ISMS 인증 의무대상자 안내 공문을 받았습니다.

안녕하세요, 스타트업 생존보안 secucon입니다.

이번 뉴스레터부터 가상의 스타트업을 설정하고, ISMS 인증 의무대상 공문을 받은 시점부터 인증 취득까지의 여정을 시작해 보겠습니다. 총 4회에 걸쳐서 인증 준비부터 심사, 그리고 취득까지 간단히 살펴보고 이후 순서대로 깊이 들어가 보려 합니다.

정보보호 관리체계 (이하 ISMS) 인증은 정보통신망법을 근거로 마련된 제도로, 과학기술정보통신부가 소관부처입니다. 그리고 인증 제도의 운영을 한국인터넷진흥원(이하 KISA)이 인증기관으로써 지정받아 수행하고 있습니다. 금융분야의 경우, 금융보안원이 전담하고 있고 인증 의무대상자에는 여러 산업 또는 기관의 형태가 있으나 뉴스레터에서는 보편적인 스타트업을 기준으로 풀어가겠습니다.

1. 어느 날, ISMS 인증 의무대상자 안내 공문을 받았습니다.

ISMS 인증 의무대상자가 된다면 위와 같은 공문을 등기우편 및 메일로 받게 됩니다.

의무대상자로 지정되는 여러 기준 중에 스타트업은 보통 아래 2가지 중 어느 하나 또는 모두에 해당 된다는 의미입니다. (이 외에는 ISP, IDC, 상급종합병원 등 규모가 크거나 관리가 필요한 산업이 대상이거든요)

만약 공문을 받았는데, 아무리 살펴봐도 전혀 해당되지 않는다면 공문과 함께 동봉되었을 붙임문서 중 ‘정보보호 관리체계 인증 의무대상자 제외 의견서’를 작성해 안내된 제출처로 증빙자료와 함께 제출해야 합니다.

통상 이 과정은 기업이 운영하는 비즈니스의 매출 구조 또는 이용자 수가 기준에 부합하지 않음을 소명해야하는데, 생각보다 제출해야 할 자료가 까다롭습니다. 특히 매출액 부문이 그렇습니다.

그렇다고 포기(?)해서는 안되겠지만 인터넷을 기반으로 서비스를 제공하고 그로부터 대부분의 매출이 발생하고 있다면 대부분 의무대상자라고 보는 게 맞습니다.

2. ISMS 인증 취득까지의 일정을 계산해 볼까요?

뉴스레터에 포함되진 않았지만 공문을 자세히 살펴보면 인증 취득 기한이 있는데요. 2024년에 의무대상자 공문을 받았다면 2025년 8월 31일까지 인증을 취득하도록 명시되어있습니다. 보통 4월에 이 공문이 발송되므로 대략 약 17개월 (1년 5개월) 이내에 인증을 취득해야 하는 결론이 나옵니다.

ISMS 인증심사 신청부터 인증 취득까지의 간략한 절차는 위와 같은데, 일정을 계산할 때 중요한 몇 가지 조건을 고려할 필요가 있습니다.

정보보호 관리체계를 구축하고 최소 2개월 이상 운영한 상태여야 한다.

이게 무슨 말이냐면, ISMS를 이루는 인증 기준이 있는데 심사를 받기 위해선 이 기준을 만족하는 체계를 구축하고 그 운영을 최소 2개월동안 진행하면서 제3자인 인증심사팀이 검증할 수 있는 여러 산출물들이 준비되는 기간을 말합니다.

인증의무대상자 공문을 받고 아무리 빨라야 2개월 뒤에나 인증심사를 받을 수 있다는 이야기일 수도 있는데요. 보통 아무 것도 마련되어있지 않은 스타트업 입장에선 2개월 내에 정보보호 관리체계를 구축한다는 건 쉽지 않으므로 이 조건은 크게 고려하지 않아도 되긴 합니다. (다만, 가장자산거래소 사업을 준비하는 스타트업이라면 예비인증이라는 단계도 있어 단계적으로 약간의 차이가 있을 수 있습니다)

인증심사를 마치면 발견된 결함사항에 대해 최대 100일 이내 조치해야 한다.

정보보호 관리체계를 구축하고 운영을 하고 있는 상태에서 인증심사를 진행하는데, 단순히 PASS or FAIL로 몇 개 이상이면 통과하는 방식은 아닙니다. 인증기준을 토대로 기업의 운영현황을 살펴본 다음 GAP이라고 판단한 사항을 결함으로 도출합니다.

그리고 인증심사 결과보고서에 이 결함들을 명시하여 기업이 보완조치하도록 요구하는데, 이 때 그 조치기한이 최대 100일입니다. 인증심사가 종료되는 다음 날부터 시작해 40일을 우선 부여하고 진행사항에 따라 기업이 필요하다고 판단되면 연장공문을 통해 60일을 더 연장할 수 있습니다. (기본 40일 + 연장 60일 = 최대 100일)

인증위원회 개최는 보통 월 2회 이루어진다.

이건 딱 고시로 정해져 있는 건 아니어서 언제든 달라질 수 있습니다. 이걸 고려해야하는 이유는 앞서 인증 취득이 공문을 받은 날로부터 다음 연도의 8월 31일까지 완료되어야 하는데, 만약 결함사항 조치를 다음 연도의 8월 20일에 완료했다면 인증 취득기한을 넘기게 되어 과태료 사안이 됩니다.

결론적으로 이 조건들을 고려했을 때, 다음 연도 8월 31일까지 인증을 취득한다고 했을 때 계산해보면 아래 일정 안에서 인증준비부터 취득까지 이루어져야 합니다. 물론, 인증준비를 빨리 준비할 수 있다면 이보다 앞당길 수도 있습니다.

3. 그럼 공문 받은 지금, 무엇부터 시작해야 할까요?

저는 가장 먼저 해야하는 것으로 인증심사 일정을 결정하는 것이라고 말씀드립니다. 다음 뉴스레터에서 다루겠지만 인증심사를 수행할 수 있는 심사기관은 정해져있고, 많은 기업들이 선호하는 인증심사 시즌은 보통 6월 말부터 9월 초입니다.

즉, 원하는 인증심사 일정으로 진행하고자 한다면 심사일정부터 빨리 결정해야 합니다. 특히 공문을 받은 당해연도에 인증심사를 받고자 한다면 더욱 그렇습니다.

다음 연도로 인증심사 일정을 잡고자 하더라도 미리 심사기관과 커뮤니케이션 하는 것이 필요하므로 기업 내에서 조직 상황(예산, 조직 및 인력, 서비스 특성 및 규모 등)을 고려하여 희망일정을 결정합니다. 인증심사는 서비스 특성 및 규모를 고려하여 심사일정이 결정되는데, 보통 5영업일동안 진행된다고 생각하고 아래와 같이 정리합니다.

어디까지나 기업 입장에서의 희망일정이므로 심사기관과 커뮤니케이션하면서 조율될 여지가 있다는 점을 참고해 주세요.

다음 뉴스레터에서 다룰 이야기

다음 뉴스레터에서는 인증심사 신청을 위해 필요한 서류가 무엇인지, 인증심사를 수행하는 심사기관은 무엇인지 등에 대해 나누어 보겠습니다.

이번 뉴스레터 내용이 유익했다면 구독해 주시고 다음 주에 뵙겠습니다!

감사합니다. 🤗