ISO27001:2022 시정조치요구서와 부적합보고서

ISO 27001:2022 기준에서 시정조치요구서(Corrective Action Report, CAR)와 부적합보고서(Non-Conformance Report, NCR)는 모두 정보보안경영시스템(ISMS) 내에서 중요한 문서로, 부적합사항 관리와 시정조치 절차를 명확히 수행하기 위해 활용됩니다.[1][2][3][4]

### 시정조치요구서(CAR)

- CAR은 발견된 부적합이나 문제에 대해 재발 방지를 목적으로 개선 조치를 요구하는 문서입니다.
- ISO 27001:2022의 10.2 (부적합 및 시정 조치) 항목에서 부적합 발생 시 원인 분석, 시정조치 계획 수립 및 실행, 시정조치의 효과성 확인이 요구됨을 규정합니다.
- CAR은 조직 내부의 운용 및 통제 절차에서 시정조치 프로세스를 문서화하고, 조치 이행과 완료 상태를 추적 관리합니다.[3][1]

### 부적합보고서(NCR)

- NCR은 품질이나 정보보안 경영시스템에서 요구사항에 부합하지 않는 사례를 공식적으로 기록하는 문서입니다.
- 부적합 사항을 명확히 식별하고, 관련 부서와 공유하며, 시정조치(CAR) 발행과 연계됩니다.
- ISO 27001에서는 NCR 발행을 통해 부적합 상태를 관리하고 해결 프로세스를 촉진하며, 후속 시정조치 및 개선 활동의 시작점이 됩니다.[5][6][1]

### 두 문서의 관계

- 부적합보고서(NCR)는 부적합 상황을 기록하고 공유하는 초기 단계 문서이고,
- 시정조치요구서(CAR)는 그 부적합에 대해 원인을 분석하고 시정 조치를 계획 및 수행하는 행동 지침 문서입니다.
- 현장에서는 NCR과 CAR을 동시에 또는 순차적으로 발행하여 부적합 사항에 대한 대응 및 개선을 관리하는 것이 일반적입니다.[4][7]

### 요약

| 문서 종류     | 주요 목적                               | ISO 27001:2022 관련 요구사항                      |
|---------------|--------------------------------------|-------------------------------------------|
| 부적합보고서 (NCR) | 부적합 내용 기록 및 공유                | 부적합 식별 및 기록, 내부통제 프로세스에 명시됨       |
| 시정조치요구서 (CAR) | 부적합에 대한 시정조치 계획 및 실행 요구      | 10.2 부적합 및 시정 조치, 원인 분석 및 조치 효과성 평가 |

ISO 27001:2022은 이 두 문서 유형을 포함한 부적합과 시정조치 관리 체계 구축을 통해 정보보안경영시스템의 효과적인 유지와 지속 개선을 요구하고 있습니다.[2][1][3]

인용:
[1] ISO/IEC 27001(정보보호) https://ksa.or.kr/ksa_kr/7011/subview.do
[2] ISO 27001 정보보안경영시스템 인증스킴 요구사항 https://www.kab.or.kr/eng/cmmn/file/fileDown.do?menuNo=500023&atchFileId=981da738eccf4bce837fda55746de82e&fileSn=1
[3] ISO/IEC 27001 실무 및 내부심사원 과정 https://www.lrqa.com/ko-kr/training/iso-27001-2022-internal-auditor/
[4] 시정조치요구서 https://namu.wiki/w/%EC%8B%9C%EC%A0%95%EC%A1%B0%EC%B9%98%EC%9A%94%EA%B5%AC%EC%84%9C
[5] 품질 부적합보고서(NCR) 와 Punch List - EasyGO - 티스토리 https://kjt0917ts.tistory.com/67
[6] 부적합보고서(Nonconformance Report) https://hujubkang.tistory.com/entry/%EB%B6%80%EC%A0%81%ED%95%A9%EB%B3%B4%EA%B3%A0%EC%84%9CNonconformance-Report
[7] [품질인증시스템 자료]시정조치요구서 양식 https://www.thinkzon.com/share_biz/1144899
[8] ISO/IEC 27001:2022 개정 - CELA https://www.cela.kr/4/?bmode=view&idx=14971934
[9] https://www.g2b.go.kr/pn/pnp/pnpe/UntyAtchFile/dow... https://www.g2b.go.kr/pn/pnp/pnpe/UntyAtchFile/downloadFile.do?bidPbancNo=R25BK00906268&bidPbancOrd=000&fileType=&fileSeq=2
[10] ISO/IEC 27001:2022 정보보안경영시스템 내부심사원 교육 https://www.dnv.co.kr/training/information-security-management-systems-isms-internal-auditor-training-course---training/
[11] 신규 ISO/IEC 27001:2022 - 주요 변화 https://www.dqsglobal.com/ko/navigation/%EB%B8%94%EB%A1%9C%EA%B7%B8/new-iso-27001-2022-key-changes
[12] ISO 27001:2022 적용성 보고서 (Statement of Applicability ... https://m.cafe.daum.net/isoiso/RjGT/19
[13] 시정조치에 관한 지침 2022. 12. 한국산업 ... https://kosha.or.kr/extappKosha/kosha/guidance/fileDownload.do?sfhlhTchnlgyManualNo=Z-42-2022&fileOrdrNo=2
[14] 국가기술표준원 https://www.kats.go.kr/mobile/content.do?cmsid=481&skin=%2Fmobile%2F&mode=view&page=103
[15] 부적합 보고서 (3) 서식 및 양식 무료 다운로드 http://www.freeforms.co.kr/view/d42455bb-2a75-17869.html
[16] NCR양식(슬럼프 기준치 초과) 및 부적합보고서 관리대장 https://hiver0618.tistory.com/23