2021년 ISMS-P 인증심사원 자격 시험 필기 합격 후기

필자는 올해 처음으로 ISMS-P 시험에 응시했다. 사실 이제 기술사를 제외한 다른 자격증은 취득할 생각을 없었는데, 어쩌다보니 한번 해볼까? 하는 생각이 들어서 응시하게 되었다. 다른 계기들도 얘기하고 싶지만 관심이 없을테니 생략하겠다.

 

참고로 필자는 작년에 CPPG를 준비하면서 개인정보 관련 법령은 충분히 많이 봤다고 생각되었고, 최근에 보안기사 시험도 응시해서 개인정보 및 보안 기술에 대한 부분은 많은 시간을 투자 하지 않았다. 실제로 CPPG와 정보보안기사에 비하면 ISMS-P의 개인정보 관련 문제 및 기술 문제는 별로 어렵지 않았다. (인증 기준 결함 찾는 건 너무 어려웠다..ㅠㅠ)

 

하고 싶은 말은 개인정보, 정보보안 기술은 제끼고 필자가 부족했던 인증 기준 결함 찾기에 집중했다는 것이다. 우리는 직장인이라 항상 피곤하고 나이가 들어서 집중력도 체력도 별로 없다. 그렇기 때문에 전략적으로 공부하자. 자격증 시험에서는 본인이 취약한 부분이 있다면 그것부터 메꿔라. 잡소리 그만하고 후기 시작한다.

 

아, 참고로 본 시험은 절대평가가 아닌 상대평가이다. 올해 필기는 약 2000명 응시해서 약 90명만 선발했다.

 

 

 

1. 공부 기간
2달
이라고 적긴했지만 참 짧은 기간이다. 다른 후기를 보면 6개월 ~ 1년 정도 공부하고 재수하신 분들도 많았다. 2달이면 인증심사원 시험을 처음 준비하고 해당 업무를 직접적으로 경험해보지 않았다면 합격하기는 짧은 시간. (필자가 여기에 모두 해당된다..)
그리고 나이가 들어가면서 집중을 오래하기가 힘들다는 것을 몸소 느낀다. 그래서 시간을 쪼개서 여러번 공부하는 방법을 택했다. (꼭 이렇게 하라는 건 아니고 선택은 자유다.)

• 평일은 출근 전 새벽과 저녁    (참고로 근처 독서실은 새벽 6시에 문열어서 그때부터 갔다.)
• 주말 및 공휴일을 아침, 대낮, 저녁, 심야 

 

 

2. 공부 방법

워낙 바쁜 시간 쪼개서 진행했던터라 모든 것이 다 기억나지는 않는다. 하지만 조금이나마 시험에 응시하는 분들에게 도움이 되고자 최대한 공부 했던 방법에 대해서 복기해본다. 

 

• 온라인 유료 강의 수강 
  • 기대와는 다르게 거의 도움이 되지 않아 끝까지 보지도 않았다.
• ISMS-P 인증기준 안내서 (2019.1.18) 약 10회독
  • KISA에서 발간한 안내서로 본 시험에 제일 중요한 자료라고 생각한다.
  • 정확히 몇번 봤는지 기억은 안나지만 최소 10번은 본 것 같다. 처음 2~3번은 가볍게 읽고 넘겨라. 
    그 이후엔 인증 항목 및 결함 사례에 대해 하나 하나 따져가면서 읽어야 한다. 그러면 서로 비슷한 인증 항목에 대해서 겹치는 결함 사례가 많이 보일 것이다. 그리고 해당 안내서는 2019년에 발간된 것으로 2021년 현재 시행되고 있는 법령과 일부 다른 부분도 보일 것이다.
• 개보법, 망법, 개인정보 안정성/관리적기술적 해설서 약 2~3회독
  • CPPG 준비할 때 주로 봤던 자료들이다. 기억을 되살리기 위해 가볍게 2~3번 읽어봤다.
  • 이후 헷갈리는 부분은 별도로 노트에 적어두고 그 부분만 다시 2~3번 봤다.
• 개인정보보호포털 내 'ISMS-P 인증심사원을 위한 (개인)정보보호 교육'(6시간 분량) 2회 수강
  • 별 기대없이 봤는데, 굉장히 도움을 많이 받았던 내용이다. ISMS-P 인증기준 안내서 만 보면 너무 지겨운데, 해당 교육자료는 그림도 많고 역할극(?) 같은 것도 나와서 굉장히 재미있게 봤던 자료이다. 2번 정도 봤다.
• ISMS-P 관련 문제 풀이
  • 시중에 문제집이 몇개 없다. 살 수 있는 건 다 사서 풀었다. 이미 인증 기준을 여러번 회독하고 풀었는데 점수가 잘 안나와서 처음엔 많이 당황했다. 그래도 뭐 어쩔 수 있나.. 계속 풀었다.
• ISMS-P 인증 기준서 질의 응답 (with 도와줄 사람) 
  • 빽빽이 깜지를 계속하면 손목이 아프다. 볼펜도 여러개를 소비했다. 이럴 때 좋은게 주변에 도와줄 사람이 있다면 인증 기준서의 결함 항목을 질의해달라고 하고 내가 응답하는 식으로 공부하는 것이다. 예를 들면 아래와 같다.
    • 도와줄 사람) 정보보호 최고 책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우는 어느 인증 기준 결함일까요?
    • 필자) 2.1.2 조직의 유지 관리

