중소기업이 ISMS-P 인증을 혼자 준비할 때 생기는 7가지 실수

"우리 팀이 몇 달 동안 준비했는데, 심사에서 결함이 12개 나왔습니다."

실제로 ISMS-P 심사를 받은 중소기업 담당자들에게서 드물지 않게 듣는 말입니다. 문서는 다 만들었고, 체크리스트도 돌렸는데 왜 결함이 쏟아질까요?

ISMS-P 인증은 101개 인증기준, 328개 세부 점검항목으로 구성됩니다. 범위가 넓은 만큼, 혼자 준비하다 보면 특정 구간에서 반복적으로 같은 실수가 발생합니다. 어디서 무너지는지 짚어드리겠습니다.

실수 1. 인증 범위를 너무 좁게 잡는다

ISMS-P 인증의 첫 단추는 인증 범위(scope) 설정입니다. 많은 중소기업이 "우리 서비스 중 일부만 넣으면 되겠지"라고 생각하고 핵심 시스템이나 연계 부서를 범위 밖으로 뺍니다.

문제는, 범위 밖으로 뺀 시스템이 실제 개인정보 흐름과 연결되어 있으면 심사 중 범위 조정 지적을 받습니다. 재설정 자체가 심사 일정을 흔들 수 있습니다.

가장 흔한 실수입니다. 정책서, 지침서, 절차서를 열심히 만들었지만, 그 내용대로 실제로 운영했다는 **증거(로그, 회의록, 점검 결과물)**가 없는 경우입니다.

ISMS-P 심사는 "문서가 있느냐"가 아니라 "문서대로 하고 있느냐"를 봅니다. ISMS-P 인증기준 1.1.1(경영진의 참여)부터 이행 증적을 요구합니다. 보고 문서에 경영진 서명이 없거나, 검토 이력이 없으면 그 자체가 결함입니다.

ISMS-P는 ISMS(정보보호 관리체계)에 **P(개인정보)**가 추가된 인증입니다. P 영역의 출발점은 개인정보의 수집부터 파기까지의 흐름을 빠짐없이 파악하는 것입니다.

개인정보 흐름도(데이터 플로우)를 작성하지 않거나, 제3자 제공·위탁 현황을 누락하면 ISMS-P 인증기준 3.1.1(개인정보 수집 제한) 및 3.3.1(개인정보 제3자 제공) 항목에서 줄줄이 결함이 납니다.

정보보호 인증이라는 이름 때문에 IT팀 단독으로 준비하는 경우가 많습니다. 하지만 ISMS-P는 HR(임직원 보안 교육), 법무(계약서 검토), 영업·운영(개인정보 처리 실태) 등 조직 전체가 관여합니다.

IT팀이 혼자 만든 문서는 현업의 실제 운영 방식과 어긋나는 경우가 많고, 심사관은 현업 담당자를 직접 인터뷰하기 때문에 그 간극이 바로 드러납니다.

ISMS-P 인증기준 1.2.1(정보자산 식별 및 위험 평가)은 단순히 엑셀 표를 채우는 작업이 아닙니다. 자산의 중요도, 위협·취약점 분석, 수용 가능한 위험 수준(DoA) 설정, 위험 처리 계획까지 연결되어야 합니다.

"위험 평가 결과"가 있어도 그것이 실제 보호대책 수립으로 이어진 근거가 없으면 결함으로 처리됩니다.

공식 심사 전에 내부적으로 모의 심사를 해야 한다는 사실을 모르는 경우가 있습니다. ISMS-P 인증기준 1.3.2(관리체계 점검)는 내부 심사 수행과 그 결과에 따른 개선 조치를 요구합니다.

"내부감사를 했다"는 기록만 있고, 발견된 결함과 시정 조치 내역이 없으면 이 역시 결함입니다.

ISMS-P 인증은 취득 후에도 연간 사후심사, 3년마다 갱신심사가 있습니다. 인증을 받은 뒤 관리가 멈추면 사후심사에서 유지조건 미충족으로 인증이 취소될 수 있습니다.

인증 취득을 종착점으로 보고 준비하면, 운영 체계가 심사 시점에만 맞춰지는 구조가 됩니다. 이건 결국 다음 심사에서 더 큰 부담으로 돌아옵니다.

어디서부터 시작해야 할지 모른다면, ComplixShield의 ISMS-P 인증 준비 자동화 기능을 통해 인증기준 항목별 이행 현황을 진단하고 증적 관리까지 한 곳에서 처리할 수 있습니다.