품질경영-ISO 27001 인증심사 준비: 필요서류·프로세스·KPI 요약

안녕하십니까 품질쟁이 해월 입니다. 요즘들어 전산에 대한중요성이 더욱 부각되고 있다는것은 두말할 것이 없다고 생각합니다. 각종 해킹, 디도스공격, 거기에 고객은 반드시 제품생산에 추적성을 포함 하여 공장 공정내의 모든 과정은그증거가 추적되고 기록되고 백업되어야 한다고 정하고 있습니다. 더하여 개인정보의 중요성까지 ....그리고 거기에는 반드시 품질 과 묶어서 함게 대책을 요구합니다. 필드에서부적합이 발생하면 어느범위 까지 오염이 되어 있는지 찾아라!! 정말 품질인들의 숙명이고 최대의 난재입니다. 오늘은  그 일환으로 정보의 보호측면에서 시스템을 알아보겠습니다    

ISO 27001 인증심사는 조직의 정보보안경영시스템(ISMS, Information Security Management System) 이 국제표준 요구사항에 따라 체계적으로 구축·운영되고 있는지를 평가하는 절차입니다. 최근 제조업과 글로벌 공급망에서는 단순한 품질 경쟁을 넘어 정보보안 역량이 기업 신뢰도의 핵심 요소가 되고 있습니다. 특히 ERP·MES·PLM·고객도면·개발데이터·개인정보 등을 보유한 조직은 해킹, 랜섬웨어, 내부정보 유출과 같은 보안 리스크에 노출되어 있으며, ISO 27001은 이러한 위험을 예방하고 지속적으로 관리하기 위한 국제표준입니다.

ISO 27001 인증심사는 일반적으로 1단계(Stage 1) 문서심사와 2단계(Stage 2) 운영심사로 구성됩니다. 심사원은 단순히 보안문서의 존재 여부가 아니라, 보안통제가 실제 운영되고 증빙기록이 남아 있는지를 중심으로 평가합니다.

1. ISO 27001 인증심사 시 필요서류

ISO 27001은 “정보보호 체계가 실제 작동하는가”를 입증할 수 있는 문서와 기록을 요구합니다.

① ISMS 기본 문서

• 정보보안 정책 및 목표
• 적용범위(Scope)
• 조직도 및 역할·책임(R&R)
• 정보보안 매뉴얼 및 절차서
• 자산관리 기준
• 정보보안 조직 운영 규정

최고경영자의 정보보안 의지와 책임 체계가 명확히 문서화되어 있어야 합니다.

② 정보자산 및 위험관리 문서

ISO 27001의 핵심은 위험기반 접근(Risk-Based Approach) 입니다.

• 정보자산 목록(Asset Inventory)
• 자산 중요도 분류
• 위험성평가(Risk Assessment) 기록
• 위험처리계획(Risk Treatment Plan)
• 적용성 선언서(SOA, Statement of Applicability)

서버, PC, ERP, MES, 클라우드, 고객데이터, 설비제어 시스템 등 모든 정보자산이 관리대상입니다.

③ 운영 및 보안통제 기록

실제 운영 증빙이 매우 중요합니다.

• 접근권한 관리 기록
• 계정 생성·변경·삭제 기록
• 백업 및 복구 기록
• 서버·네트워크 점검 기록
• 패치 및 취약점 관리 자료
• 로그(Log) 관리 기록
• 보안장비 운영자료(Firewall·VPN 등)
• 외주·협력사 보안관리 기록

심사원은 시스템 접근통제가 실제 운영되는지 현장 인터뷰와 샘플 확인을 통해 검증합니다.

④ 인적보안 및 교육자료

보안사고는 기술보다 사람에 의해 발생하는 경우가 많습니다.

• 정보보안 교육 계획
• 교육 이수 기록
• 보안서약서(NDA)
• 신규·퇴직자 보안관리 기록
• 재택·원격근무 보안정책

직원들의 보안 인식 수준과 정책 이해도가 중요한 심사 항목입니다.

