다크 모드
점검 핵심 개념
통제 화면을 제대로 활용하려면 몇 가지 용어를 알아두면 좋습니다. ISMS Doctor 가 인증 점검을 어떻게 구조화하는지 설명합니다.
통제(Control)와 세부점검(CheckItem)
- 통제(Control) — ISMS-P 점검표의 한 항목입니다. 코드(예:
1.1.1), 제목, 영역(분류)을 가집니다. - 세부점검(CheckItem) — 한 통제 아래의 개별 점검 항목입니다. 통제 하나에 여러 세부점검이 달립니다.
세부점검은 점검 방식(checkMethod) 으로 구분됩니다.
| 점검 방식 | 의미 |
|---|---|
| AUTO | 룰 엔진이 연동(AWS/GitHub 등) 데이터로 완전 자동 평가 |
| SEMI_AUTO | 자동 점검 + 사람 확인이 함께 필요한 하이브리드 |
| MANUAL | 사람이 직접 확인·판정해야 하는 항목 |
세부점검에는 우선순위(P1/P2/P3)도 부여되어, 무엇부터 처리할지 판단할 수 있습니다.
effectiveStatus (통제 최종 상태)
통제/세부점검의 최종 상태인 effectiveStatus 는 다음을 합쳐 계산됩니다.
effectiveStatus = (자동 점검 결과) + (사람의 수동 검증 결과)상태 값:
| 상태 | 의미 |
|---|---|
| PASS / READY | 충족 (자동 PASS + 필요한 경우 수동 검증 완료) |
| FAIL | 미흡 — 조치 필요 (보통 액션아이템으로 연결) |
| REMEDIATING | 조치 진행 중 |
| EVIDENCE | 증적 보강 필요 |
| UNKNOWN / NOT_APPLICABLE | 판정 불가 또는 해당 없음 |
💡 자동 점검 결과가 PASS 여도, 사람 검증이 필요한 세부점검은 검증을 마쳐야 최종 PASS 로 확정됩니다.
룰(Rule)
룰(Rule) 은 자동 점검을 수행하는 규칙입니다. AWS API 조회, GitHub 경보 조회 등으로 동작하며 세부점검에 매핑됩니다. 개별 룰 실패는 격리되어 전체 스캔을 중단시키지 않습니다.
운영명세서 (KISA 5축)
각 세부점검에는 KISA 운영명세서 정보가 붙습니다. 인증 심사에서 "이 통제를 어떻게 운영하는지"를 설명하는 자료로, 다음 축을 가집니다.
- 운영 현황 설명 — 통제를 실제로 어떻게 운영하는지 서술 (시드 기본값 + 조직별 override)
- 운영 주기 — CONTINUOUS / DAILY / WEEKLY / MONTHLY / QUARTERLY / SEMI_ANNUAL / ANNUAL / AS_NEEDED
- 관련 문서 — 근거가 되는 정책/절차 문서 목록 (시드 기본값 + 조직별 override)
조직 상황에 맞게 ADMIN 이 값을 수정(override)할 수 있습니다. (수동 검증 & 운영명세서 참조)
통제 상세 화면
통제 목록(/controls)에서 항목을 클릭하면 상세 화면이 열리고, 다음을 볼 수 있습니다.
- 세부점검 목록과 각각의 자동/수동 상태
- KISA 가이드 콘텐츠(무엇을·어떻게 점검, 필요 증적, 흔한 실패, 조치 방법)
- 운영명세서(5축)
- 세부점검별 증적 업로드
- 미흡 시 연결된 액션아이템