ISMS-P 정보보호 관리체계 인증심사원 필기시험 5개 영역 — 핵심 인증 기준 항목·기출 유형·영역별 공부법을 ISMS-P 선임심사원이 직접 정리했습니다.
ISMS 80항목(영역1~3 + 5 일부) + P(개인정보) 22항목(영역4) = 총 102항목 · 각 영역 40% 이상 득점 필수
독학 기준 · 약 8주 과정 · 경쟁률 약 20:1
시험 구조 파악 (1~2일)
ISMS-P 심사원 자격은 서류→필기→실기 3단계 선발입니다. 필기시험은 5개 영역, 총점 60점 이상이지만 상위 100명만 합격하는 경쟁률 약 20:1의 고난이도 시험입니다. 102개 인증 기준 항목 구조를 먼저 파악하세요.
ISMS-P 인증 기준 1독 (1~2주)
KISA에서 제공하는 ISMS-P 인증 기준 안내서(무료 다운로드)를 1회 통독합니다. 102개 항목의 인증 기준(명칭·항목번호·주요 확인 사항)을 파악하는 것이 목표이며, 처음부터 암기하려 하지 않아도 됩니다.
CPPG 학습 연계 (1주)
ISMS-P 영역4(개인정보 처리단계별 요구사항)는 개인정보보호법이 기반입니다. CPPG를 이미 학습했다면 이 영역의 기본 개념은 알고 있는 것이 많습니다. 인증 기준 항목 번호와 연결하여 정리하세요.
기술적 보호대책 집중 학습 (2주)
영역3(기술 보호대책)은 출제 비율이 25%이며 체감 난이도가 가장 높습니다. 접근통제·암호화·로그 관리·침해사고 대응을 인증 기준 항목별로 학습하고, 실제 기업 적용 사례와 연결하세요.
기출 유형 풀이 (2주)
인증 기준 해석형(40%)·기업 사례 적용형(35%)·법령 조문형(25%) 유형별로 풀이합니다. PassFi AI 취약 영역 분석으로 개인별 약점을 파악하여 집중 보완하세요.
실무 사례 이해 (상시)
ISMS-P 심사원은 실제 기업 현장에서 인증 기준 적합성을 판단합니다. 최근 침해사고(랜섬웨어·개인정보 유출) 사례와 ISMS-P 기준 위반 항목을 연결하여 이해하면 합격에 유리합니다.
영역별 핵심 용어 · 주요 인증 기준 항목 · 기출 유형 · 공부 팁
영역 1 · 16항목
정보보호 관리체계(ISMS-P) 수립·운영·개선의 뼈대가 되는 영역입니다. 경영진 책임, 범위 정의, 자산 관리, 위험 관리 계획 수립이 핵심입니다. PDCA 사이클과 연결하여 학습하세요.
정보보호 정책
최고경영진이 승인한 조직의 정보보호 방향과 원칙 문서. 정기적 검토·갱신 의무. 모든 임직원에게 공유 및 인식 제고 필요. 하위에 지침·절차 문서 체계 수립
관리체계 범위 정의
정보보호 관리체계를 적용할 조직·서비스·자산의 경계를 명확히 정의하는 문서. 범위 내 자산 전체에 인증 기준 적용 의무. 범위 변경 시 재정의 필요
자산 관리
정보자산(하드웨어·소프트웨어·데이터·인프라·서비스·인원) 목록 작성 및 책임자 지정. 자산 중요도(기밀성·무결성·가용성) 평가 후 보호 우선순위 결정
위험 관리
위험 식별→분석→평가→처리→수용→모니터링 프로세스. 연 1회 이상 정기 위험평가 의무. 위험 처리 결과와 잔여 위험을 경영진이 수용하는 절차 필수
내부 감사
관리체계 적합성·효과성을 스스로 점검하는 활동. 감사원은 감사 대상 업무 수행자와 독립성 보장. 감사 결과는 경영진에게 보고하고 시정조치 이행 여부 추적
영역 2 · 22항목
정보보호 정책·조직, 인적 보안, 외부자 보안, 물리적 보안, 업무연속성 관리를 다룹니다. 비교적 개념적인 영역으로 관리적·물리적 통제의 원칙을 이해하면 접근이 쉽습니다.
