ISMS-P 갱신심사 준비: 최초 인증 이후 유지관리 자동화 전략
최초 인증을 받은 직후, 많은 팀이 같은 실수를 반복합니다. "갱신심사는 3년 후니까 나중에 준비하면 된다"는 판단입니다. 하지만 갱신심사 6개월 전부터 서류를 소급 정리하려다 과태료 부과 이력이나 미비한 내부감사 기록이 드러나는 사례는 적지 않습니다. ISMS-P 인증기준 101개, 세부 점검항목 328개를 3년치 운영 증적으로 소명해야 하는 구조라면, 유지관리는 인증 직후부터 시작해야 합니다.
갱신심사가 최초 인증보다 까다로운 이유
갱신심사(3년 주기)는 최초 인증심사와 동일한 범위를 검토하지만, 심사 관점이 다릅니다. "정책을 수립했는가"가 아니라 "3년간 실제로 운영했는가"를 봅니다. 구체적으로 다음 세 가지를 요구합니다.
- 운영 연속성 증적: 내부감사, 경영진 검토, 위험평가 등이 매년 실시된 기록 (ISMS-P 인증기준 1.1.3, 1.2.1)
- 변경 관리 이력: 시스템·조직·서비스 변경 시 인증 범위와의 연관성을 검토한 기록 (인증기준 1.1.2)
- 결함 조치 완결성: 직전 사후심사 결함 사항의 개선 조치 및 재발 방지 증적
이 세 가지가 연속적으로 쌓이지 않으면, 갱신심사 직전에 아무리 서류를 정비해도 심사원의 질문에 답하기 어렵습니다.
3년 유지관리 로드맵: 연도별 핵심 과업
인증 취득 직후 ~ 1년차: 체계 정착
갱신심사 준비의 토대는 인증 직후 6개월 안에 만들어집니다.
해야 할 일과 산출물
| 과업 | 시점 | 산출물 |
|---|---|---|
| 연간 내부감사 계획 수립 | 인증 취득 후 1개월 이내 | 내부감사 계획서 |
| 위험평가 방법론 고도화 | 인증 취득 후 3개월 이내 | 위험평가 방법론 문서 v2 |
| 인증 범위 변경 검토 프로세스 수립 | 인증 취득 후 3개월 이내 | 범위 변경 검토 절차서 |
| 1차 사후심사 준비 | 인증 취득 후 9~11개월 | 운영 현황 보고서, 결함 목록 |
사후심사는 매년 1회 의무입니다. 1차 사후심사에서 결함이 나오는 것 자체는 문제가 아닙니다. 중요한 것은 조치 기한(통상 심사 후 30일 이내) 안에 개선하고, 그 이력을 관리 시스템에 남기는 것입니다.
2년차: 운영 점검과 Gap 관리
2년차는 제도가 실제로 작동하는지 검증하는 시점입니다. 정책과 실제 운영 간의 간격(Gap)이 가장 많이 벌어지는 구간이기도 합니다.
2년차에 자주 발생하는 실무 문제
- 접근권한 검토(인증기준 2.5.5)가 분기마다 실시되어야 하나, 실제로는 연 1회로 줄어드는 경우
- 보안 패치 적용 기록(인증기준 2.9.2)이 담당자 PC에만 남고 공식 관리 시스템에 미반영
- 개인정보 처리방침 변경 시 개인정보 보호법 제30조에 따른 공개·고지 이력 누락
이 시점에 자체 점검을 실시해 Gap을 식별하고, 3년차 갱신심사 전에 보완할 수 있는 여유를 확보해야 합니다.
3년차: 갱신심사 대비 집중 점검
갱신심사 신청은 인증 만료 90일 전까지 해야 합니다. 심사 준비는 최소 6개월 전부터 시작하는 것이 안전합니다.
갱신심사 6개월 전 체크리스트
- 3년간 위험평가 결과 및 처리 이력 완비 여부 확인
- 내부감사 보고서 3개년 버전 보관 여부 확인
- 결함 개선 조치 완결 여부 및 근거 문서 확인
- 인증기준 101개 항목별 최신 증적 목록 갱신
- 개인정보 보호법 및 관련 고시 개정 사항 반영 여부 확인
수작업 유지관리의 한계: 자동화가 필요한 지점
ISMS-P 인증기준 중 접근통제(2.5절), 암호화(2.7절), 시스템 보안(2.9절) 영역은 기술적 운영 증적이 지속적으로 생성됩니다. 담당자가 이를 수기로 수집하고 정리하면 다음 문제가 반복됩니다.
수작업 방식의 구조적 문제
- 담당자 교체 시 인수인계 누락으로 3~6개월치 증적 공백 발생
- 엑셀 기반 관리 시 버전 충돌로 최신 현황 파악 불가
- 사후심사 준비 시 증적 취합에만 평균 2~4주 소요 (내부 설문 기준)
자동화 전략의 핵심은 "증적을 사람이 수집하지 않아도 되는 구조"를 만드는 것입니다. 시스템 접근 로그, 패치 이력, 개인정보 처리 기록 등은 API 연동 또는 에이전트 방식으로 자동 수집하고, 인증기준 항목과 매핑하여 실시간 현황을 유지해야 합니다.
흔히 하는 실수 두 가지
실수 1. 사후심사와 갱신심사 범위를 동일하게 봄
사후심사는 전체 101개 항목 중 이전 심사에서 지적된 결함 항목과 변경 사항 중심으로 진행됩니다. 갱신심사는 전체 인증기준을 다시 검토합니다. 사후심사를 무난하게 통과했다고 갱신심사도 무난할 것이라는 판단은 위험합니다.
실수 2. 법령 개정 반영 누락
개인정보 보호법은 2023년 9월 시행령 개정 이후에도 고시·가이드라인 수준의 변경이 지속되고 있습니다. 법령 개정이 내부 정책과 운영 절차에 반영되었는지를 정기적으로 점검하는 프로세스가 없다면, 갱신심사에서 관련 항목이 결함으로 지적될 수 있습니다.
3년이라는 기간은 길어 보이지만, 증적이 쌓이는 속도는 생각보다 빠릅니다. 그리고 쌓이지 않은 증적을 소급하는 비용은 처음부터 관리했을 때보다 훨씬 큽니다.
인증기준 101개 항목의 증적을 자동으로 수집하고, 사후심사·갱신심사 일정에 맞춰 현황을 실시간으로 파악하고 싶다면 ComplixShield의 ISMS-P 유지관리 자동화 기능을 검토해 보시기 바랍니다.