Compliance Roadmap¶
Status: Draft v0.3
Owner: CPO (Kero, CTO)
Last reviewed: 2026-05-29
목적¶
ISMS-P / ISO 27001 인증 진행 여부와 무관하게 회사가 항상 유지해야 할 정보보호·개인정보 컴플라이언스의 단계별 토대를 정의한다. 인증을 결정하는 시점이 오면, 본 로드맵의 산출물이 인증 신청 자료의 80~90%를 그대로 충당하도록 설계한다.
Phase 별 개요¶
[지금 ~ 4주] Phase 0 법정 의무 + 거버넌스
[+4 ~ +10주] Phase 1 정책 세트 + 자산 인벤토리
[+10 ~ +16주] Phase 2 기술적 통제 갭 분석 + 보완
[Q3/Q4] Phase 3 인증 결정 분기점 (ISMS-P or ISO 27001 or 유지)
Phase 0 — 법정 의무 + 거버넌스 (지금 ~ 4주)¶
법으로 강제되는 항목과 의사결정 체계를 갖춘다. 인증 안 받아도 무조건 해야 함.
산출물¶
- CPO 지정 (개인정보보호법 §31) — Kero (CTO), 2026-05-29 결정
- 임명장은 법적 필수 아니나 인증·분쟁 대비로 권장 → Phase 1 정책 세트와 함께 작성 (아래)
- 법적 충족 조건: 내부관리계획·처리방침에 CPO 지정 사항 명시 (안전성 확보조치 고시 §4 ②, 개보법 §30)
- CISO — 대표자 자동 CISO 간주, 2026-05-29 확인
- 근거: 정통망법 §45의3 ②, 시행령 §36의7 ② (이모코그는 「중소기업기본법」상 소기업, CFO 확인 2026-05-29)
- 행정기관 신고 의무 없음. 별도 임명장 형식 불요
- 향후 중기업 진입 시 180일 내 과기정통부 신고 의무 발생 → "위험·이슈" 섹션의 모니터링 항목으로 관리
- [~] 개인정보처리방침 갱신 및 공개 (CPO 성명·연락처 게재 포함)
- 사내 SSoT 폴더 신설:
docs/policies/privacy-policies/ - 코그테라 처리방침 게재본 등재 (시행일 2026-04-21, CPO: 조준상 CTO)
- 이지브리드 처리방침 양식 통일 + CPO 표기 정정 (조준상 CTO)
- 외부 게재 채널(앱·웹) URL 정리 + 사내 SSoT와 대조 확인
- [~] 내부관리계획 v1 (안전성 확보조치 고시 §4 필수)
- v2.0 Draft 작성:
docs/policies/internal-management-plan.md(고시 §4 ① 1~16호 전부 반영, 2026-05-29) - 정보보호위원회 검토
- 대표이사 결재 → 시행
- 정보보호위원회 설치(분기 1회), 운영규정
- 개인정보 흐름도 1차 (환자/임상의/관리자 데이터 흐름)
- [~] 위탁사 목록 1차 (
registry/processor-register.yaml) - 스키마 v2 보강 (disclosed_processor / operational_saas 분리, 해외이전 적법근거·계약·점검 필드, 2026-05-29)
- 처리방침 공개 위탁사 정합화 (AWS, ㈜알리는사람들, 네이버클라우드)
- 운영 SaaS 등재 (Sentry/ClickUp/Slack/GitHub)
- 각 processor의 contract(DPA·signed_at·link) 채우기
- 각 processor의 첫 보안 점검 수행·기록
- 누락 SaaS 발굴 (Datadog/GA/Mixpanel/Notion/Figma/1Password 등)
Exit criteria¶
- 임명장·신고증·정책방침이 공식 결재 완료
- 위탁사·데이터 흐름이 한 장으로 설명 가능
Phase 1 — 정책 세트 + 자산 인벤토리 (+4 ~ +10주)¶
운영을 지탱하는 최소 정책 세트와 자산 베이스라인을 만든다.