인적 보안
채용 전 신원조회, 비밀유지협약(NDA) 체결, 보안 교육·인식 제고, 퇴직 시 자산 반납·접근 권한 즉시 회수. 내부자 위협 최소화가 핵심 목적
외부자 보안
공급업체·협력사·외주업체 등 외부자에게 개인정보 또는 중요 정보를 제공·처리 위탁 시 보안 요구사항을 계약서에 명시. 정기적 모니터링 및 현장 점검 의무
물리적 보안
서버실·전산실·데이터센터 등 주요 시설의 출입 통제(카드키·생체인식·CCTV). 방문자 출입 기록 유지. 모니터 화면·문서 자리 이탈 보안. 클린데스크 정책
업무연속성 관리(BCP)
재해·장애 발생 시 핵심 업무의 지속 방안을 사전에 수립하는 계획. RTO(복구목표시간)·RPO(복구목표시점)·BIA(업무영향분석) 개념. 연 1회 이상 훈련·테스트 의무
보안 교육·훈련
전 임직원 대상 연 1회 이상 정보보호 교육 의무(개인정보보호법 포함). 신규 입사자 즉시 교육. 관리자·개발자·일반 사용자별 역할에 맞는 교육 내용 차별화
영역 3 · 26항목
출제 비율 25%로 가장 높은 영역입니다. 접근통제·암호화·인증·권한 관리·로그 관리·침해사고 대응·취약점 관리·클라우드 보안이 핵심입니다. 기술적 통제의 실무 적용 능력이 요구됩니다.
접근통제 원칙
최소 권한 원칙(Least Privilege): 업무 수행에 필요한 최소한의 접근 권한만 부여. 직무 기반 접근 제어(RBAC). 접근 권한 정기 검토(연 1회 이상). 장기 미사용 계정 잠금·삭제
암호화
전송 구간(TLS 1.2 이상), 저장(AES-256 이상), DB 암호화(컬럼·파일·스토리지). 개인정보 암호화 대상: 주민번호·비밀번호·바이오정보 필수. 암호 키 관리 체계(KMS) 포함
로그 관리
시스템·보안·개인정보 접속 로그 수집·보관·분석. ISMS-P 기준: 개인정보 처리 시스템 접속 로그 최소 1년(5만명 이상 2년). 로그 무결성 보장(Hash·디지털 서명). 정기 검토
침해사고 대응
탐지→분석→봉쇄→근절→복구→사후 분석 6단계. 1,000명 이상 개인정보 유출 시 72시간 내 보호위원회 신고 의무. 침해사고 대응 조직(CERT) 운영 권고
취약점 관리
정기적 취약점 점검(웹·시스템·네트워크). 발견된 취약점의 심각도별 패치 일정(긴급: 즉시, 고: 30일 이내). 침투 테스트(연 1회 이상 권고). 보안 패치 이력 관리
영역 4 · 22항목
개인정보보호법 기반 영역으로 CPPG 학습과 직접 연계됩니다. 개인정보 수집·이용·제공·파기 단계별 법적 요건, 민감정보·고유식별정보 특례, 개인정보 영향평가(PIA)가 핵심입니다.
개인정보 처리단계
수집 → 이용 → 제공 → 위탁 → 파기 5단계. 각 단계별 법적 요건(동의·법적 근거·계약 이행)과 보호조치 의무. 처리 단계가 바뀔 때마다 법적 근거 재확인 필요
동의 요건
자유롭고 구체적이며 명확한 의사표시. 필수 항목과 선택 항목 분리. 동의 거부 시 서비스 제한 금지(선택 항목). 만 14세 미만 아동 법정대리인 동의. 서면 동의 시 명확한 표시
개인정보 영향평가(PIA)
공공기관이 10만명 이상 민감정보, 50만명 이상 고유식별정보 등을 포함한 개인정보 파일 구축 시 의무 실시. KISA 승인 기관에서 평가. 결과 보호위원회 제출 의무
개인정보 파기
보유 기간 경과 또는 목적 달성 즉시 파기(지체 없이 = 5일 이내). 서류는 파쇄·소각, 전자파일은 복구 불가 방법으로 삭제. 분리 보관 대상(장기 미이용자)은 별도 DB 관리
개인정보 제3자 제공
원칙적으로 정보주체 동의 필요. 예외: 법률 근거, 생명·신체·재산 보호, 공공기관 직무 수행, 통계·연구 목적. 제공 목적·항목·기간을 정보주체에게 명시
영역 5 · 16항목
출제 비율이 낮지만(10%), 개인정보보호법·정보통신망법·ISMS-P 인증 절차를 종합적으로 이해하는 영역입니다. 다른 영역을 학습하면서 자연스럽게 익혀지는 내용이 많습니다.
