ISMS는 받았는데 글로벌 거래처는 ISO 27001을 묻습니다 — 통합 매뉴얼 한 벌의 비밀
"ISMS는 이미 받았는데 왜 또 ISO 27001을 받아야 하나요?"
국내 IT·SaaS 기업이 해외 거래처와 협약을 진행하면 가장 자주 듣는 질문입니다. 답은 단순합니다. 두 인증은 같은 영역을 다루지만 목적과 기준이 다릅니다.
ISMS와 ISO 27001, 무엇이 다른가
| 구분 | ISMS (한국) | ISO 27001 (국제) |
|---|---|---|
| 주관 | 한국인터넷진흥원 (KISA) | 국제표준화기구 (ISO) |
| 인증 범위 | 국내 정보보호 관리체계 | 국제 표준 정보보안 관리체계 |
| 의무 대상 | 매출 1,500억 이상·DAU 100만 이상 등 법정 의무 | 법정 의무 X, 자발적·계약 요구 |
| 해외 인정 | 국내 한정 | 전 세계 통용 |
| 심사 주기 | 3년 (매년 사후심사) | 3년 (매년 사후심사) |
| 비용 | 약 1,500만~3,000만원 | 약 800만~1,500만원 |
차이의 핵심은 "어디서 인정되느냐"입니다. 한국 안에서 정보보안을 증명하려면 ISMS, 글로벌 거래에서 증명하려면 ISO 27001. 둘은 경쟁 관계가 아니라 보완 관계입니다.
해외 거래처가 ISO 27001을 묻는 진짜 이유
글로벌 대기업의 정보보안 정책 문서에는 거의 예외 없이 한 줄이 있습니다.
"All third-party vendors handling our data must hold ISO 27001 certification or equivalent."
이 "equivalent"가 함정입니다. 발주처는 자기네 본사 standards에서 인정한 인증만 받습니다. ISMS는 한국 외에서는 equivalent로 인정 안 되는 경우가 대부분입니다.
결과: ISMS만 보유한 회사가 글로벌 입찰에 응했는데 마지막 단계에서 "ISO 27001 추가로 받아오세요"로 떨어지는 사례가 누적되고 있습니다.
두 인증을 따로 받으면 — 손해의 구체적 액수
이미 ISMS를 받은 회사가 ISO 27001을 별도로 진행할 때 드는 추가 비용:
- 컨설팅비: 800만~1,500만원 (ISMS와 중복 영역 있어도 새 매뉴얼 작성)
- 심사비: 300만~500만원 (외부 심사기관)
- 시간: 8~12주 (ISMS 매뉴얼과 분리 작성·심사)
- 내부 인력 부담: 정보보안 담당자 80~120시간 추가 투입
같은 정보보안 통제를 두 번 문서화하고 두 번 심사받는 셈입니다. 같은 시스템·같은 절차인데 매뉴얼만 두 벌.
통합 매뉴얼 한 벌로 끝내는 방법
ISMS와 ISO 27001의 통제 항목은 약 70%가 겹칩니다. 차이는 30%인데, 그 차이를 정확히 알면 매뉴얼을 한 벌로 통합해서 두 인증을 동시에 통과시킬 수 있습니다.
Just Verify의 통합 접근:
- 현재 ISMS 매뉴얼 갭 분석 — ISO 27001 Annex A 114개 통제 항목 대비 누락분 식별
- 통합 매뉴얼 작성 — ISMS 인증기준 + ISO 27001:2022 통제 항목을 한 문서로 통합. 심사관 출신이 두 표준의 차이를 정확히 알기 때문에 가능
- 심사 동시 진행 — ISO 27001 외부 심사일과 ISMS 사후심사일을 정렬해서 같은 매뉴얼로 양쪽 심사
- 인증 비용 30~40% 절감 — 매뉴얼 한 벌·심사 동시 진행으로 컨설팅·내부 인력 모두 단축
실제 사례 — SaaS 스타트업 7명
SaaS 스타트업 A사 (직원 7명, 매출 18억). 대기업 협력사 등록 위해 ISMS와 ISO 27001 모두 필요. 별도 진행 견적은 ISMS 1,800만원 + ISO 27001 1,200만원 = 3,000만원.
Just Verify 통합 패키지로 진행:
- 통합 매뉴얼 1벌 작성 (6주)
- ISMS 인증·ISO 27001 인증 같은 매뉴얼 기준 심사
- 총 비용 1,920만원 (정부 지원 30% 매칭 후 1,344만원 자부담)
- 대기업 등록 6주 만에 완료, 첫 계약 시점 3개월 앞당김
심사관이 알려주는 통합 시 체크 포인트 3가지
1. ISO 27001:2022 개정 반영 여부. ISO 27001은 2022년 개정되어 통제 항목이 114→93개로 재편됐습니다. 기존 ISMS 매뉴얼이 옛 ISO 27001:2013 기준이면 통합 시 추가 작업 필요.
2. 위험 평가 방법론 일치. ISMS는 자체 위험 평가, ISO 27001은 위험 처리 통제 명시. 둘을 같은 위험 등록부로 연결하면 심사 통과율 97%.
3. 글로벌 거래처 요구사항 사전 확인. 발주처가 추가로 SOC 2·HIPAA·PCI-DSS 등 요구하는지 확인. 통합 매뉴얼에 미리 흡수하면 향후 인증 비용 추가 50% 절감.
지금 시작하면 — 6주 안에 두 인증 동시 완료
대기업 협력사 등록 진행 중이거나, 해외 거래처가 ISO 27001 요구하는 상황이라면 6주가 표준 일정입니다.
- 1주차 — 현재 ISMS 매뉴얼 갭 분석 + 통합 매뉴얼 골격 작성
- 2~3주차 — 통제 항목 114개·93개 매뉴얼 작성·내부 검토
- 4주차 — 내부심사·시정조치
- 5주차 — ISMS 사후심사·ISO 27001 외부 심사
- 6주차 — 인증서 발급·대기업 등록 절차 시작
이 일정을 단축할 수 있는 변수는 단 두 가지입니다. 통합 매뉴얼 작성자가 두 표준의 차이를 정확히 아는지, 심사관 일정을 1주 안에 확보할 수 있는지. 둘 다 Just Verify는 자체 팀으로 가능합니다.
30분 무료 진단에서 우리 회사 ISMS 매뉴얼의 ISO 27001 갭을 진단해 드립니다. 본문 아래 링크로 신청하실 수 있습니다.
ISO 인증, 비용·일정·절차가 궁금하다면
Just Verify는 KAB 인정 인증기관과 직접 연계해 ISO 9001·14001·45001·27001·42001을 6주~12주 내 완료합니다.
| 자비 견적 | ₩280만원 |
| 정부지원 후 | ₩84만원 |
직원 50명 이하 · 중소벤처기업부 컨설팅 바우처 적용 시 70% 절감
심사원 양성과정에 관심 있으신가요? 교육 일정 보기 →