다크 모드
ISMS Doctor 소개
ISMS Doctor 는 한국 ISMS-P 인증제도(KISA 고시) 준비와 운영을 자동화하는 SaaS 입니다. 인증 심사에서 요구하는 점검 → 증적 → 미흡 조치 → 문서화 의 반복 작업을 한 곳으로 모으고, 가능한 부분은 자동으로 채워 보안담당자의 부담을 줄이는 것이 목표입니다.
무엇을 자동화하나
| 영역 | ISMS Doctor 가 하는 일 |
|---|---|
| 자동 점검 | AWS · GitHub · 코드 스캔을 연동하면 룰 엔진이 통제 세부점검을 자동 평가 (PASS/FAIL/UNKNOWN) |
| 수동 점검 보조 | 자동화가 불가능한 통제는 가이드(무엇을·어떻게 점검, 필요 증적)와 함께 수동 검증 워크플로우 제공 |
| 증적 관리 | 연동 결과를 통제별 증적으로 자동 매핑 + 직접 업로드, 만료 알림, 요구/충족 현황 추적 |
| 액션아이템 | 미흡 통제를 조치 항목으로 발급, KISA 9단계 검증 라이프사이클로 관리 |
| 위험평가 | 자산 인벤토리 · 위협/취약점 카탈로그 · 5×5 위험 매트릭스 · 수용기준(DoA) · 라운드 운영 |
| 문서 생성 | 운영명세서 · 위험평가서 · 개인정보 흐름표 · 시정조치 등 감사 문서(DOCX) + 감사 패키지 ZIP |
동작 원리 한눈에 보기
조직 생성 (+ 인증 스코프 선택)
↓
통합 연동 (AWS AssumeRole / GitHub App / 코드 스캔)
↓
점검(스캔) 실행 ──► 룰 엔진이 세부점검 자동 평가
↓
통제 상태 확인 (effectiveStatus = 자동 결과 + 수동 검증)
↓
증적 업로드 / 액션아이템 조치 / 수동 검증
↓
보고서 · 감사 패키지 생성 → 심사 대응핵심 원칙
- 🔐 AWS 키를 저장하지 않습니다. 모든 AWS 접근은 Cross-Account AssumeRole 로만 이뤄집니다. (AWS 연결 참조)
- 🔒 멀티테넌트 격리. 조직(orgId)과 인증 스코프(certType) 두 축으로 데이터가 분리됩니다.
- 📝 모든 상태 변경은 감사 로그에 기록됩니다. 누가·언제·무엇을 바꿨는지 추적 가능합니다.
- ⚠️ 자동 점검은 사람 검토를 보조할 뿐 완전히 대체하지 않습니다. 자동 PASS/FAIL 은 1차 판정이며, 최종 책임은 보안담당자에게 있습니다.
다음 단계
- 인증 스코프 선택 (certType) — 우리 조직이 받을 인증을 먼저 정합니다.
- 회원가입 & 온보딩 — 계정을 만들고 조직을 설정합니다.
- AWS 연결 — 첫 자동 점검을 위한 연동을 진행합니다.