ISMS와 ISO 27001 통합 인증, 매뉴얼 한 벌로 끝내는 방법

"두 인증 매뉴얼을 따로 만들어야 하는 줄 알았습니다"

ISMS-P 인증 실무를 단독 책임지는 정보보안 담당자께서 가장 자주 하시는 말씀입니다. ISMS-P 준비만 6개월 동안 매뉴얼·통제명세서·증빙을 작성하셨는데, 이제 임원진이 "ISO 27001도 받자"고 하시면 망연자실해지는 게 당연합니다.

JV의 답은 명확합니다. 매뉴얼은 한 벌만 만드시면 됩니다. 6개월 작업이 추가 6주로 끝납니다.

통합 매뉴얼이 가능한 구조적 이유

ISMS-P 인증기준은 KISA가 발간한 인증기준 안내서를 따릅니다. 정보보호 통제 80개 + 개인정보 보호 통제 22개로 구성되어 있습니다.

ISO 27001은 부속서 A에 93개 통제 항목을 두고 있습니다. 그리고 ISO 27001:2022 개정으로 통제 항목이 4개 카테고리(조직·인적·물리·기술)로 재구조화되었습니다.

두 인증을 통제 단위로 매핑하면 70개 항목이 1대1 또는 1대다로 매칭됩니다. 즉 정보보호정책 1건을 작성하면 그것이 ISMS-P 1.1.1과 ISO 27001 A.5.1을 동시에 충족합니다.

통합 매뉴얼 6단계 작성법

JV는 200건 이상의 통합심사 경험을 통해 다음 6단계 방법론을 정립했습니다.

Step 1. 통제 매핑표 작성 (1주)

ISMS-P 102개 통제와 ISO 27001 93개 통제를 한 시트에 나란히 놓고 매핑합니다. JV가 제공하는 매핑 템플릿을 사용하면 1주 내 완료됩니다.

Step 2. 정보보호정책 1벌 작성 (2주)

매핑표를 기반으로 정보보호정책서 1벌을 작성합니다. 각 정책 조항이 어떤 ISMS-P·ISO 27001 통제를 충족하는지 주석으로 명시합니다.

Step 3. 통제명세서 1벌 작성 (3주)

ISMS-P 통제별 명세서와 ISO 27001 SoA(Statement of Applicability)를 동일 형식으로 통합합니다. 각 통제의 구현 방법, 책임자, 증빙 위치를 한 표에 기록합니다.

Step 4. 운영 절차서 1벌 작성 (4주)

접근통제·변경관리·사고대응·물리보안·사업연속성 등 운영 절차서를 작성합니다. ISMS-P 인증기준과 ISO 27001 부속서 A를 동시에 만족하도록 작성합니다.

Step 5. 증빙 수집 1벌 (3주)

로그·승인 기록·점검 결과·교육 이수 증빙 등을 수집합니다. 한 증빙이 두 인증 모두에 사용되도록 폴더 구조를 잡습니다.

Step 6. 내부심사 1회 + 본심사 시간차 (4주)

ISO 19011 기반 내부심사 1회를 실시합니다. 그 후 ISMS-P 본심사를 먼저 받고, 4~6주 후 ISO 27001 본심사를 받습니다. 두 심사 모두 동일 매뉴얼·증빙을 사용합니다.

총 17주(약 4개월) 일정입니다. ISMS-P 단독 6개월보다 빠르고 비용은 30~40%만 추가됩니다.

실무자가 겪는 3가지 착각

착각 1. "ISO 27001은 영문 매뉴얼이 필요할 것"

국내 인증기관(BSI Korea, DNV, SGS, TUV 등)은 한글 매뉴얼로 심사합니다. 영문 매뉴얼은 해외 거래처 제출용으로 별도 번역하면 됩니다.

착각 2. "ISMS-P 매뉴얼을 ISO 27001 형식으로 다시 써야 할 것"

ISO 27001은 매뉴얼 형식을 강제하지 않습니다. ISMS-P 매뉴얼에 ISO 27001 통제 매핑 주석을 추가하는 것으로 충분합니다.

착각 3. "통합심사를 받으면 한 번에 두 심사기관이 와야 할 것"

각 인증기관은 별도로 심사를 진행합니다. 다만 같은 매뉴얼·증빙을 사용하므로 실무자는 한 번 준비하고 두 번 응대하면 됩니다.

임원 설득 자료로 사용하기

이 글을 임원 보고 자료로 그대로 활용하시면 됩니다. 핵심은 다음 한 줄입니다.

> "매뉴얼은 한 벌만 작성합니다. 추가 비용 30~40%, 추가 기간 6~8주로 ISO 27001을 같이 받습니다."

JV가 무료 진단 30분으로 귀사 매뉴얼의 ISO 27001 호환률을 점검해드리겠습니다. 호환률 70% 이상이면 6주 내 추가 취득이 가능합니다.