제목부터가 굉장히 광범위적인 제목이라 난해하게 보일 듯 하네요..
저희 회사가 예전부터 의무인증 기관이었고, 작년까진 (구)ISMS를 받았고 다음주 부터 ISMS(P) 최초심사를 받게 됩니다. (P까진 아니고 ISMS만 범위)
경력직이 아니다보니 작년에 처음 심사를 준비하고 받았는데, 심사 대부분은 사수가 담당했었고, 저는 사수가 요청하는 자료 전달/내부 업무는 사수가 제대로 처리 못하니 내부 업무만 제가 다 처리하다 보니 제대로 된 심사 참가를 못했었습니다.
올해부터는 사수 퇴사로 저 하나만 있는 상황이라 저 혼자 심사를 다 준비하는데, 작년에 제대로 된 참가를 못해서 심사가 어떻게 진행되는가를 잘 모르는 부분이 많습니다.
회사 스케일은
직원 100~120명, 웹쇼핑몰 운영, 클라우드+온프레미스 동시 사용 (IDC 없이 사무실 내부에 서버실 따로 운영), IT팀에서 내부 인프라 총 관리 (저 빼고 나머진 다 개발자)
작년 처음 심사 받을 때 기억으로는 (제가 작년 심사 때 참석한 것은 저것 뿐입니다)
1.첫째날 회사 소개, 내부 서버 및 관리 사이트 설명, 중간중간 심사원들 질문에 답변
2.둘째날 별도로 설치 한 PC로 서버 원격 접속, ERP, 관리 사이트들 접속하여 어떻게 운영되는지 보여주면서 설명
3.셋째날 내부 서버실 방문하여 점검
4.넷째날(마지막날) 심사 결과 발표
이렇게 진행 된 것으로 기억합니다.
작년엔 사후심사로 심사원 3명, 4일진행이었지만, 올해는 최초심사라 5인/5일이라 걱정이 굉장히 앞서고 있습니다.
심사가 전체적으로 어떻게 굴러가는지 궁금하여 질문 올립니다
구글에 검색해봐도 '심사원'으로서 심사 진행한 이야기만 나오지, '심사 대상자'로서는 이야기가 없네요.
+ 혹시 인증심사에 포함되는 팀(IT팀, 인사팀, 기타 등등)을 제외하고, 인증심사에는 포함되지 않은 '개인정보취급자'에 대한 직접적인 심사/인터뷰가 따로 있을까요?
ISMS-P를 받는게 아니라서 개인정보취급자로 분류되는 팀은 인증심사 팀에 포함은 안된다고 컨설턴트가 말하긴 했는데, 해당팀 사무실에 방문을 따로 해서 인터뷰가 있는지 궁금합니다.
작년에 해당팀에 대해 결함 나온 것이 있는데, 임시로 보완한 걸로 보완조치 보고서 내고 넘어갔는데...
사실 아직 완전 해결 못하고 계속 임시 땜빵한 걸로 계속 쓰고 있는지라... 쫌더 방어해 보려고 이거저거 보완하긴 했는데, 작년 결함 뜬거 올해도 또 결함 뜨면 문제 소지가 확실한지라 해당팀 인터뷰가 있는지 궁금하네요.
8개의 답변이 있습니다.
5일 심사면 대략 이렇게 진행됩니다.
1일차 - 심사계획 설명(심사팀장), 심사원간 업부문장, 신청기관 회사/사업 소개, 증적문서 검토, 네트워크 구성도 설명, 관리자 페이지 시연, 종료 전 증적요청사항/인터뷰 필요 대상 전달
2일차 - 각 심사원 별로 증적문서 검토, 인터뷰 및 실사
3일차 - 각 심사원 별로 증적문서 검토, 인터뷰 및 실사, IDC 또는 지사 방문(필요시)
4일차 - 예비결함사항 취합 및 심사팀 내부 검토 후 신청기관 담당자 전달
5일차 - 결함 최종 결정 및 결함보고서 작성, 종료 보고
심사팀마다 운영되는 방식은 다릅니다만, 대략적으로 저렇게 흘러간다고 보시면 되구요.
심사대응 하시는 분이 적어주신분 1명이라면 많이 바쁘실듯 하네요.
