ISMS-P 인증 심사 인터뷰 후기

25년 7월 우연히 제팀이 관리하는 서비스 중 하나가 ISMS-P 인증 대상이어서, 심사 인터뷰를 하로 갔습니다.

 

ISMS-P 인증은 정보보호 및 개인정보보호 관리체계 인증을 의미하며, 기업이나 기관의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원(KISA) 또는 인증기관이 증명하는 제도입니다.

 

진행방식은 정말 면접처럼 진행했습니다. 서비스에 대해 소개를 하면 심사위원이 소개받은 서비스에 대해 한개한개 물어봅니다. 그리고 약관이 매우 중요합니다. 예를 들어 회원가입 약관을 모두 읽어보시고 법적으로 지켜야하는 약관을 전부 체크하십니다. 필수/선택 약관이 있는지, 개인정보처리수탁자가 명시되어 있는지 등을 봅니다. 기대했던 것 중에 암호 알고리즘 등을 물어볼 줄 알았는데 기술적인 것은 안물어봤습니다.

 

ISMS-P 인증 심사를 한 경험이 있는 팀원이 한가지 꿀팁을 줬습니다. 물어본 말만 대답하고 쓸떼없는 말은 하지 말아라! 라고 조언을 줬습니다. 예를 들어 서버에 ssh로 접속하냐라는 질문이 있으면, ssh로 접속합니다/안합니다라고 물어본 질문만 대답하는 것입니다.

 

인터뷰 과정에서 미흡한 부분은 추후 증적요청을 받기로 했습니다. 증적요청을 받으면 미흡한 것을 조치했는지 등을 내는 것 같습니다.

ISMS-P 인증 심사 인터뷰를 하고나니 느낀 점은 심사위원에 따라 심사가 달라질 수 있겠구나라는 생각이 들었습니다. 인터뷰 또는 면접형식이다보니 이런 느낌을 받은 것 같습니다.