• '정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시' 다회독
  • 인증 기준 안내서만 주구장창 보다보니, 고시에 나와있는 내용을 소홀히 했었다. 하지만 어려운 거 다 맞추고 이런 간단한 내용을 틀린다면 억울할 것이다. 양도 많지 않아 시간나는대로 여러번 봤다. (ex. ISO27001 인증을 가지고 있는 기업의 ISMS-P 수수료 할인율 등등)
• 계속 헷갈리는 결함 사례 별도 정리 노트 만들기
  
  • 연습장을 반 접어서 왼쪽에는 계속 헷갈리는 결함 사례를 적고 오른쪽에는 해당 되는 인증 기준을 적었다.
    

• 빽빽이(?) 깜지(?) 반복.. 할 수 있는 만큼
  • 문제집도 다 풀고 나니 뭘 해야 될지 모르겠다. 그래서 빈 종이에 'ISMS-P 인증기준 안내서' 의 인증 기준과 결함 사례를 아무것도 보지 않고 손으로 써내려갔다. 처음엔 생각보다 써지는 것이 별로 없었다. 그래서 거의 빈칸으로 다 남겨뒀었고, 빈칸으로 남겨둔 부분만 별도로 다시 공부하고 복습했다. 
    이후, 다시 빈 종이에 인증 기준과 결함 사례를 적어내려갔고, 처음보단 빈칸이 많이 줄어들었다. 하지만 또 빈칸은 있다. 힘들어서 여러번 할 수는 없지만 몇 번은 했던 것 같다.

 

 

 

3. 결론

• 필자는 기존에 ISMS-P 시험을 준비해본 경험이 없었고, 직접적으로 인증 업무를 하지도 않는다. (그동안 쪽 정보보안 쪽 업무를 해왔지만 '인증' 업무는 하지 않았다.) 하지만 평소 타 회사 개인정보처리방침에 대해서 검토하고 지인들에게 피드백 받는 등 법령을 해석하고 적용해보려는 노력을 간간히 해왔다. 또한 정보보안 관련 된 타 자격증을 몇 개 보유하고 있는데 이러한 점도 어느정도 뒷받침되서 좀 더 빨리, 높은 점수로 합격한 것이 아닌가 싶다.
• 그리고 ISMS-P 컨설팅 업무를 하고 있거나 회사에서 컨설팅의 도움 없이 직접 법령 및 인증 기준을 해석하는 ISMS-P 인증 심사 대응 업무를 해 본 인원이라면 훨씬 더 수월하게 합격할 수 있을 것 같다. 
• 중요한 건 그냥 읽고 외우는게 아니라 생각을 하면서 이것이 실제 어떻게 회사에 적용될 수 있을지? 어떤게 현실적으로 힘들지? 에 대해 고민하는 과정이 반드시 들어가야 된다는 것이다. 덧붙이자면 필자는 본 인증 기준을 공부하면서 예전에 다니던 회사의 관련팀에서 했었던 행동들이 하나씩 하나씩 이해가 가기 시작했는데 그것들이 굉장히 도움이 많이 됐다. (예를 들자면 팀별 보안 관리자 지정 및 교육, 주기적인 업무 환경 점검, 무선 AP 재밍, PC 보안 점검, 교육 등등등등) 
• 아직 부족하지만 실기 합격 및 심사원으로써 심사를 나가면서 조금씩 경험을 넓혀가야겠다. (급다짐..?)