[Day 270] KISA ISMS 심사 대응 절차

※ 심사 대응 절차는 실무자별/회사별로 다를 수 있음

1. 심사 전 준비사항

일정 (심사 시작일 기준)	할일	비고
-2개월	ISMS 인증심사 신청 <제출서류> 1) 정보보호관리체계 명세서 2) 정보보호 운영명세서	희망 일정 최소 2개월 전에 제출 이행점검완료 후, 사후심사의 경우 2주, 갱신심사의 경우 4주 정도 여유가 필요하므로 사후심사는 인증만료일 114일 전, 갱신심사는 인증만료일 -130일 전에는 완료되어야 함
-3주	KISA 심사팀장과 심사일정 조율	사후심사의 경우, 심사팀장이 미리 희망일정을 확인함 - 인증심사 직전에 신청서에 기재한 희망주차를 참고하여 최종 조율
-3주	ISMS 심사비용 기안서, 지출결의서 작성	심사 2주 전에 납부되어야 함
-2주	회의실 예약	보통 실사 위주이므로 큰 회의실 1개만 예약
-10일	인증심사 인터뷰 대상이 될 가능성이 있는 인원에게 일정 사전 공지 - 특히 심사종료 전날은 결함 검토가 필요하므로 필참!	최소 1주 전 미리 공지
-7일	관련 증적 취합 완료
-5일	범위정의서 작성
-3일	심사용 노트북 대여 후 세팅	노트북에 정책 및 지침 저장 USB 쓰기 제한 업무망이 아닌 Guest 망을 쓰도록 가이드
-2일	심사계획 메일을 참고하여 하드카피 문서 준비	<예시>   1) 하드카피 3부   ① 인증심사 범위 내 업무 담당자 연락처   ② 인증신청서 풀셋/정보보호 관리체계 명세서(운영명세서 포함)   ③ 네트워크 구성도 (IP정보 포함)   ④ 정보자산목록   2) 하드카피 2부 또는 PC 2대이상 소프트카피 제공   ① 정보보호 지침, 절차, 메뉴얼   ② 위험분석(평가)보고서, 위험조치계획서/결과서, 정보보호 감사 계획/결과 보고서   ③ 취약점 진단/모의해킹 결과보고서   ④ ISMS 이행증적 자료   ⑤ 전년도 보완조치내역서
-1일	다과 구매 및 세팅 종료회의에 참석할 인원 회의실 초대 노트북 세팅

 

2. 심사기간

일정	할일	비고
심사당일 오전	범위정의서 기준으로 현황 소개
심사당일 오후	심사원 협의결과에 따른 인터뷰 일정 확인 후 담당자 일정 조율
심사기간	실사 동석하여 인터뷰 답변 보완
심사 종료 전날	심사팀장으로부터 예비결함목록 전달받아 각 담당자들에게 배포 후 당일 확인 요청 결함사항에 잘못된 점이 있는지 조치계획을 수립할 수 있는지(조치방향을 모르겠다면 심사원에게 문의 필요) 대략적인 조치기한 산정	1) 예비결함 줄때 결함별로 담당자 이름 기재해달라고 해야 함 - 결함목록만 받으면 누구와 실사도중 나온 결함인지 실무자들도 헷갈릴 수 있음 2) 심사원과 담당자들이 모여 다같이 리뷰할 수 있으면 한번에 끝낼 수 있어서 좋음
심사 종료일	종료 회의

 

3. 심사 후

일정 (심사종료일 기준)	할일	비고
+2일	담당자들에게 결함 목록 배포 후 조치계획 수립 요청
+3일	JIRA에 결함 등록 후 담당자에게 할당	이행점검을 고려해 데드라인은 조치일정에서 최소 2주전으로 설정 필요
+35일	보완조치 연장 공문 발송(직인 날인 후 스캔본)	심사종료 후 40일 이내 발송 필요
+85일	보완조치내역서 정보보호팀장 서명 스캔하여 발송	이행점검 일정을 고려해 2주전 발송 필요
+90일	1) 심사팀장이 보완조치내역서 확인 후 수정할 사항 전달 2) 수정사항 보완 후 이행점검 일정 협의 3) 담당자들에게 이행점검 일정 공지
+100일	이행점검 후 심사팀장과 CISO가 보완조치완료확인서 서명
이행점검 결과, 보완조치내역서에 추가로 수정할 사항이 있을 경우	1. 수정하여 아래 3개 스캔본 먼저 발송  1) 정보보호팀장, KISA 심사팀장 서명한 전체 보완조치내역서 스캔본  2) 보완조치 완료 확인서 스캔본  3) 보완조치 완료 공문(직인 날인) 스캔본 2. 아래 2개는 원본으로 등기 발송  1) 정보보호팀장, KISA 심사팀장 서명한 전체 보완조치내역서 원본  2) 보완조치 완료 확인서
이전 심사 후 1년 이내	사후심사 완료 공문 수신