ISO27001:2022 실기 시험 준비 방법
ISO/IEC 27001 인증심사원 실기시험(Lead Auditor Practical Exam) 준비를 위해서는 단순히 표준 조항만 외우는 게 아니라 심사 프로세스, 심사 기법, 표준 요구사항 해석, 실무 적용 능력을 모두 연습 필요
---
📘 ISO/IEC 27001 인증심사원 실기 대비 학습 포인트
1. 표준 요구사항(ISO/IEC 27001:2022) 숙지
4장: 조직 상황(Context of the organization)
5장: 리더십(Leadership)
6장: 기획(Planning) → 위험 기반 접근법(Risk-based thinking)
7장: 지원(Support) → 역량, 인식, 의사소통, 문서화된 정보 관리
8장: 운영(Operation) → 정보보안 위험 식별/평가/대응
9장: 성과평가(Performance Evaluation) → 모니터링, 내부심사, 경영검토
10장: 개선(Improvement) → 부적합, 시정조치, 지속적 개선
👉 “조항별 요구사항”을 암기하기보다 실제 심사 질문으로 전환할 수 있도록 연습하세요.
예: “정보보안 위험을 어떻게 평가합니까?” → 6.1.2 Risk Assessment 관련.
---
2. Annex A 통제(Controls)
ISO/IEC 27002:2022 개정 반영 → 4개 테마, 93개 통제 항목
조직적 통제 (Organizational Controls)
인적 통제 (People Controls)
물리적 통제 (Physical Controls)
기술적 통제 (Technological Controls)
시험에서는 심사 상황에서 특정 통제를 확인하는 방법을 묻는 경우가 많습니다.
예: “사용자 접근 관리(Access Control)를 어떻게 인터뷰/문서 검토로 확인할 수 있나?”
---
3. 심사 프로세스(ISO 19011 기반)
심사 기획(Planning) → 심사계획서, 체크리스트 작성
현장 심사(Conducting audit) → 인터뷰, 문서 검토, 샘플링 기법
부적합 식별 (NC, Observation, OFI 분류)
심사 보고서 작성 및 시정조치 Follow-up
👉 실기시험에서 “주어진 시나리오를 기반으로 부적합(NC) 작성” 문제가 자주 나옵니다.
---
4. 샘플링·인터뷰 기법
샘플링: 전체 데이터가 아닌 일부 문서, 로그, 사용자 계정만 선택해서 확인하는 방법.
인터뷰: 오픈 질문 vs 폐쇄 질문 → 객관적 증거 확보용.
주의: “~하셨죠?”처럼 유도 질문 피하고, “어떻게 하고 있습니까?”로 질문.
---
5. 부적합(NC, Nonconformity) 작성 연습
부적합 보고서에는 반드시 3요소 포함:
1. 객관적 증거 (Objective Evidence) – “접근권한 검토 내역이 2023년 이후 수행된 기록 없음”
2. 위반 조항 (Clause Reference) – “ISO 27001:2022 9.1 요구사항 위반”
3. 명확한 기술 (Statement) – 주관적 표현 금지 (“적절하지 않다” 대신 “기록이 없음”)
---
6. 실기시험에서 자주 나오는 유형
시나리오 제시 → 심사원 역할로 인터뷰 질문 작성하기
문서/기록 주어짐 → 어떤 증거를 근거로 합격/부적합 판단할지 설명
부적합 보고서 작성 (Clause 번호, 증거, 위반 내용)
심사 중 발견된 사례를 Observation/NC/OFI로 분류
---
✅ 학습 전략
1. ISO/IEC 27001:2022 본문 + Annex A 통제를 숙지
2. ISO 19011(심사 지침) 흐름을 이해 → 심사 계획·수행·보고·후속조치
3. 시뮬레이션 연습:
“인터뷰 질문 작성하기”
“부적합 보고서 작성하기”
“Observation vs NC 구분하기”
4. 실무 사례 참조: ISMS-P, KISA 심사 체크리스트 같이 비교해보면 도움 됨
---
📑 ISO/IEC 27001 실기 대비 체크리스트
1. 심사 준비
[ ] 심사 계획서에 포함할 내용은? (범위, 기준, 팀 역할, 일정)
[ ] 심사 체크리스트 작성 (조항별 인터뷰 질문 준비)
[ ] 심사 대상 조직도/프로세스 파악
---
2. 인터뷰 질문 연습 (Clause 매핑)
6.1.2 위험 평가: “정보보안 위험은 어떤 기준으로 평가합니까?”
