블로그로 돌아가기
정보보호 정책정책 문서 작성ISMS-P 인증개인정보보호 담당자정보보호 문서 템플릿

정보보호 정책 문서 작성법: 템플릿과 실제 작성 예시

ISMS-P 인증 심사를 앞둔 개인정보보호 담당자를 위한 정보보호 정책 문서 작성 가이드. 필수 구성요소, 실제 작성 예시, 흔한 실수까지 단계별로 정리했습니다.

C
ComplixShield 편집팀
··읽는 시간 1

정보보호 정책 문서 작성법: 템플릿과 실제 작성 예시

"정책 문서를 어디서부터 작성해야 할지 모르겠다"는 말, ISMS-P 심사 준비를 처음 맡은 담당자라면 한 번쯤 했을 겁니다. 인터넷에 떠도는 샘플은 형식만 갖춰져 있고, 실제 심사에서는 "구체성이 부족하다"는 지적이 돌아옵니다. 이 글은 ISMS-P 인증기준 1.1.2(정보보호 정책 수립)에 직접 대응하는 정책 문서를 처음 작성하거나 전면 개정하는 담당자를 위해 작성했습니다.

정보보호 정책 문서가 심사에서 어떻게 평가되는가

ISMS-P 인증기준 101개 항목 중 정책·지침 문서와 직접 연결된 항목은 관리체계 영역에 집중되어 있습니다. 심사원은 문서 자체보다 문서와 실제 운영의 일치 여부를 봅니다. 정책에는 "연 1회 이상 검토"라고 쓰여 있는데 최근 검토 이력이 3년 전이라면, 그 문서는 오히려 감점 요인이 됩니다.

정책 문서의 위계를 먼저 이해해야 합니다.

문서 등급명칭작성 주체개정 승인자
1계층정보보호 정책서보안팀대표이사 또는 CISO
2계층지침·기준서보안팀CISO 또는 부서장
3계층절차서·매뉴얼담당자팀장

정책서는 경영진의 의지를 담는 선언문 성격이고, 실무 기준은 지침·절차서에서 다뤄야 합니다. 정책서에 IP 차단 세부 기준 같은 기술적 내용을 넣으면 개정할 때마다 최고경영자 결재가 필요해지는 번거로움이 생깁니다.

필수 구성요소: 빠지면 지적받는 항목

ISMS-P 인증기준 1.1.2에 따라 정보보호 정책서에는 다음 내용이 반드시 포함되어야 합니다.

1단계: 목적 및 적용 범위 정의

막연하게 "전사 임직원"이라고 쓰면 안 됩니다. 아래처럼 구체화해야 합니다.

작성 예시 본 정책은 (주)OO의 정보시스템, 개인정보처리시스템, 네트워크 인프라 및 이를 운영·관리하는 임직원, 협력사 직원, 파견 인력 전원에게 적용된다. 단, 물리적으로 분리된 연구소 환경은 별도 정책을 따른다.

"협력사"와 "파견 인력"을 명시하는 것이 핵심입니다. ISMS-P 인증기준 2.3.3(외부자 보안)에서 별도로 점검하기 때문에, 정책 적용 범위에서 외부자를 명시해 두면 심사 연계가 자연스러워집니다.

2단계: 정보보호 목표 및 원칙 기술

추상적인 문장은 피하고, 기관의 실제 환경을 반영한 우선순위를 적어야 합니다.

작성 예시 (금융업) 본사는 전자금융거래 서비스의 연속성 확보를 최우선 보호 목표로 설정하며, 기밀성·무결성·가용성의 순서로 보호 우선순위를 부여한다.

금융업이라면 전자금융감독규정 제15조(정보보호 최고책임자의 업무)와 연계해 CISO의 역할을 원칙에 포함시키면 금융당국 감독 대응에도 활용할 수 있습니다.

3단계: 조직 및 역할·책임 명시

ISMS-P 인증기준 1.1.3(조직 구성)과 연동되는 부분입니다. 직책명으로 기재하되, 특정 인물의 이름은 넣지 않습니다. 인사이동 시마다 개정해야 하는 불필요한 행정 부담이 생기기 때문입니다.

4단계: 검토 주기 및 개정 절차

작성 예시 본 정책은 제정일로부터 1년마다 타당성을 검토하며, 관계 법령 변경 또는 중대한 보안사고 발생 시 즉시 검토한다. 개정 시 CISO 검토 후 대표이사의 최종 승인을 받아야 한다.

"연 1회 이상"은 ISMS-P 인증기준 1.1.2의 요구사항이기도 하지만, 개인정보 보호법 제29조(안전조치의무) 이행 입증 자료로도 활용됩니다.

흔히 하는 실수 2가지

실수 1: 정책서와 지침서를 하나의 문서에 합쳐놓기

정책서에 패스워드 길이, 로그 보존 기간 같은 기술적 기준을 모두 넣으면 문서가 방대해지고, 기준 변경 시 최고경영자 결재를 다시 받아야 하는 구조가 됩니다. 정책서는 방향과 원칙만, 세부 기준은 하위 지침에 위임하는 구조로 분리하십시오.

실수 2: 제·개정 이력 관리 누락

문서 첫 페이지에 버전, 제·개정일, 변경 내용, 승인자를 표시하는 이력 테이블을 반드시 넣어야 합니다. 심사원이 "최근 개정 이유가 무엇이냐"고 물었을 때 구두 답변이 아니라 문서로 입증해야 합니다.

작성 이후 관리가 더 어렵습니다

정책 문서를 한 번 완성하는 것보다, 법령 개정이나 조직 변경에 맞춰 지속적으로 갱신하고 전 임직원에게 공지·교육하는 체계를 유지하는 것이 실제로 더 부담이 큽니다. ISMS-P 인증기준 1.1.2는 정책의 "수립"뿐 아니라 "공표 및 이해관계자 전달"까지 요구합니다.

정책 문서 관리부터 증적 수집, 심사 대응까지 통합 관리가 필요하다면 ComplixShield의 정책 문서 관리 기능을 검토해 보십시오. 인증기준 항목별로 필요한 산출물을 자동으로 매핑하고, 개정 이력과 배포 기록을 자동으로 누적합니다.

기본 제도와 의무 대상이 궁금하다면

ISMS-P 개요, 대상 여부, 준비 순서를 먼저 정리하고 싶다면 ISMS-P 가이드에서 한 번에 확인할 수 있습니다.

ComplixShield

ISMS-P 준비를 엑셀과 메신저 대신 한 곳에서 관리하세요

체크리스트, 증적 예시, 정책문서 초안, 주간 보고까지 이어지는 실무형 워크플로를 ComplixShield에서 바로 시작할 수 있습니다.

101개 항목 추적정책문서 템플릿증적 관리보고서 자동화
ComplixShield 살펴보기