ISMS-P 계정관리 증적, 감사로그로 준비하는 법
ISMS-P 인증 심사에서 요구하는 계정·권한 관리 증적이 무엇인지, 그리고 감사로그로 어떻게 상시 준비 상태를 만드는지 실무 관점에서 정리했습니다.
인증 심사 일정이 잡히고 나서야 지난 1년치 계정 발급·회수 기록을 뒤지기 시작한 경험이 있다면, 이 글이 도움이 될 것입니다. ISMS-P 심사에서 계정과 권한 관리는 매년 반복해서 확인하는 영역이고, 준비가 안 되어 있으면 심사 직전에 담당자 한 명이 며칠을 쏟아야 하는 대표적인 항목입니다.
심사에서 실제로 확인하는 것
ISMS-P의 인증 및 권한관리 영역은 항목 번호를 외우는 것보다 심사원이 무엇을 보려 하는지 이해하는 편이 실무에 유용합니다. 큰 줄기는 세 가지입니다.
첫째, 계정이 정당한 절차로 만들어졌는가입니다. 누가 언제 어떤 승인을 거쳐 계정을 발급받았는지, 신청과 승인 기록이 남아 있는지를 봅니다. 둘째, 권한이 업무에 필요한 만큼만 부여되었는가입니다. 최소 권한 원칙이 실제로 지켜지는지, 과도한 관리자 권한이 방치되어 있지 않은지 확인합니다. 셋째, 불필요해진 계정이 제때 회수되었는가입니다. 퇴사자나 직무 변경자의 계정이 지연 없이 비활성화되었는지를 봅니다.
이 세 가지는 모두 "정책이 문서에 있느냐"가 아니라 "실제로 그렇게 운영된 기록이 있느냐"로 판단됩니다. 그래서 증적, 즉 로그가 핵심입니다.
증적으로 준비해야 할 기록
심사장에서 급하게 스크린샷을 찍는 대신, 평소에 남아 있어야 할 기록은 다음과 같습니다.
- 계정 생성·수정·삭제 이력과 그 주체(누가 실행했는가)
- 권한 부여·회수 이력과 시점
- 로그인 성공·실패 기록, 특히 관리자 계정의 접근 기록
- 접근 권한 정기 검토(권한 재인증)를 수행한 기록
여기서 자주 놓치는 부분이 시각의 일관성입니다. 로그가 여러 시스템에 흩어져 있으면 같은 사건을 서로 다른 타임존으로 기록해 두는 경우가 많습니다. 심사에서 사건의 선후 관계를 설명할 때 이 불일치가 발목을 잡습니다. 로그를 UTC 등 하나의 기준으로 저장하고 화면에서만 담당자 타임존으로 보여 주면 이 문제를 피할 수 있습니다.
상시 준비 상태를 만드는 접근
증적 준비의 목표는 "심사 때 자료를 만든다"가 아니라 "언제 물어봐도 즉시 내놓을 수 있다"입니다. 이를 위해 세 가지를 권합니다.
계정과 권한 변경이 일어나는 순간에 자동으로 기록이 남도록 만드세요. 사람이 나중에 정리하는 방식은 반드시 누락이 생깁니다. 그리고 로그는 변경·삭제가 어려운 형태로 분리 보관하는 편이 신뢰도 측면에서 유리합니다. 마지막으로, 심사원이 흔히 요구하는 기간별·사용자별 조회와 내보내기가 미리 가능해야 합니다. CSV나 PDF로 특정 기간의 계정 활동을 바로 추출할 수 있으면 심사 대응 시간이 크게 줄어듭니다.
AxiPass는 이 지점을 돕습니다
AxiPass는 계정 발급·권한 변경·로그인 등 주요 이벤트를 감사로그로 자동 기록하고, 이 로그를 별도의 전용 데이터베이스에 분리 보관합니다. 저장은 UTC 기준이며 화면에서는 사용자 타임존으로 표시합니다. 또한 기간·사용자 조건으로 조회한 감사 기록을 ISMS-P 제출용 PDF 보고서나 CSV로 내보낼 수 있어, 심사 자료를 매번 수작업으로 모으지 않아도 됩니다.
지금 바로 확인해 보고 싶다면 무료로 시작하기에서 직접 감사로그 화면을 살펴보실 수 있고, 조직 규모에 맞는 도입 방안이 궁금하다면 도입 상담으로 문의해 주세요.
