4조~10조 조항에 대한 체크리스트 및 증거자료

📑 ISO/IEC 27001:2022 (4~10조) 체크리스트 + 예상 증거자료 매핑


---

4. 조직의 상황

1. 조직은 외부/내부 이슈(환경, 법적, 기술적, 사회적 요소)를 식별했는가? (4.1)
➡️ 증거: 경영 환경 분석 문서(SWOT/PESTLE), 위험 평가 보고서


2. 이해관계자의 요구사항을 파악했는가? (4.2)
➡️ 증거: 이해관계자 요구사항 매트릭스, 법적/규제 요구사항 목록


3. ISMS의 적용 범위가 명확히 정의·문서화되었는가? (4.3)
➡️ 증거: 적용범위 문서(Scope Statement), 조직도 및 네트워크 다이어그램


4. 적용 범위는 물리적·조직적·기술적 경계를 포함하는가? (4.3)
➡️ 증거: Scope 문서에 포함된 경계 정의, 정보자산 목록


5. ISMS를 위한 프로세스와 상호작용이 정의되었는가? (4.4)
➡️ 증거: 프로세스 맵, 운영 매뉴얼




---

5. 리더십

6. 최고경영자는 ISMS에 대한 리더십과 의지를 보이고 있는가? (5.1)
➡️ 증거: 경영진 인터뷰 기록, ISMS 추진 회의록


7. 정보보안 방침은 승인·공표되어 임직원에게 전달되었는가? (5.2)
➡️ 증거: 정보보안 정책 문서, 인트라넷 게시/공지 메일


8. 정보보안 방침은 조직의 전략적 방향과 일치하는가? (5.2)
➡️ 증거: 경영 전략 문서, 방침-전략 매핑표


9. 정보보안 방침은 정기적으로 검토·갱신되는가? (5.2)
➡️ 증거: 정책 개정이력, 경영진 검토 회의록


10. ISMS 역할과 책임은 문서화되고 전달되었는가? (5.3)
➡️ 증거: RACI 차트, 직무기술서(JD)


11. 최고경영자는 ISMS 운영에 필요한 자원을 지원하고 있는가? (5.1)
➡️ 증거: 예산 승인 내역, 인력 충원 기록


12. 경영진은 정보보안 성과를 정기적으로 모니터링하고 있는가? (5.1, 9.3)
➡️ 증거: KPI 대시보드, 경영진 검토 보고서




---

6. 기획

13. ISMS 수립 시 리스크와 기회를 고려하는가? (6.1.1)
➡️ 증거: 리스크·기회 분석 문서, 개선계획 문서


14. 정보보안 리스크 평가 기준이 정의·문서화되었는가? (6.1.2 a)
➡️ 증거: 리스크 매트릭스, 평가 기준 정책


15. 리스크 식별·분석·평가 절차가 수행·기록되었는가? (6.1.2 b–d)
➡️ 증거: 리스크 평가 보고서, 리스크 등록부(Risk Register)