산출물¶
- 정책·지침 6종 결재 (문서번호 체계는 RA 협의 후 확정)
- 정보보호·개인정보보호 정책 (최상위)
- 내부관리계획 (연 1회 갱신, 안전성 확보조치 고시 §4 법정 필수)
- 접근권한 관리 지침
- 위탁사·제3자 관리 지침
- 암호 관리 지침
- 사고 대응 절차 (72시간 신고 포함) — [x] 런북 v2.0 Draft 작성:
docs/runbooks/breach-response-72h.md(2026-05-29) - CPO 임명장 작성·결재 (인증·분쟁 대비, 법적 필수 아님 / 강력 권장)
- 정보자산 레지스트리 (
registry/information-asset-register.yaml) - 위탁사 레지스트리 완성 (DPA·해외이전 동의 포함)
- 위험 레지스트리 1차 (
registry/risk-register.yaml) - 전직원 보안·개인정보 교육 실시 + 이수증 보관
Exit criteria¶
- 모든 데이터·자산이 등록부에 존재
- 신규 SaaS 도입 시 위탁사 관리 절차가 작동
Phase 2 — 기술적 통제 갭 분석 + 보완 (+10 ~ +16주)¶
ISMS-P 102개 또는 ISO 27001 Annex A 93개 통제항목 기준으로 자가진단하고 우선순위 갭을 메운다.
산출물¶
- 자가진단 보고서 (
docs/checklists/ismsp-self-assessment.mdor ISO 버전) - Top 10 갭 조치 결과 (접근통제·로그·암호화 위주)
- 사고 대응 모의훈련 1회 보고서
- 백업·복구 테스트 분기 1회 보고서
Exit criteria¶
- 안전성 확보조치 고시 17개 조문 모두 "준수/일부준수/미준수" 분류 완료
- 미준수 항목 모두 개선 일정 등록
Phase 3 — 인증 결정 분기점 (Q3/Q4)¶
회사 차원에서 진행/보류를 결정한다.
진행 결정 시¶
- 컨설팅사 후보 3곳 RFP
- 사전 GAP 분석 → 잔여 통제 보완 6~8주
- 신청 → 심사 → 결함조치 → 인증 (총 4~6개월)
보류 결정 시¶
- Phase 0~2 산출물 유지보수 모드 (연 1회 갱신)
- 준ISMS 운영 자체 선언 (대외 신뢰도 확보용)
- 6개월 단위 재평가
의존성¶
| 단계 | 의존 | 비고 |
|---|---|---|
| Phase 0 → 1 | CPO/CISO 임명 완료 | 결재 라인이 있어야 정책 통과 |
| Phase 1 → 2 | 자산·위탁사 등록부 | 통제 적용 대상이 명확해야 갭 분석 가능 |
| Phase 2 → 3 | 자가진단 결과 | 잔여 갭 규모로 인증 ROI 판단 |
위험·이슈¶
모니터링 (분기 1회 점검 권장)¶
| # | 트리거 | 발동 시 액션 | 근거 |
|---|---|---|---|
| 1 | 「중소기업기본법」상 중기업 분류 변경 | CISO 지정·신고 (180일 내, 과기정통부) | 정통망법 §45의3, 시행령 §36의7 |
| 2 | ISMS 인증 의무 대상 진입 (매출 100억 등) | CISO 지정·신고 + ISMS 인증 절차 착수 | 동상 |
| 3 | 연 매출 1,500억 + 개인정보 100만명 OR 민감정보 5만명 | 전문 CPO 자격 요건자로 교체 | 개보법 §31, 시행령 §32 ④ |
| 4 | 자산총액 5조 또는 ISMS 의무 + 자산 5천억 | CISO 상근·겸직금지 적용 | 정통망법 §45의3, 시행령 §36의7 ⑥ |
| 5 | 의료기기 SW 식약처 허가 추진 | 식약처 사이버보안 가이드라인 동시 적용, QMS와 통합 관리 | MFDS 의료기기 사이버보안 가이드라인 |
점검 방법¶
- 연 1회: 「중소기업 확인서」 발급으로 분류 재확인 (https://sminfo.mss.go.kr)
- 분기 1회: 정보보호위원회에서 위 트리거 점검 결과 보고
참고¶
docs/governance/role-assignments.md— 현재 CPO·CISO 지정 현황 (단일 출처)docs/overview/01-legal-baseline.md— 법정 의무 상세docs/overview/02-ciso-cpo-roles.md— 자격요건·R&Rdocs/overview/03-iso27001-vs-ismsp.md— 인증 선택 기준docs/reference/legal-links.md— 법령·고시 원문 링크