블로그로 돌아가기
ISMS-P 증적자료ISMS-P 심사 준비ISMS-P 인증정보보호 인증증적자료 목록

ISMS-P 증적자료 준비 가이드: 심사관이 요구하는 핵심 문서

ISMS-P 현장심사에서 심사관이 실제로 요구하는 증적자료 유형과 준비 방법을 단계별로 정리했습니다. 컴플라이언스 팀이 심사 전 반드시 확인해야 할 체크포인트를 담았습니다.

C
ComplixShield 편집팀
··읽는 시간 1

ISMS-P 증적자료 준비 가이드: 심사관이 요구하는 핵심 문서

심사 D-30을 앞두고 팀 내에서 가장 많이 나오는 말이 있습니다. "그 문서, 어디 있어요?" 정책서·지침서는 갖춰져 있는데 실제 이행 여부를 보여주는 기록이 없어서 심사 당일 당황하는 경우는 생각보다 흔합니다. ISMS-P 인증기준 101개 항목, 세부 점검항목 328개 각각에는 대응하는 증적자료가 존재합니다. 심사관은 정책의 존재가 아니라 운영 사실을 확인합니다.

심사관이 실제로 보는 것: "문서" vs "증적"

많은 조직이 정책서, 지침서, 절차서를 완비한 채 심사에 임합니다. 그런데 심사관은 문서 그 자체보다 그 문서대로 실제 운영이 이루어졌는지를 확인하는 증거, 즉 **증적자료(Evidence)**에 집중합니다.

ISMS-P 인증기준 1.1.1(경영진의 참여)을 예로 들면, 정보보호 정책 문서만으로는 부족합니다. 경영진이 직접 참석한 정보보호위원회 회의록, 서명이 포함된 보고 결재문서가 함께 제출되어야 해당 항목이 충족된 것으로 인정됩니다.

단계별 증적자료 준비 방법

1단계: 인증 범위 기준으로 증적 목록 설계 (심사 D-60)

증적자료를 무작정 수집하기 전에 인증 범위와 1.1.2(최고책임자의 지정) 항목을 기준으로 조직도·업무 범위를 먼저 확정해야 합니다. 범위가 바뀌면 수집해야 할 증적의 종류와 담당 부서가 달라집니다.

이 단계에서 만들어야 할 산출물:

  • 인증 범위 확정 문서 (서비스명, 적용 시스템, 물리적 범위)
  • 인증 범위 내 정보자산 목록 (ISMS-P 인증기준 2.1.1 대응)
  • 증적 수집 담당자 매핑표 (항목별 담당 부서·담당자 명시)

2단계: 관리·운영 증적 수집 (심사 D-30)

ISMS-P 인증기준 2영역(보호대책 요구사항)은 16개 분야, 64개 항목으로 구성됩니다. 이 중 심사관이 가장 집중적으로 확인하는 분야와 필수 증적은 다음과 같습니다.

접근통제 (2.6영역)

  • 계정 신청·승인·회수 이력 (시스템 로그 또는 결재 문서)
  • 불필요 계정 검토 주기에 따른 정기 점검 결과
  • 퇴직자 계정 삭제 확인서 또는 처리 로그

보안사고 관리 (2.11영역)

  • 보안사고 접수·처리·종결 이력 (없을 경우 "해당 기간 무사고" 사실 자체를 증빙)
  • 모의훈련 결과 보고서 (사이버 침해 대응훈련 포함)

개인정보 처리 (3영역, ISMS-P 한정)

  • 개인정보 처리방침 최신 버전 및 변경 이력
  • 개인정보 처리 동의서 샘플 (개인정보 보호법 제22조 요건 충족 여부 확인용)
  • 수탁사 관리 계약서 및 점검 결과 (개인정보 보호법 제26조)

흔히 하는 실수: 수탁사 점검을 연 1회 진행했지만 결과 보고서를 별도 파일로 저장하지 않고 이메일에만 남긴 경우, 심사 현장에서 찾는 데 시간이 소요되거나 누락으로 처리될 수 있습니다. 수집 즉시 지정된 폴더 구조에 저장하는 습관이 필요합니다.

3단계: 내부감사 증적 정비 (심사 D-14)

ISMS-P 인증기준 1.3.2(관리체계 점검)는 내부감사 실시 사실과 그 결과를 요구합니다. 감사 계획서·체크리스트·결과 보고서·후속 조치 이행 확인서가 세트로 준비되어야 합니다. 결과 보고서만 있고 후속 조치 이행 확인이 없는 경우 결함으로 이어질 수 있습니다.

산출물 체크리스트:

  • 내부감사 계획서 (감사 범위, 일정, 감사원 명단)
  • 점검 체크리스트 (항목별 충족·미흡 표시)
  • 내부감사 결과 보고서 (경영진 보고 결재 포함)
  • 미흡 항목 개선 조치 완료 확인서

4단계: 현장심사 대응 패키지 구성 (심사 D-7)

심사 당일 심사관 질의에 즉시 대응할 수 있도록 인증기준 항목 번호 기준으로 폴더를 구분해 증적을 정리합니다. 예를 들어 2.6.1_접근권한관리, 2.11.2_취약점점검 형태로 구성하면 심사관 질의 즉시 해당 폴더를 열어 보여줄 수 있습니다.

심사 당일 준비해야 할 것:

  • 증적 목록 인덱스 파일 (항목번호·문서명·파일 위치·담당자)
  • 구두 질의 대응용 요약 자료 (핵심 수치, 주요 일정 포함)
  • 현장 시연이 필요한 시스템 접근 권한 사전 확보 (운영 시스템 접근 계정)

흔히 하는 두 가지 실수

첫째, 정책 개정 이력 관리 누락. 정책서·지침서를 개정했지만 버전 이력과 배포 이력이 없는 경우, 심사관은 "이 문서가 실제 운영 중인 문서인지" 판단하기 어렵습니다. 모든 정책 문서에는 버전, 개정일, 배포 대상을 명시해야 합니다.

둘째, 증적 기간 불일치. 심사 기준일 기준 최근 1년간의 운영 증적이 필요한데, 특정 분기 데이터가 누락되거나 연도가 다른 자료를 제출하는 경우가 있습니다. 수집 단계에서 반드시 기간을 확인하십시오.

증적자료 준비는 '심사를 위한 서류 작업'이 아니라 조직의 정보보호 운영 수준을 점검하는 과정입니다. 101개 인증기준 항목 전체를 체계적으로 추적하고, 증적 수집 현황을 실시간으로 관리하고 싶다면 ComplixShield의 ISMS-P 증적 관리 기능을 검토해 보시기 바랍니다. 항목별 증적 등록·버전 관리·담당자 알림을 한 곳에서 처리할 수 있습니다.

기본 제도와 의무 대상이 궁금하다면

ISMS-P 개요, 대상 여부, 준비 순서를 먼저 정리하고 싶다면 ISMS-P 가이드에서 한 번에 확인할 수 있습니다.

ComplixShield

ISMS-P 준비를 엑셀과 메신저 대신 한 곳에서 관리하세요

체크리스트, 증적 예시, 정책문서 초안, 주간 보고까지 이어지는 실무형 워크플로를 ComplixShield에서 바로 시작할 수 있습니다.

101개 항목 추적정책문서 템플릿증적 관리보고서 자동화
ComplixShield 살펴보기