블로그로 돌아가기
ISMS-P 내부심사ISMS-P 인증 절차ISMS-P 셀프 점검ISMS-P 예비심사ISMS-P 본심사

ISMS-P 내부심사 절차: 셀프 점검에서 본심사까지 흐름 정리

ISMS-P 인증 내부심사의 전체 절차를 단계별로 정리합니다. 셀프 점검, 내부심사, 예비심사, 본심사까지 컴플라이언스 팀이 반드시 알아야 할 실무 흐름을 법령 근거와 함께 설명합니다.

C
ComplixShield 편집팀
··읽는 시간 1

ISMS-P 내부심사 절차: 셀프 점검에서 본심사까지 흐름 정리

ISMS-P 인증을 준비하는 조직의 상당수가 본심사 직전에야 내부심사를 형식적으로 처리한다. 한국인터넷진흥원(KISA)이 공개한 심사 결과에 따르면, 인증 불합격 또는 조건부 인증의 주요 원인 중 하나가 내부심사 절차의 부실이다. 101개 인증기준 항목을 단순히 '완료' 체크로 채운 내부심사 보고서는 본심사에서 고스란히 드러난다.

이 글은 셀프 점검부터 본심사 대응까지, 컴플라이언스 팀이 실제로 운영해야 할 절차의 흐름을 짚는다.

내부심사가 법적 의무인 이유

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조 및 「정보보호 및 개인정보보호 관리체계 인증에 관한 고시」(이하 ISMS-P 고시) 제17조는 인증 신청 전 내부심사 수행을 의무화하고 있다. ISMS-P 고시 제17조 제1항은 "신청기관은 인증심사를 신청하기 전에 스스로 인증기준 적합 여부를 점검하여야 한다"고 명시한다.

단순한 권고가 아니다. 내부심사 결과 보고서는 인증심사 신청 시 제출 서류에 포함되며, 심사원은 해당 보고서를 근거로 내부통제 수준을 사전 평가한다.

전체 절차 흐름: 4단계

1단계. 셀프 점검 (Self-Assessment)

셀프 점검은 담당 부서 스스로 101개 인증기준 항목별 현황을 문서화하는 단계다. ISMS-P 인증기준의 3개 영역(관리체계 수립 및 운영 16개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 21개)을 구분하여 점검표를 구성해야 한다.

실무에서 자주 놓치는 부분은 증적 자료의 최신성이다. 정책서류가 존재해도 최종 개정일이 2년 이상 지났다면, ISMS-P 인증기준 1.1.4(범위 설정) 또는 1.3.1(법적 요구사항 준수 검토) 기준에서 결함으로 처리될 수 있다.

셀프 점검 산출물: 인증기준별 적합·미흡·해당없음 분류표, 증적 자료 목록, 미흡 항목 조치 계획서

2단계. 내부심사 (Internal Audit)

셀프 점검이 자기 진단이라면, 내부심사는 독립성을 확보한 내부 인원 또는 제3자가 수행하는 공식 점검이다. ISMS-P 고시 제17조는 심사원의 독립성을 요건으로 제시한다. 즉, 해당 업무를 직접 수행하는 담당자가 자신의 업무를 심사하는 구조는 허용되지 않는다.

내부심사 계획서에는 심사 범위, 심사원 명단 및 독립성 확인, 일정, 점검 방법론이 포함되어야 한다. 심사 완료 후에는 결함 목록과 후속 조치 계획을 담은 내부심사 결과 보고서를 작성한다. 이 보고서는 경영진 보고 및 인증심사 제출용 원본 문서가 된다.

자주 발생하는 오류: 결함을 발견했음에도 보고서에 "이슈 없음"으로 기재하는 사례. 심사원은 내부심사 보고서와 실제 운영 현황의 불일치를 집중적으로 확인한다.

3단계. 예비심사 (Pre-Assessment, 선택)

예비심사는 인증기관(KISA 또는 지정 심사기관)과의 공식 계약 이전에 수행하는 선택적 단계다. 최초 인증을 신청하거나 인증 범위를 대폭 확대하는 경우, 예비심사를 통해 본심사 전 주요 결함을 사전에 식별할 수 있다.

예비심사는 비용이 발생하지만, 본심사에서 중대 결함이 발견되어 인증이 보류될 경우 발생하는 재심사 비용 및 일정 지연을 감안하면 실질적인 리스크 관리 수단으로 작동한다.

4단계. 본심사 (Formal Certification Audit)

인증기관과 심사 계약 체결 후 진행되는 공식 심사다. ISMS-P 고시 제18조에 따라 서면심사와 현장심사로 구성되며, 현장심사는 통상 2~4일간 진행된다. 심사원은 제출 서류, 시스템 운영 현황, 담당자 인터뷰를 통해 인증기준 적합성을 판단한다.

본심사에서 결함이 발견될 경우 결함 통보서가 발부되고, 조직은 일정 기간 내 시정조치 결과를 제출해야 한다. 중대 결함이 다수 발생하면 인증 보류 또는 불인정 결정이 내려진다.

컴플라이언스 팀이 집중해야 할 지점

내부심사 절차에서 반복적으로 문제가 되는 항목은 대체로 동일하다.

  • ISMS-P 인증기준 2.5.1(사용자 계정 관리): 퇴직자 계정 즉시 삭제 여부, 장기 미사용 계정 정책 이행
  • ISMS-P 인증기준 2.9.1(변경관리): 시스템 변경 시 승인 절차 및 테스트 기록 누락
  • ISMS-P 인증기준 3.1.1(개인정보 수집 제한): 수집 동의서와 실제 수집 항목의 불일치

이 세 항목은 증적 자료가 명확히 요구됨에도 불구하고, 운영 부서의 협조 없이는 컴플라이언스 팀 단독으로 충족시키기 어렵다. 내부심사를 단순한 점검 이벤트가 아니라 부서 간 협업 프로세스로 설계해야 하는 이유가 여기에 있다.

마치며

ISMS-P 내부심사는 인증을 위한 형식 절차가 아니다. 조직이 101개 인증기준 항목을 실제로 운영하고 있는지 스스로 검증하는 유일한 공식 메커니즘이다. 셀프 점검의 정밀도가 본심사 결과를 좌우하며, 내부심사 보고서의 품질은 조직의 정보보호 수준을 그대로 반영한다.

심사 일정 관리, 증적 자료 수집, 결함 추적까지 내부심사 전 과정을 체계적으로 운영하고 싶다면, ComplixShield가 ISMS-P 인증기준별 점검 흐름을 자동화하고 증적 자료를 구조적으로 관리할 수 있도록 지원합니다. 심층 분석이 필요하다면 데모를 통해 확인하시기 바랍니다.

기본 제도와 의무 대상이 궁금하다면

ISMS-P 개요, 대상 여부, 준비 순서를 먼저 정리하고 싶다면 ISMS-P 가이드에서 한 번에 확인할 수 있습니다.

ComplixShield

ISMS-P 준비를 엑셀과 메신저 대신 한 곳에서 관리하세요

체크리스트, 증적 예시, 정책문서 초안, 주간 보고까지 이어지는 실무형 워크플로를 ComplixShield에서 바로 시작할 수 있습니다.

101개 항목 추적정책문서 템플릿증적 관리보고서 자동화
ComplixShield 살펴보기