2026 ISMS·ISMS-P 변경 사항

2025 대비 2026 ISMS·ISMS-P 변경 사항

2026년은 ISMS/ISMS-P가 “서류 중심 인증”에서 “사고와 직결되는 운영 통제 중심”으로 더 강하게 이동하는 구간이다. 특히 ISMS-P 예비심사(핵심항목 선검증) 도입 추진, 현장 기술심사 강화, 사고 발생 시 특별 사후심사 및 인증 취소 강화 같은 변화가 묶여서 진행되는 흐름이다.

핵심 한 줄 요약
• 2026년 방향: “문서 충족”보다 “패치·취약점·운영 통제”를 먼저 본다
• ISMS-P: 예비심사로 핵심항목 미달 시 심사 중단 가능(추진)
• 사고 발생: 특별 사후심사 강화, 중대 결함이면 인증 취소 원칙(강화)

※ 아래 내용은 2025년 말 정부 발표·회의 자료 기준으로 “2026년 제도 개편 방향/예고/고시 개정 예정”을 실무적으로 풀어쓴 정리이며, 실제 시행 시점·세부 항목은 고시 개정 및 세부 지침에 따라 확정된다.

1️⃣ 2026년에 왜 바뀌나

최근 몇 년간 인증 취득 기업에서 대형 사고가 반복되면서 “인증이 안전을 담보하지 못한다”는 비판이 커졌고, 정부는 인증의 실효성을 높이기 위해 심사 방식과 사후관리를 함께 손보는 방향을 제시했다.

변화 배경 정리
• 인증 취득 후에도 유출·침해사고 반복 → “형식적 심사” 지적
• 대규모·고위험 기업/시스템은 상시 안전관리 필요성 확대
• 패치·취약점·계정·접근통제 등 운영 통제의 현실 반영 요구 증가

2️⃣ 2025년(기존) ISMS/ISMS-P 운영 감각

2025년까지의 현장 체감은 “운영체계가 있느냐”를 문서와 인터뷰로 확인하는 비중이 상대적으로 컸고, 기술적 검증(취약점 진단·모의침투 등)은 기업 특성/범위/심사기관 운영 방식에 따라 강도 차이가 발생하는 경우가 있었다.

2025년 기준, 일반적으로 준비가 많았던 포인트
• 정책/지침/절차서 정합성(문서 체계)
• 자산/위험평가/보호대책의 “연결 구조” 설명 가능 여부
• 로그/접근권한/계정관리의 운영 기록 유지
• 개발·운영 변경관리(형상/배포/승인)의 기록화

3️⃣ 2026년 변화 포인트 한눈에 보기

2026년에 강조되는 메시지는 “사고와 직결되는 핵심항목을 먼저 검증하고, 기술심사로 실체를 확인하며, 사고가 나면 사후심사와 인증취소까지 포함해 강하게 관리한다”로 요약된다.

구분	2025년 운영 감각	2026년 변화 방향
심사 구조	신청 → (예비점검 성격의 사전 확인) → 본 심사(서면+현장) → 보완 → 인증	예비심사(핵심항목 선검증) 도입 추진 핵심항목 미달 시 심사 중단 가능 구조로 재편(예고)
핵심항목	기업별로 중요 항목은 보지만, 심사 강도 편차가 발생할 수 있음	패치 관리·취약점 점검 등 사고 직결 항목을 “선제 검증” 중심으로 강화(예고)
현장 검증	인터뷰/샘플링/기록 중심 검증이 주가 되는 경우가 많음	현장 기술심사 강화 취약점진단·모의침투 등 기술 검증 방식 확대 적용 방향(예고)
사후관리	정기 사후심사/갱신 중심 운영	사고 발생 시 특별 사후심사 강화 중대 결함 확인 시 인증 취소 원칙 등 사후관리 강도 상승(예고)
의무 적용	ISMS는 법상 의무 대상이 존재하며, ISMS-P는 대상·범위가 분리되어 운영됨	주요 공공시스템·통신사·대규모 플랫폼 등 의무화 확대 논의/추진(예고)

4️⃣ ISMS-P 예비심사

이번 요청의 핵심인 ISMS-P 예비심사는 “본 심사 전에 핵심항목부터 먼저 확인해, 위험이 큰 결함이 발견되면 심사를 계속 끌고 가지 않겠다”는 구조적 변화다. 실무 관점에서는 “준비가 덜 된 상태에서 접수해 일정만 잡는 방식”이 통하지 않게 된다.

