통합 인증 6개월 로드맵 + 무료 진단 30분

"결정만 하면 나머지는 어떻게 되나요?"

ISMS-P × ISO 27001 통합 인증 도입을 결정하신 대표님과 정보보안 책임자께 가장 자주 받는 질문입니다. 이미 두 편의 글에서 비용·리스크·기회를 다뤘습니다. 이제는 실제 6개월 동안 무엇이 일어나는지, JV가 어디까지 함께하는지 한 페이지로 정리해드립니다.

6개월 통합 인증 표준 로드맵

JV가 200건 이상의 통합심사 컨설팅에서 정립한 6개월 표준 일정입니다.

Month 1 — 현황 진단 + 매핑표 작성 (Week 1~4)

- Week 1: JV 무료 진단 (30분) → 호환률 평가
- Week 2: 본 컨설팅 계약 → 킥오프 미팅
- Week 3: ISMS-P × ISO 27001 통제 매핑표 작성
- Week 4: 갭 분석 보고서 → 임원 보고

산출물: 매핑표·갭 분석·6개월 일정표

Month 2 — 정보보호정책서 + 통제명세서 (Week 5~8)

- Week 5~6: 정보보호정책서 1벌 작성 (JV 템플릿 활용)
- Week 7~8: 통제명세서 + ISO 27001 SoA 통합 작성

산출물: 정보보호정책서·통제명세서·SoA

Month 3 — 운영 절차서 + 위험평가 (Week 9~12)

- Week 9: 위험평가 방법론 선정 → 자산 식별·위험 평가
- Week 10~11: 접근통제·변경관리·사고대응·물리보안·BCP 절차서
- Week 12: 임직원 정보보호 교육 자료 + 교육 실시

산출물: 운영 절차서 5종·위험평가 보고서·교육 자료

Month 4 — 증빙 수집 + 내부심사 (Week 13~16)

- Week 13~14: 로그·승인 기록·점검 결과·교육 이수 증빙 수집
- Week 15: ISO 19011 기반 내부심사 1회
- Week 16: 부적합 시정 조치 + 경영검토 보고서

산출물: 증빙 폴더·내부심사 보고서·경영검토 보고서

Month 5 — ISMS-P 본심사 (Week 17~20)

- Week 17: KISA 인증 신청 → 심사기관 배정
- Week 18~19: 1차 심사(서면) + 2차 심사(현장)
- Week 20: 부적합 시정 조치 → ISMS-P 인증서 발급

산출물: ISMS-P 인증서

Month 6 — ISO 27001 본심사 (Week 21~24)

- Week 21: ISO 27001 인증기관 선정 (BSI Korea, DNV, SGS, TUV 중)
- Week 22~23: Stage 1 심사(서면) + Stage 2 심사(현장)
- Week 24: 부적합 시정 조치 → ISO 27001 인증서 발급

산출물: ISO 27001 인증서

총 24주, 약 6개월. 이미 ISMS-P를 보유하신 경우 Month 5를 건너뛰어 6~8주로 단축됩니다.

JV가 함께하는 범위

각 단계에서 실무자가 단독으로 진행하지 않습니다. JV 컨설턴트가 다음과 같이 함께합니다.

- 매뉴얼 템플릿 제공: 정보보호정책·통제명세서·운영절차서 템플릿 (200건 검증)
- 주간 진척 미팅: 매주 1회 화상 또는 대면 미팅
- 임원 보고 자료 작성 지원: Month 1 갭 분석, Month 4 내부심사 결과
- 인증기관 대응 동행: Stage 1·Stage 2 심사 시 컨설턴트 동행
- 부적합 시정 조치 지원: 심사 결과 부적합 사항 시정 컨설팅
- 사후관리 1년: 인증 취득 후 1년 사후관리 컨설팅 포함

실무자는 매뉴얼을 처음부터 만들지 않습니다. JV 템플릿에 귀사 정보를 채우고, 컨설턴트가 검토합니다.

비용 구조 (예시)

매출 200억 규모 제조업·SaaS 기업 기준입니다.

| 항목 | 금액 |
|---|---|
| JV 컨설팅 비용 (6개월) | 1,800~2,400만 원 |
| ISMS-P 심사 수수료 (KISA) | 700~1,200만 원 |
| ISO 27001 심사 수수료 (인증기관) | 600~1,000만 원 |
| 총합 | 3,100~4,600만 원 |

ISMS-P 단독 추진 시 컨설팅비만 1,500~2,000만 원, ISO 27001 추후 별도 추진 시 추가 1,500~2,000만 원이 발생합니다. 통합 추진이 단독 두 번 대비 30~40% 저렴한 이유입니다.

무료 진단 30분 — 첫 시작점

본격 컨설팅 계약 전 무료 진단을 권장합니다. 30분 화상 미팅으로 다음을 확인합니다.

1. 현재 정보보호 체계 진단 (체크리스트 30개)
2. ISMS-P × ISO 27001 통합 인증 가능 여부
3. 예상 일정 + 예상 비용 산출
4. 결과 무료 PDF 리포트 발송 (당일 또는 익일)

진단 결과 PDF는 임원 보고 자료로 그대로 사용 가능합니다. 진단 후 컨설팅 계약 의무는 없습니다.

[무료 진단 30분 신청하기](https://just-verify.co.kr/diagnose)

다음 분기 시작 전 결정을 권장하는 이유

통합 인증 6개월 일정은 분기 단위로 시작하는 게 효율적입니다. 다음 분기 시작 전에 무료 진단을 받으시면 그 분기 첫 달부터 본격 컨설팅이 시작되어 6개월 후 인증서를 받을 수 있습니다.

JV가 결정만 하시면 나머지 6개월을 끝까지 함께합니다. 200+ 통합심사 경험으로 첫 시도부터 확실한 결과를 만들어드리겠습니다.