기업에서 정보보안(ISO27001). 개인정보보호(ISO27701)인증 준비 중인 고객사분들을 위해,
적용성 선언서(SoA) 및 정보보안 통제 문서 작성에 필요한 가이드를 안내드립니다.

ISO/IEC27001:2022 실무 핵심 가이드

고객사의 인증 전환 및 문서 작성에 도움이 되는 실무 중심 정보입니다. 

1.  적용성 선언서(SoA) 작성 포인트 

   -93개 개정 통제 기준으로 전면 재작성 필요
   -통제별 필수 항목: 적용 여부, 비적용 사유, 이행 방법, 통제 목적, 증거자료
        예시 : A.5.7 Threat Intelligence -> 적용 / 외부기관 수신 / 계약서
                A.8.11 Data Masking -> 적용 / 민감정보 없음 / DB구조도
   -Tip : Annex B 매핑표로 2013 <-> 2022 버전 통제 비교 가능

2.  정보보안 통제 기준 문서 구성 예시

3.  체크리스트 & 참고자료 제공

   * 전환 전 체크리스트
     - SoA 최신화 
     - 신규 통제 11개 반영
     - 정책 문서 업데이트 
     - 내부심사 실시

  * 필요 시 다음 자료 제공

    - Soa 샘플 (Word) 
    - 통제 기준 템플릿 (Excel) 
    - 통제 매핑표 (PDF)

    - 내부심사 체크리스트

4.  내부 심사 시 유의사항

  - 문서와 실제 운영 내용 일치 여부 중요
  - 비적용 통제는 반드시 사유와 증거 보유
  - 내부 점검표로 신규 통제 누락 여부 사전 확인

5.  유지관리 팁

   - 연 1회 이상 정기 검토 및 개정 이력 관리
   - 신규 통제도 문서화 후 실제 운영 프로세스로 연계 필요
     예: A.5.30 -> 초기 계획 문서 + 연 1회 시나리오 테스트

***출처: US인증원 ISO27001.27701 인증 심사기관

    ISO/IEC 27001:2022 .ISO27701:2019 인증 심사 대응에 도움이 되시길 바랍니다.