예비심사에서 우선적으로 흔들리기 쉬운 항목(실무 관점)
• 패치 관리 체계: 적용 기준/예외 승인/지연 사유/이력의 일관성
• 취약점 점검: 정기 점검 주기, 결과 조치, 재점검, 증적 관리
• 외부 노출 자산: 대민 구간/관리 포털/원격접속의 접근통제
• 계정·권한: 권한 부여/회수/검토(정기) 증적, 관리자 계정 통제

예비심사 대비 “증적” 최소 세트(권장)
• 최근 6~12개월 패치 적용 리포트(서버/네트워크/보안장비/주요 앱)
• 취약점 진단 결과와 조치 내역(조치율, 미조치 사유, 예외 승인 포함)
• 변경관리 기록(배포 승인, 긴급 변경, 롤백 기록 포함)
• 관리자 접근 로그(원격 접속/관리 콘솔)와 계정 검토 기록

5️⃣ “2026년 대비” 실무 준비 체크리스트

2026년에는 “서류가 있다”보다 “운영이 실제로 돌아간다”를 더 깊게 묻는 쪽으로 간다. 그래서 아래 체크리스트는 문서보다 “운영 흔적”과 “통제의 자동화/정례화”에 초점을 맞췄다.

① 패치·취약점 운영 체계 정비
• 자산군별 패치 SLA(예: 중요도별 7/30/60일) 정의
• 예외 승인(리스크 수용) 프로세스와 만료 관리 도입
• 취약점 점검 결과의 “재점검” 루프를 표준화

② 접근통제·계정 통제 강화
• 관리자 계정 분리(일반/관리), MFA 우선 적용
• 원격접속은 IP/단말/시간대 제어 + 로그 상시 수집
• 퇴사·권한변경 시 권한 회수 자동화 또는 강제 점검

③ 로그·모니터링 “보여주기” 수준 확보
• 어떤 로그를 어디에 모으는지(수집 맵) 문서화
• 경보 룰과 대응 절차(누가/언제/어떻게) 운영 기록 확보
• 사고 발생 시 타임라인 재구성 가능하도록 보관 정책 정리

④ 협력사/외주/개인계정 통제(섀도우 IT 예방)
• 외주 계정의 발급/회수/권한 범위 명확화
• 개인 계정 기반 운영 흔적 제거(공용 계정 금지, 책임 추적)

6️⃣ 비교표

아래 표는 “2025년 준비만으로는 2026년 심사에서 부족해질 수 있는 지점”을 중심으로 구성했다.

비교 항목	2025년 준비에서 흔한 방식	2026년 대비 권장 방식
패치 관리	월간/분기 리포트 중심, 예외 관리가 느슨한 경우	중요도별 SLA + 예외 승인/만료 관리 + 적용 증적 자동 수집
취약점 점검	점검 결과는 있으나 조치·재점검 루프가 약한 경우	“발견 → 조치 → 재점검 → 잔여 리스크 승인”까지 닫힌 루프 운영
현장 검증 대응	인터뷰 중심 설명, 샘플 증적 위주	기술 검증(진단/테스트) 대비 운영환경 증적과 즉시 확인 가능한 대시보드 준비
사고 이후	사후심사/개선 권고 중심 대응	사고 발생 즉시 특별 사후심사 가능성을 전제로 “초동 대응 문서+증적 패키지” 준비
의무 대상 확대	일부 업종 중심 의무 대응, ISMS-P는 조직별 체감 편차	대규모 처리/국민 파급력 기준으로 확대 가능성 고려해 선제적으로 범위 산정/예산 반영

7️⃣ 참고 자료

제도 공지/안내는 공식 채널을 기준으로 확인하는 게 안전하다. 아래는 확인에 도움이 되는 대표 채널이다.

구분	채널
ISMS-P 제도/절차	isms.kisa.or.kr
정부 보도자료(업무계획)	korea.kr