무에서 바로 활용할 수 있는 단계별 준비 로드맵과 체크리스트를 제공합니다.

C
ComplixShield 편집팀
··읽는 시간 1

ISMS-P 인증 준비 체크리스트: 단계별 준비 로드맵

인증심사 D-6개월, 팀 내 누군가는 지금 이 질문을 하고 있을 겁니다. "우리가 지금 뭘 놓치고 있는 거지?" ISMS-P 인증 기준은 101개 항목, 세부 점검항목은 328개입니다. 어디서부터 손을 대야 할지 모르면 준비 기간 내내 우선순위 없이 문서만 쌓이다 심사 직전에 무너집니다. 아래 로드맵은 그 상황을 막기 위한 실무 순서입니다.

1단계: 인증 범위 확정 (D-6개월 ~ D-5개월)

가장 먼저 해야 할 일은 '무엇을 인증받을 것인가'를 확정하는 것입니다. 인증 범위가 흔들리면 이후 모든 작업이 재작업으로 이어집니다.

이 단계의 핵심 산출물

  • 정보서비스 범위 정의서 (서비스명, 처리 개인정보 항목, 관련 시스템 목록)
  • 조직도 및 인증 범위 내 인력 현황
  • 개인정보 처리 흐름도 (개인정보 보호법 제30조 기준 처리방침과 연계)

흔히 하는 실수: 서비스 범위를 너무 넓게 잡아 준비 부담을 스스로 키우는 경우입니다. 심사기관과 사전 협의 없이 범위를 확정하지 마세요. 한국인터넷진흥원(KISA)의 인증 범위 가이드라인을 기준으로 협의 일정을 먼저 잡으십시오.

2단계: 현황 진단 및 갭 분석 (D-5개월 ~ D-4개월)

범위가 확정되면 현재 상태와 인증 기준 사이의 간격을 수치로 파악해야 합니다.

실행 방법

  • ISMS-P 인증기준 328개 세부 점검항목 전체를 스프레드시트로 내려받아 '이행', '부분 이행', '미이행'으로 분류합니다.
  • 분류 결과를 관리체계(1영역), 보호대책(2영역), 개인정보 처리단계별 보호(3영역)로 구분해 영역별 이행률을 산출합니다.
  • 미이행 항목은 조치 난이도(정책 수립, 기술 적용, 인프라 변경)와 소요 기간을 함께 기재합니다.

이 단계의 핵심 산출물

  • 갭 분석 보고서 (항목별 이행 현황 + 조치 계획)
  • 위험평가 계획서 (ISMS-P 인증기준 1.2.1 요건 충족)

3단계: 정책·절차 문서 정비 (D-4개월 ~ D-3개월)

갭 분석 결과를 바탕으로 미비한 정책과 절차를 보완합니다. 심사에서 가장 많은 결함이 나오는 영역은 문서와 실제 운영의 불일치입니다.

우선 정비 대상 문서

문서관련 인증기준
정보보호 정책서1.1.1
위험관리 절차서1.2.1
접근통제 지침2.5.1
개인정보 처리방침3.1.1
침해사고 대응 절차2.11.1

주의사항: 문서는 최고경영자(또는 정보보호 최고책임자) 승인 이력과 배포 기록이 남아 있어야 합니다. 파일 수정일이 심사 직전에 몰려 있으면 심사위원의 집중 질의 대상이 됩니다.

4단계: 기술적 보호조치 구현 (D-3개월 ~ D-2개월)

정책이 마련됐다면 실제 시스템에 통제가 적용됐는지 확인해야 합니다.

주요 점검 항목

  • 접근권한 관리: 직무별 최소 권한 원칙 적용 여부 (ISMS-P 인증기준 2.5.2)
  • 암호화: 개인정보 저장·전송 시 암호화 적용 여부 (개인정보 보호법 제29조, 개인정보의 안전성 확보조치 기준 제7조)
  • 로그 관리: 접근 로그 6개월 이상 보존 여부 (ISMS-P 인증기준 2.9.4)
  • 취약점 점검: 연 1회 이상 내부 시스템 취약점 진단 수행 여부 (ISMS-P 인증기준 2.11.3)

이 단계에서 조치가 완료된 항목은 증적(스크린샷, 설정 내역, 진단 결과보고서)을 즉시 수집해 두십시오. 심사 직전에 증적을 몰아서 만드는 것은 심사위원이 가장 잘 감지하는 패턴입니다.

5단계: 내부 심사 및 경영진 검토 (D-2개월 ~ D-1개월)

본심사 전에 내부적으로 모의심사를 진행해야 합니다. ISMS-P 인증기준 1.3.1(내부심사)과 1.3.2(관리검토) 요건을 동시에 충족하는 과정이기도 합니다.

실행 체크리스트

  • 내부 심사원 지정 및 심사 일정 수립
  • 내부심사 결과 보고서 작성 (부적합 항목, 개선 권고사항 포함)
  • 경영진 보고 및 서명된 관리검토 회의록 확보
  • 부적합 항목에 대한 시정조치 계획 수립 및 이행

6단계: 본심사 대응 (D-1개월 ~ 심사 당일)

서류심사 준비

  • 증적 파일을 인증기준 항목 번호 기준으로 분류해 제출 패키지를 구성합니다.
  • 심사기관이 요청하는 제출 형식(파일명 규칙, 폴더 구조)을 사전에 확인하십시오.

현장심사 대응

  • 담당자별 인터뷰 예상 질문을 사전에 정리하고, 실제 시스템 시연 시나리오를 준비합니다.
  • 심사 중 발견된 결함은 즉시 기록하고, 보완 가능한 사항은 심사 기간 내 처리합니다.

준비 과정에서 가장 많이 드는 비용: 시간

이 로드맵대로 움직여도 실무 팀이 가장 많이 호소하는 문제는 증적 수집과 문서 버전 관리에 소요되는 반복 작업입니다. 101개 인증기준, 328개 점검항목 각각에 대해 증적을 연결하고 상태를 추적하는 작업은 스프레드시트로 관리할수록 누락과 오류가 누적됩니다.

ComplixShield는 ISMS-P 인증기준 항목을 기준으로 증적 관리, 이행 현황 추적, 내부심사 체크리스트를 하나의 워크플로우로 연결합니다. 시간을 단축하고 싶다면 ComplixShield 데모 신청을 통해 실제 준비 과정에 어떻게 적용되는지 직접 확인하십시오.

기본 제도와 의무 대상이 궁금하다면

ISMS-P 개요, 대상 여부, 준비 순서를 먼저 정리하고 싶다면 ISMS-P 가이드에서 한 번에 확인할 수 있습니다.

ComplixShield

ISMS-P 준비를 엑셀과 메신저 대신 한 곳에서 관리하세요

체크리스트, 증적 예시, 정책문서 초안, 주간 보고까지 이어지는 실무형 워크플로를 ComplixShield에서 바로 시작할 수 있습니다.

101개 항목 추적정책문서 템플릿증적 관리보고서 자동화
ComplixShield 살펴보기