그리고 인증범위가 어떻게 되는지는 모르겠지만, ISMS-P가 아닌 ISMS라 하여 개인정보를 안본다는건 컨설팅회사가 잘못된 정보를 준것 같네요.
ISMS-P처럼 개인정보 라이프사이클에 따라 깊게 들여다보지 않는다 뿐이지, 법에서 요구하는 개인정보보호와 관련한 사항들은 들여다봅니다. (개인정보 암호화 조치, 관리자페이지 접근권한관리, 주요직무자(개인정보 취급자 현황), 개인정보처리방침 등)
ISMS에는 개인정보보호와 관련한 직접적인 통제항목은 없지만, 개인정보보호와 관련한 항목들은 법에서 위임한 고시에서 지정하고 있는 사항으로 결함사항 발견시 1.4.1 법적 요구사항 준수 검토 항목을 적용합니다.
25개 보험사 ISMS 심사 실사를 했었죠
IT부분의 수집 자료를 만들어 보험사 올때마다
뻐꾸기처럼 나불거렸네요
준비된자료가 있고 얖으로 개선 사항에 대해 수행할수 있다면
큰 문제 없습니다
구체적인건 그때 그때 다를 거 같네요.
한국인터넷 진흥원 자료 참고해 보고, 문의해 보는 것도 방법일거 같고...
구체적인건 심사원에게 직접 문의해 보는게 맞지 않을까 싶네요.
구체적인 방법들은 다른분들이 다 좋은 말씀해주셔서
일단 심사전에 심사원에게 메일이나 전화가 가능하면 연락하셔서
상황설명(사수퇴사, 처음대응)하시고 미리 준비해야 하고 신경써야 하는 부분들 물어보시는것도
팁이 될수 있습니다.
최초 평가는 작성해야 할 지침, 절차서 문서도 작성해야 되고 관리체계도 갖춰야 됩니다.
예산이 좀 있으시면 컨설팅을 받으셔서 사전에 심사에 대해 진행 상황이나 이런걸 알수 있습니다.
오래전에 받았던 기억이 있습니다.
심사 전에 서류 등 모두 프린트 해서 바인딩 해서 정리 만 잘 해놓으니 어렵지 않게 통과 됐습니다.
체크리스트 작성 하신 후에 서류와 직인 등 날인 하신후 관리 하시면 됩니다.
심사 잘 넘어가길요
제가 전회사가 클라우드 회사라서 ISMS를 진행한 적이 있었는데
내부에 개인정보보호자격증을 보유한 사람이 필수로 있어야 하고
지금 말씀하셨던 프로세스대로 진행이 되었던 것으로 저도 기억해요
회사에 1명 내지는 2명 정도의 개인정보보호 자격을 보유한 사람이 반드시 필요해서
그 당시 저는 마케팅 부서였는데, 팀장님께서 ISMS 심사 자격증인가? 그걸 급하게 따시면서
공부하셨던게 기억이 납니다..
인터뷰도 하셨었구요..(그래서 스트레스 엄청 받으셨다는..ㅓㄹ껄)
답변이 초라해서 죄송하네여,,ㅠ
최초심사라면 준비를 많이 하셔야할것 같습니다.
ISMS는 아니지만 ISO27001 기준으로는..
기본적으로 심사계획서를 받아보시면(심사팀장이 먼저 전달해주실겁니다.) 해당 스케쥴이 나와있으니, 조정하셔서 대응하시면 되구요
작년에 받으신 경부적합사항에 대해서 조치계획서,완료서 등이 있어야할것 같습니다.
올해 위험성평가도 해야하시고, 내부감사도 진행이 되어야하지 않을까 합니다.
보통은 담당하는 팀에서 대응을 다 하시지만, 최초심사이기에 문서심사 뿐만아니라 현장심사도 다 진행이 되어서 현장에도 방문을 할것 같습니다.
현장에 방문을 한다면 보안이슈가 되는 항목들을 체크할예정일것이고, 아마 현업 인터뷰도 준비해야할것 같습니다.
(사전에 일정을 공지하시고, 그 심사때는 되도록이면 보안준수 당부를..)