7.2 역량: “정보보안 담당자의 역량은 어떻게 검증합니까?”
9.2 내부심사: “내부심사는 얼마나 자주, 어떤 절차로 수행됩니까?”
A.5.15 접근통제 정책: “신규 입사자의 계정은 어떤 절차로 발급합니까?”
👉 인터뷰 시 **“어떻게”**로 시작하는 오픈 질문 연습
---
3. 샘플링 연습
사용자 계정 목록 중 일부만 확인
로그 기록에서 임의 날짜 2~3일 샘플 확인
정책/절차서 최신 개정본 + 과거 이력 비교
---
4. 부적합(NC) 작성 훈련
필수 3요소 포함
1. 객관적 증거: “2024년 1월 이후 접근권한 검토 기록이 없음”
2. 관련 조항: “ISO/IEC 27001:2022, 9.1 모니터링, 측정, 분석 및 평가”
3. 위반 진술: “조직은 정보보안 성과를 정기적으로 평가해야 하나, 해당 기록이 없음”
---
5. 분류 문제 (시험 단골)
NC (Nonconformity): 요구사항 위반 → “권한 검토 미실시”
Observation: 향후 개선 필요 징후 → “로그 보관정책은 있으나 실제 로그 확인 어려움”
OFI (Opportunity for Improvement): 더 나은 개선 여지 → “로그 검토 자동화 도입 고려 가능”
---
6. 실습 예상 문제 유형
[ ] 주어진 시나리오에서 인터뷰 질문 3개 작성
[ ] 기록(예: 로그 점검표) 보고 부적합 여부 판단
[ ] Observation/NC/OFI 분류하기
[ ] 부적합 보고서 작성하기
---
문제는 시나리오형, 인터뷰 질문 작성, 부적합 판정, 분류 문제 위주로 구성
---
📘 ISO/IEC 27001 실기 대비 연습문제
🔹 문제 1. 인터뷰 질문 작성
당신은 ISO/IEC 27001 인증심사원입니다.
다음 영역에 대해 심사 대상자(정보보안 담당자)에게 할 오픈형 인터뷰 질문 2개씩 작성하세요.
1. 6.1.2 위험 평가(Risk Assessment)
2. 7.2 역량(Competence)
3. 9.2 내부심사(Internal Audit)
---
🔹 문제 2. 부적합(NC) 판정
다음 상황을 읽고 부적합 여부와 해당 Clause 번호를 작성하세요.
상황:
조직은 정보보안 정책(Information Security Policy)을 수립해 임직원에게 공지했다고 주장하지만,
최근 입사한 직원 3명을 인터뷰한 결과 해당 정책을 교육받은 적이 없다고 답했습니다.
---
🔹 문제 3. Observation / NC / OFI 분류
아래 사례를 읽고 Observation / NC / OFI 중 어디에 해당하는지 분류하세요.
1. 접근권한 검토 절차는 문서화되어 있으나 최근 1년간 검토 기록이 없음.
2. 로그는 수집되지만 관리자 외에 다른 인원이 검토하는 프로세스가 없음.
3. 로그 검토가 수동으로 진행되고 있어, 자동화 도입 시 효율성 개선 가능.
---
🔹 문제 4. 부적합 보고서 작성
다음 상황에 대해 부적합 보고서를 작성하세요.
상황:
시스템 접근 로그는 6개월간 보관해야 한다는 정책이 있으나, 실제로는 2개월치만 보관되고 있었음.
👉 보고서에 반드시 포함할 요소:
1. 객관적 증거 (Objective Evidence)
2. 위반 조항 (Clause Reference)
3. 부적합 진술 (Statement)
---
🔹 문제 5. 샘플링 기법
당신은 심사 중 "사용자 계정 권한 검토"를 확인하려고 합니다.
샘플링 기법을 적용한다면 어떤 방식으로 계정을 선택해 검토할 수 있을지 작성하세요.
---
✅ 활용 팁
문제 1 → 조항별 질문 연습
문제 2 → 요구사항 해석 + 판단 훈련
문제 3 → 분류 기준 숙지
문제 4 → 부적합 작성 스킬 연습
문제 5 → 샘플링 원리 이해