ISMS-P 인증 체계
ISMS(정보보호 80항목) + P(개인정보 22항목) = 102개 인증 기준. ISMS-P 인증 받으면 ISMS 인증 동시 인정. 인증 유효기간 3년, 매년 사후 심사 의무
의무 인증 대상
①정보통신망서비스 제공자 중 매출 100억 이상 ②일평균 이용자 100만명 이상 ③병원(100병상 이상 종합병원) ④학교(재학생 수 등 기준) ⑤일부 공공기관 정보화사업 등
ISMS-P 인증 절차
신청 → 사전 준비 → 심사 신청 → 예비 심사(선택) → 본 심사 → 결함 보완 → 인증 위원회 심의 → 인증서 발급. 심사 비용은 기업 규모·범위에 따라 차등
개인정보보호법 주요 의무
CPO 지정, 처리방침 공개, 안전성 확보조치, 영향평가, 침해 신고, 수탁자 관리, 국외 이전 허용 요건. 위반 시 과태료·과징금·형사처벌
정보통신망법 주요 조항
2020년 개정으로 대부분 개인정보보호법으로 통합. 잔존 조항: 접속기록 보관(특례), 기술적 보호조치 기준, 청소년 보호 관련 조항
| 구분 | ISMS | ISMS-P | ISO 27001 |
|---|---|---|---|
| 주관 | KISA(한국인터넷진흥원) | KISA(한국인터넷진흥원) | BSI·TÜV·DNV 등 국제 인증기관 |
| 범위 | 정보보호 80항목 | 정보보호 80 + 개인정보 22 = 102항목 | 93개 통제 항목(4개 영역) |
| 개인정보 | 미포함 | 포함 (영역4 전용) | ISO 27701로 별도 확장 가능 |
| 법적 구속력 | 국내 의무 인증(일부 대상) | 국내 의무 인증 + 개인정보 강화 | 국제 표준 (법적 의무 없음) |
| 유효기간 | 3년 (연 1회 사후심사) | 3년 (연 1회 사후심사) | 3년 (연 1회 유지심사) |
| 활용 | ISMS-P 취득 시 동시 인정 | ISMS + 개인정보 통합 인증 | 글로벌 공급망·해외 비즈니스 |
출제 비율 25%로 가장 높고 26개 항목을 다룹니다. 접근통제·암호화·로그 관리·침해사고·취약점·클라우드까지 기술적 통제의 실제 구현과 기업 사례 적용을 판단해야 합니다. 암호화 알고리즘 기준(TLS 1.2+, AES-256), 로그 보관 기간(1년/2년), 침해사고 신고 기한(72시간)은 필수 암기 사항입니다.
ISMS-P 영역4(개인정보 처리단계별 - 22항목)는 개인정보보호법 기반으로, CPPG 학습 내용과 거의 동일합니다. 동의 요건·민감정보·고유식별정보·파기 절차·PIA는 이미 알고 있으므로, 영역3(기술)과 영역1(관리체계)에 집중하면 준비 기간을 2~3주 단축할 수 있습니다.
번호와 명칭을 모두 암기할 필요는 없습니다. 각 영역의 핵심 항목(경영진 책임, 접근통제, 암호화, 개인정보 처리, 의무 인증 대상)의 주요 확인 사항과 위반 여부를 판단하는 능력이 더 중요합니다. 인증 기준 안내서를 반복 읽으면서 맥락을 이해하세요.
ISMS-P는 국내 법령 기반으로 KISA가 주관하는 국내 인증입니다. 의무 인증 대상 기업은 법적으로 반드시 취득해야 합니다. ISO 27001은 국제 표준 인증으로 법적 의무는 없지만 글로벌 비즈니스·해외 거래처 요구에 활용됩니다. ISMS-P가 개인정보 처리 요건이 훨씬 상세하며, 국내 기업에는 ISMS-P가 더 강한 구속력을 가집니다.
ISMS-P 인증 기준 102항목 기반 실전 문제 · AI 취약 영역 분석
CPPG·ISRM과 동시 학습 · 가입 즉시 50문제 무료