ISMS-P, 사후심사

ISMS-P는 인증 취득보다 사후심사가 더 중요해진 상태다. (C기업 개인정보유출 사태로인하여)
최근 사후심사는 형식 점검이 아니라 실제 운영 실태를 검증하는 방향으로 강화되고 있다.

 

 

 

1. ISMS-P 사후심사란?

• ISMS-P 인증 후 매년 정기적으로 받는 유지 심사
• 인증 당시 수준이 지속적으로 유지되고 있는지 확인
• 사고 발생 시 수시·특별 사후심사로 전환 가능

2. 최근 사후심사가 까다로워진 이유

• ISMS-P 인증 기업에서도 개인정보 유출 사고 반복
• 문서 중심 → 실운영 중심으로 심사 방향 변경

 

 

사후심사에서 집중 보는 항목

① 접근권한 관리

• 관리자·DB 계정 과도한 권한 여부
• 퇴사자·권한 변경 이력 관리
• 계정 공유 여부

② 로그 관리

• 로그 보관 여부 ❌
• 정기 점검 여부 + 조치 이력 필수

③ 개인정보 처리 실태

• 화면 외
  • 배치
  • 통계
  • 관리자 API
• → 모두 개인정보 처리 대상

④ 사고 대응 체계

• 유출 의심 시
  • 누가 인지?
  • 보고 체계는?
  • 외부 신고 기준은?

실무 관점 한 줄 정리

ISMS-P 사후심사는 “인증 유지용 절차”가 아니라 “운영 검증”이다.

 

5. 사후심사 대응 핵심 포인트

• 문서 최신화보다 운영 증적 확보
• 배치·관리자 권한 우선 점검
• 로그는 “수집”이 아니라 “점검”
• 슈퍼어드민 권한 최소화