⑤ 사고대응 및 개선 관련 문서

• 정보보안 사고 대응절차
• Incident 보고 및 처리기록
• 내부심사 결과
• 시정조치(CAPA)
• 경영검토 회의록
• KPI 및 모니터링 자료

사고가 없다는 것보다 사고 발생 시 탐지·보고·복구 체계가 존재하는지가 중요합니다.

---

2. 인증심사를 위한 준비 프로세스

ISO 27001 구축은 일반적으로 다음 단계로 진행됩니다.

① Gap Analysis(현황 진단)

현재 보안수준과 ISO 27001 요구사항을 비교하여 부족한 부분을 파악합니다. 접근권한, 백업, 로그관리, 문서체계 미흡이 자주 발견됩니다.

② ISMS 구축 및 정책 수립

조직 상황(Context)과 이해관계자를 고려하여 보안정책과 절차를 수립합니다. 이 단계에서 Scope와 자산범위를 명확히 정의해야 합니다.

③ 위험성평가 및 통제 선정

ISO 27001의 핵심 단계입니다. 자산별 위협과 취약점을 분석하고 위험등급을 산정하여 통제계획을 수립합니다. 이후 SOA를 통해 어떤 보안통제를 적용할 것인지 결정합니다.

④ 교육 및 조직 정착

전 임직원을 대상으로 보안정책과 사고보고 체계를 교육합니다. 단순 교육보다 실제 업무 반영이 중요합니다.

⑤ 내부심사(Internal Audit)

인증 전 자체심사를 실시하여 부적합과 개선기회를 확인합니다. 문서와 운영의 일치성이 핵심입니다.

⑥ 경영검토(Management Review)

최고경영층이 보안 리스크, 사고현황, KPI, 자원 필요성을 검토하고 개선방향을 결정합니다.

⑦ 인증심사(Stage 1·2)

• Stage 1: 문서 및 시스템 준비상태 심사
• Stage 2: 현장 운영·인터뷰·실행 수준 심사

부적합 발생 시 시정조치 완료 후 인증이 부여됩니다.

---

3. ISO 27001에서 관리되어야 할 핵심 KPI

ISO 27001 KPI는 사고 건수보다 예방과 통제의 실효성 측정이 중요합니다.

선행지표(Leading KPI)

예방·관리 중심 KPI

• 정보보안 교육 이수율
• 패치 적용률
• 취약점 조치 완료율
• 접근권한 정기점검 수행율
• 백업 성공률
• 로그 모니터링 수행율
• 내부심사 완료율
• 협력사 보안평가 수행율

결과지표(Lagging KPI)

성과·사고 중심 KPI

• 정보보안 사고 발생건수
• 랜섬웨어·악성코드 감염건수
• 시스템 다운타임
• 정보유출 발생건수
• 계정 오남용 건수
• 법규·고객 보안요구 위반건수
• 사고 복구시간(MTTR)
• 보안 손실비용

최근 ISO 27001 인증심사에서는 “사고가 없었다”는 결과보다 보안 리스크를 식별하고, 예방하며, 지속적으로 개선하는 체계가 운영되는가를 더욱 중요하게 평가합니다. 결국 ISO 27001 인증의 본질은 문서 인증이 아니라, 정보자산을 보호하고 고객과 시장의 신뢰를 확보할 수 있는 실행 가능한 정보보안경영시스템을 구축하는 것에 있습니다

얼마전에 각종 필드이슈로 1차사의 각 관리부문에서는 세미나가 있었습니다. 요구사항은 "용접품의 SUB까지도 반드시 LOT추적을 해라" 이를위해  바코드, 레이저 각인, 스티커, 등등 추적성을 가질수 있는 식별가능 한모든 방법들이 동원되고 있습니다. 원가는 자꾸올라가는데 비용은 상각입니다 날로어려워 지네요 모두 힘내십시요 화이팅