정보보안 전문가 10개 분류 중 10번째로 정보보호관리체계 인증 심사원에 대해서 알아보도록 하겠습니다.
1. 정보보호관리체계 인증 및 심사원의 정의
정보보호관리체계 인증 심사원이란 기업이나 조직의 정보보호관리체계가 국내 및 국제 표준에 부합하는지를 심사하고 인증을 부여하는 정보보안전문가입니다. 정보보호관리체계 인증 심사원은 국내의 경우 ISMS-P 인증 심사원, 해외의 경우 ISO27001 인증 선임심사원이 대표적입니다. 이외에도 정보보호, 개인정보보호와 관련된 국내외 심사원은 다양하게 존재합니다.
■ 국내/국제 용어의 정의
*ISMS-P : Personal Information & Information Security Management System(정보보호 및 개인정보보호 관리체계)
*ISO27001 : Information Security Management System(정보보호 경영시스템)
정보보호관리체계 인증 심사원은 일반적으로 ISMS-P, ISO27001에서 제시한 통제항목을 표준으로 한 인증 심사를 수행하며, 정보보호에 적절한 정책과 절차가 적용되고 있는지 심사합니다. 정보보호관리체계 인증 심사원은 조직이 보유한 정보자산의 CIA(Confidentiality:기밀성, Integrity:무결성, Availability가용성) 유지를 위한 모든 보안관리 활동을 체계화하고 관리하는지에 대해 다양한 정보보호 측면에서 심사를 진행합니다. 또한, 조직에서의 조직(organization), 업무(business), 자산(assets), 기술(technology), 장소(location)적 특성을 고려하여 인증 범위를 적절히 설정하고 있는지 여부와 인증 범위 내에 조직의 리스크 관리, 보안 정책 및 절차, 인적 보안, 물리적 보안 등 다양한 영역을 종합적으로 심사합니다.
2. ISMS, ISMS-P & ISO27001 인증 제도의 차이점
▶ISMS-P & ISO27001 인증 제도 비교
| ISMS-P (국내) | ISO27001:2022 (국제) |
| 국내 | 국제 |
| 심사항목으로는 ISMS는 80개, ISMS-P는 101개로 구성 | 심사항목으로는 4개의 통제항목 그룹, 93개의 통제항목으로 구성 |
| 인증의무대상 여부는 기업이나 기관이 자체적으로 의무대상여부를 판단하여야 하고, 인증의무대상 기업이나 기관은 ISMS를 의무로 받아야 함 | 의무 대상 비즈니스 존재하지 않음 |
| (의무대상자 미 인증시 3천만원 이하의 과태로) | |
| 보완 조치 기간 40일 이내 | 보완조치기간은 없고, 보안계획을 제출 |
| 보안 조치 사항 미흡 시 재조치 요구 기한은 60일 유지 | |
| 사후관리 1년 주기 | 사후관리 6개월 또는 1년 |
| 유효 기간 3년 | 유효기간 3년 |
| 갱신 삼사 유효기간 3개월 전에 신청 | 갱신심사 3년 주기 |
| KISA의 심사원 선발 시험 및 교육을 통해 심사원 자격 부여 | 심사원의 경우 각 국가별 지정된 인증기관의 자체 연수 프로그램을 통해 교육 이수 후 심사원 자격 발급 |
| (매년 1회 실시) |
3. 정보보호관리체계 인증 심사 절차
정보보호관리체계 인증 심사원은 기업이나 조직의 정보보호체계가 ISMS-P & ISO27001 통제항목에 따라 적절하게 구현되어 있는지를 확인하고 심사를 하고 있습니다. 정보보호관리체계 인증 심사원은 정보보호에 대한 ISMS-P & ISO27001 통제항목 및 규정을 준수하고 있는지를 확인하여 조직이 정보자산을 효과적으로 보호하고 관리할 수 있는지를 심사합니다. 정보보호관리체계 인증 심사원은 심사를 진행하는 절차는 대략적으로 다음과 같습니다.
3.1 준비 단계
인증 심사가 시작되기 전에 인증 심사원은 조직과 사전 협의를 통해 인증 심사 범위, 목적, 일정 등을 사전에 협의합니다.
3.2 인증 심사 수행
인증 심사원은 조직 내부에서 다양한 부서 및 프로세스(절차)를 검토하고, 정보보호 정책, 지침, 절차, 기술적 보안 조치 등을 확인하여 심사합니다.
3.3 문서 및 기록 검토
인증 심사원은 조직의 정보보호와 관련된 문서와 기록을 검토하여 정책이 적절히 문서화되어 있고, 실제로 이행되고 있는지를 확인합니다.
3.4 면담 및 인터뷰
인증 심사원은 조직 내의 키 이해관계자 및 직원들과 면담하고 인터뷰를 통해 정보보호에 대한 이해 및 준수 상태를 확인합니다.
3.5 보고 및 결과(Closing Meeting)
인증 심사 결과는 인증 심사 보고서를 통해 문서화되며, 이 보고서에는 인증 심사에서 발견된 강점과 결함사항(ISMS-P), 부적합사항(ISO27001), 권고 사항 등이 포함됩니다. 이러한 인증 심사 결과는 보통 CISO를 포 함한 최고경영자 층이 참석한 상태에서 보고가 이루어지고 있습니다.
4. ISMS, ISMS-P & ISO27001 인증 심사원 자격 요건
▶ISO27001 인증 심사원 교육 요건
| 구분 | 교육 요건 | 심사 경력 요건 |
| 심사원보 | ISO인증심사원 자격교육 이수 및 시험 합격 | 해당 없음 |
| 심사원 | ISO인증심사원 자격교육 이수 및 시험 합격 | 경영시스템별 자격기준-자격요건 참조 |
| 선임심사원 | ISO인증심사원 자격교육 이수 및 시험 합격 | 2명 이상 심사원 또는 선임심사원이 포함된 심사팀 리더로 4회 이상 심사 참여 |
| - 심사일수 최소 15일 이상 | ||
| - 최초 또는 갱신 심사 경험이 2회 이상 포함 |
5. 결론
정보보호관리체계 인증 심사원은 조직이 정보보호에 대한 정책, 규정을 어떻게 준수하고 있는지를 확인하며, 실질적인 정보보호관리체계가 구축되어 있는지를 심사합니다. 이를 통해 조직이 정보자산을 효과적으로 보호하고 관리할 수 있도록 지원하며, ISMS-P 및 ISO27001 인증을 획득하는 데 도움을 줄 수도 있습니다. 정보보호관리체계 인증 심사원은 ISMS-P 및 ISO27001의 요구사항에 대한 전문 지식을 가지고 있어야 하며, 기술적인 이해와 조직의 업무 프로세스에 대한 이해가 필요합니다. 또한, 리더십, 커뮤니케이션 능력 등 다양한 역량을 갖추어야 정보보호관리체계 인증 심사를 효과적으로 수행할 수 있습니다. 정보보호관리체계 인증 심사원은 중립성과 공정성을 유지하면서도 조직의 정보보호 체계를 객관적으로 평가를 함으로써 조직의 사이버 안전성을 강화하고 정보 자산을 보호하기 위한 중요한 활동을 하는 정보보안 전문가로의 하나로 인정받고 있습니다.
정보보호관리체계 인증 심사원의 직업에 대해서 관심 있으신 분들께 이글이 도움 되셨길 바랍니다.
지속적인 관심 부탁드립니다.