ISMS-P(정보보호 및 개인정보보호 관리체계) 인증은 조직의 정보보호 및 개인정보보호 수준을 종합적으로 평가하기 위한 제도입니다.
인증 과정 중에는 인증기관에서 파견된 심사원이 심사를 진행합니다.
그러나 조직이 특정 심사원에 대해 거부권을 행사할 수 있는지에 대해 궁금증이 생길 수 있습니다.
본 글에서는 ISMS-P 심사 시, 심사원 거부가 가능한지, 그리고 관련 절차에 대해 알아보겠습니다.

심사원 거부가 가능한가?

1. 심사원 거부권 존재 여부

ISMS-P 인증 심사 과정에서 조직은 특정 심사원에 대해 거부 요청을 할 수 있습니다.
다만, 이 요청이 승인되기 위해서는 합당한 이유가 필요합니다.

• 공정성 우려: 심사원이 이해관계 충돌 또는 편향성을 가질 가능성이 있는 경우.
• 전문성 부족: 심사원이 심사 대상 산업 분야에 대한 전문성이 부족하다고 판단될 경우.

2. 관련 규정

KISA(한국인터넷진흥원)와 인증기관의 지침에 따르면,

• 심사 공정성을 보장하기 위해 조직은 심사원 명단을 사전에 통보받습니다.
• 명단 확인 후, 특정 심사원에 대한 거부 요청을 할 수 있습니다.

심사원 거부 절차

1. 심사원 명단 확인

• 인증기관에서 심사원 명단을 조직에 사전에 통보합니다.
• 일반적으로 심사 시작 2주 전에 명단이 제공됩니다.

2. 거부 요청 제출

• 조직은 명단을 확인한 후, 거부 사유를 포함하여 공식 요청서를 인증기관에 제출합니다.
• 요청서에는 다음과 같은 내용을 포함해야 합니다:
  • 심사원의 이름.
  • 구체적이고 객관적인 거부 사유.

3. 인증기관 검토

• 인증기관은 거부 요청을 검토하여 정당성을 판단합니다.
• 요청이 정당하다고 인정되면, 해당 심사원을 교체합니다.

4. 새 심사원 배정

• 인증기관은 새로운 심사원을 배정하고, 조직에 이를 통보합니다.

심사원 거부 시 주의사항

1. 충분한 근거 필요
   • 단순한 개인적 감정이나 주관적 판단으로는 거부 요청이 승인되지 않을 가능성이 높습니다.
   • 공정성과 전문성 부족 등의 구체적 사례를 제시해야 합니다.
2. 심사 일정 영향 가능성
   • 심사원 교체로 인해 심사 일정이 지연될 수 있으므로 요청 전에 신중한 판단이 필요합니다.
3. 협조적 태도 유지
   • 인증기관과의 원활한 의사소통을 통해 문제를 해결해야 합니다.

결론

ISMS-P 심사 과정에서 조직은 특정 심사원에 대해 거부 요청을 할 수 있으며, 이는 인증 절차의 공정성과 신뢰성을 확보하는 중요한 권리입니다.
다만, 거부 요청이 승인되기 위해서는 객관적이고 합당한 이유를 제시해야 하며, 심사 일정에 미칠 영향을 고려하여 신중하게 판단하는 것이 중요합니다.
조직은 심사 시작 전 인증기관과의 협의를 통해 원활한 심사 과정을 준비해야 합니다.