ISMS-P 인증 심사 준비 과정에서 주의해야 할 점을 구체적으로 설명
ISMS-P 인증 심사를 준비하면서 가장 먼저 배운 건 문서가 있다고 준비가 완료된 게 아니라는 점이었습니다. 정책·절차서가 갖춰져 있어도 현장에서 실제로 그대로 운영되는지를 실증 증거로 보여줘야 심사가 통과됐습니다. 로그 기록, 접근 통제 이력, 교육 완료 증적 같은 실증 자료를 심사 항목별로 미리 정리해두는 작업이 핵심이었습니다.
문서와 현장이 달라진 부분을 사전에 발견하지 않으면 심사 당일에 지적이 집중됐습니다. 내부 모의 심사를 한 번 진행하는 것이 실제 심사보다 훨씬 많은 것을 발견하게 해줬습니다. 개인정보보호 영역(P)은 처리 목적·보관 기간·파기 이력까지 추적이 가능해야 해서, 관련 시스템과 담당자 범위를 명확히 정리하는 과정이 따로 필요했습니다. 준비 기간이 촉박할수록 우선순위를 정해 높은 위험 항목부터 집중하는 방식이 효율적이었습니다.
인증은 심사를 통과하는 것이 목적이 아니라 체계를 만드는 과정입니다.