본문 바로가기
【 프로젝트 】/ISMS-P 모의 컨설팅

[ ISMS-P 모의 컨설팅 ] 0x01 — WBS 기반 역할 분배와 첫 단계

pyui 2025. 8. 17. 06:37

1) 프로젝트 배경 & 목표

  • 목표: ISMS-P 인증 절차를 모의로 수행하면서, 요구사항을 컨설팅 단계로 변환하고 전 과정을 체험/문서화
  • 핵심 산출물:
    • 킥오프 자료(범위·일정·역할)
    • 현황 파악/증빙 수집 목록
    • 갭 분석 보고서(관리적·기술적 통제)
    • 위험평가 결과 및 개선 계획
    • 최종 보고서(PPT) + 모의 심사 대비 문서

2) 왜 WBS로 시작했나

  • 한 줄 요약: “처음부터 역할·일정·산출물을 명확히 해야, 중복/누락 없이 빠르게 달릴 수 있다.”
  • 효과
    1. 담당자 혼선·책임 불명확을 방지
    2. 주차별 점검 기준이 생겨 일정 지연을 조기 발견
    3. 산출물 기준이 정해져 품질(완료 정의)이 흔들리지 않음

3) WBS 작성 방법(우리가 한 방식)

  1. 대분류 먼저 자르기
    • 프로젝트 준비/계획 → 현황 파악 → 갭 분석/리스크 → 통제 설계/문서화 → 이행 계획 → 모의 심사 준비 → 최종 보고/발표
  2. 세부 Task 쪼개기
    • 예) ‘프로젝트 계획’ → 주제 구체화, 킥오프 보고서, 파트 분배
  3. 담당자 매칭 & 산출물 정의
    • 전문성 + 일정 가능 여부로 매칭, **각 Task는 1명의 책임자(Owner)**를 지정
    • 산출물은 파일명/형식까지 미리 합의
  4. 기간(주차) 배정
    • 1~2주 단위로 묶고, 선후행 관계를 표시
    • 버퍼 주차를 중간/말미에 확보
  5. 완료기준(Definition of Done)
    • “어디까지 하면 끝인가?”를 체크리스트로 문서화

4) 주차별 계획

실제 WBS에는 월/주차 컬럼(05~08월)로 관리했습니다.

ISMS-P 모의 인증 컨설팅 WBS

 

5) 세부 Task 설명(“이렇게 했다”식 내러티브)

5-1. 프로젝트 계획

  • 목표: 범위·일정·역할 합의, 산출물 표준 정의
  • 입력: ISMS-P 요구사항, 팀 가용자원 (총 8명 → 6명)
  • 활동
    • 주제 구체화 워크숍(화이트보드/미로)
    • 킥오프 자료: 범위(조직/시스템/기간), 역할, 산출물 템플릿
    • 파트 분배: 관리/기술/문서/품질 역할로 나눔
  • 산출물: WBS, 킥오프 슬라이드, 역할 매트릭스
  • 완료기준: “각 Task당 1 Owner, 산출물명/파일명/검토자 지정”이 문서에 반영

5-2. 현황 파악 & 증빙 수집

  • 목표: “있는 그대로” 최신 상태를 도면/목록/정책으로 확보
  • 활동: 자산리스트, 데이터 흐름도, 계정/권한 매트릭스, 정책·지침 모음
  • : 최신성 기준(예: 최근 3~6개월), 스냅샷/로그 캡처는 날짜가 보이게

5-3. 갭 분석

  • 목표: 요구사항-현황 간 차이 정리 → 개선 과제 리스트업
  • 활동: 요구사항 매핑표 만들고, 각 항목에 증빙 링크/상태(충족/부분/미충족) 표기
  • 산출물: 갭 목록(원인/영향/우선순위 포함)

5-4. 위험평가

  • 목표: 영향×가능성 기반 위험도 산정, 완화 전략 제시
  • 활동: 점수기준 합의(예: 1~5), 상위 위험 TOP N 선정
  • 산출물: 리스크 레지스터(소유자/대응/기한)

5-5. 통제 설계(관리/기술)

  • 관리적: 정책/지침/절차 문서화(접근정책, 계정관리, 교육, 사고대응 등)
  • 기술적: 접근통제, 로그관리, 암호화, 취약점·패치, 백업/DR 등 설정 가이드
  • 증빙 팁: 설정 화면 캡처는 경로/버전/시간을 함께 남김

6-6. 이행 계획 & 모의 심사 준비

  • 이행 계획: “무엇을/언제/누가/완료기준”을 표로 정리
  • 모의 심사: Q&A 30문항 이상, 증빙 링크(폴더/파일)와 연결, 리허설 2회 이상

5-7. 최종 보고 & 발표

  • 구성: 배경 → 범위 → 방법론 → 주요 결과(갭/위험/개선) → 권고사항 → 부록(증빙 목록)
  • 발표 팁: 질문 예상 리스트를 슬라이드 하단 노트에 삽입

6) 회의/커뮤니케이션 운영

  • 주간 스프린트(30~45분): 진행/리스크/의사결정 3가지만
  • 데일리 스탠드업(10분, 채팅 가능): 어제/오늘/블로커
  • 회의록 템플릿(복붙)
    • 회의명/일시/참석
    • 안건 & 결정사항
    • TODO(담당/기한/완료기준)
    • 링크(증빙/문서)

7) 산출물 & 버전관리 규칙

폴더 구조

  • 파일명 규칙
    • 도메인_문서명_v{버전}_{YYYYMMDD}.ext (예: 관리체계 수립 및 운영__정보보호정책__v1.1_20250714.docx)
  • 리뷰 프로세스
    • Draft → Peer Review(동료 1명) → Owner Fix → PM 승인
  • 품질 체크리스트(DoD)
    • 표지/개정이력/목차 존재
    • 최신 스크린샷 날짜/버전 표기
    • 링크 유효성(모두 열림)
    • 책임자/검토자 이름 기재

8) 사용한 툴 스택 & 팁

  • 스프레드시트/엑셀: WBS·리스크·갭 매핑(필터/조건부서식으로 진행상태 가시화)
  • 드라이브/노션: 문서/증빙 중앙화, 접근권한 최소화(MoSCoW)
  • 다이어그램: draw.io/miro로 흐름도·네트워크/데이터 플로우
  • 커뮤니케이션: Notion/Discord 채널 고정 + 카카오톡
  • 증빙: 스크린샷은 경로/버전/시간이 나오게, 파일명 규칙 준수

'【 프로젝트 】 > ISMS-P 모의 컨설팅' 카테고리의 다른 글

[ ISMS-P 모의 컨설팅 ] 0x00 왜 ISMS-P를 선택했나: 취약점 분석과의 갈림길  (0) 2025.08.07

'【 프로젝트 】/ISMS-P 모의 컨설팅' Related Articles

티스토리툴바