16. 리스크 처리 옵션이 문서화되었는가? (6.1.3)
➡️ 증거: 리스크 처리계획서, 잔여 위험 승인서


17. 리스크 처리계획이 경영진에 의해 승인되었는가? (6.1.3 e)
➡️ 증거: 서명된 리스크 처리계획, 이사회 보고서


18. 잔여 위험이 명확히 정의·승인되었는가? (6.1.3 f)
➡️ 증거: Residual Risk 기록, 승인 서류


19. ISMS 목표는 측정 가능하고 모니터링 가능한가? (6.2 a, b)
➡️ 증거: 보안 목표 문서, 성과 지표 문서


20. 목표 달성을 위한 실행계획이 문서화되었는가? (6.2 c)
➡️ 증거: 목표 실행계획서, 프로젝트 계획서


21. 목표는 담당자·일정·평가 방법을 포함하는가? (6.2 d, e)
➡️ 증거: 실행계획 문서, 목표 평가 보고서




---

7. 지원

22. ISMS 운영에 필요한 자원이 제공되는가? (7.1)
➡️ 증거: 예산 집행 내역, 장비/도구 구매 기록


23. 정보보안 담당자의 역량이 평가·검증되는가? (7.2)
➡️ 증거: 교육 수료증, 성과평가 보고서


24. 정보보안 교육이 정기적으로 수행되는가? (7.2, 7.3)
➡️ 증거: 연간 교육계획표, 교육 참석자 명단


25. 신입 직원은 입사 시 정보보안 교육을 받는가? (7.3)
➡️ 증거: 오리엔테이션 교육자료, 교육 참석 기록


26. 임직원은 자신의 보안 역할을 인식하고 있는가? (7.3)
➡️ 증거: 인식 설문조사, 인터뷰 기록


27. 인식 활동이 주기적으로 이루어지는가? (7.3)
➡️ 증거: 캠페인 자료, 훈련 참여 명단


28. 커뮤니케이션 절차가 정의되었는가? (7.4)
➡️ 증거: 커뮤니케이션 매뉴얼, 책임자 지정 문서


29. 외부 커뮤니케이션 책임자가 지정되었는가? (7.4)
➡️ 증거: 지정 공문, 연락체계 문서


30. 문서 관리 절차가 정의되었는가? (7.5.2)
➡️ 증거: 문서 관리 규정, 승인 워크플로우


31. 최신 문서가 적시에 제공되는가? (7.5.3 a)
➡️ 증거: 버전 관리 로그, 게시 기록


32. 구식 문서는 적절히 폐기·통제되는가? (7.5.3 b, c)
➡️ 증거: 폐기 기록, 접근제어 로그




---

8. 운영

33. ISMS 운영 프로세스는 계획에 따라 수행되는가? (8.1)
➡️ 증거: 운영 점검 체크리스트, 프로세스 실행 기록


34. 운영 프로세스는 문서화된 절차와 일치하는가? (8.1)
➡️ 증거: 작업 지침서, 준수 기록


35. 리스크 처리계획이 실제 실행되고 있는가? (8.2)
➡️ 증거: 처리계획 실행 증거, 진행 상황 보고서


36. 변경관리 절차가 존재하고 적용되는가? (8.1)
➡️ 증거: 변경관리 절차서, 변경 요청/승인 기록


37. 외부 제공자 보안 요구사항이 계약에 반영되는가? (8.1, A.5.19)
➡️ 증거: 계약서 보안조항, 공급업체 정책


38. 외부 제공자의 보안 준수 여부가 평가되는가? (8.1, A.5.20)
➡️ 증거: 공급업체 감사 보고서, 평가 기록


39. 사고 대응 절차가 존재하고 테스트되는가? (8.1, A.5.25, A.5.29)
➡️ 증거: 사고 대응 절차 문서, 모의훈련 보고서


40. 사고 발생 시 대응·보고 절차가 적절히 수행되는가? (8.1, A.5.28)
➡️ 증거: 사고 보고서, 조치 기록




---

9. 성과 평가

41. ISMS 성과 및 효과성이 측정·평가되는가? (9.1)
➡️ 증거: KPI 보고서, 모니터링 로그


42. 모니터링 결과가 문서화·보고되는가? (9.1)
➡️ 증거: 분석 보고서, 경영진 보고 문서


43. 내부심사가 정기적으로 수행되는가? (9.2 a)
➡️ 증거: 심사계획서, 심사보고서


44. 내부심사 결과는 경영진에게 보고되는가? (9.2 d, 9.3)
➡️ 증거: 심사 결과 보고서, 검토 회의자료


45. 부적합이 시정조치로 이어지는가? (9.2 e, 10.1)
➡️ 증거: 부적합 보고서(NC Report), CAPA 계획서


46. 경영진 검토가 정기적으로 수행되는가? (9.3)
➡️ 증거: 경영진 검토 회의록, 참석자 명단


47. 경영진 검토는 성과·자원·개선사항을 포함하는가? (9.3.2)
➡️ 증거: 회의 의제, 검토 보고서




---

10. 개선

48. 부적합 발생 시 시정조치 절차가 적용되는가? (10.1)
➡️ 증거: 시정조치 프로세스 문서, 실행 증거


49. 시정조치에는 원인분석 및 재발방지 대책이 포함되는가? (10.1)
➡️ 증거: RCA(Root Cause Analysis) 보고서, 개선 실행 기록


50. ISMS는 지속적 개선 활동을 통해 효과성을 높이는가? (10.2)
➡️ 증거: 개선 프로젝트 보고서, 개선 이력 추적 문서