납품물 (Deliverables)
벤더 보안 설문 대응 서비스의 결과물 3종을 상세히 안내합니다.
질문서를 '만드는' 게 아니라, 고객이 받은 보안심사 설문(엑셀/문서)에 답변을 채워 제출본으로 납품합니다.
1 완성 설문 파일 (원본 포맷 유지)
보안심사 설문 대행의 핵심 결과물입니다. 고객이 받은 원본 질문서에 제출 가능한 형태로 답변을 채워 납품합니다.
포함 요소
- 문항별 제출형 답변 — 예/아니오가 아닌, 구체적인 문장으로 작성
- 근거 (짧게) — 답변의 배경이 되는 정책/도구/절차 명시
- 일관성 검토 완료 — 같은 주제 답변 간 충돌 없이 정리
- 원본 포맷 유지 — 엑셀 양식, 문서 양식 그대로 작성
예시 (답변 스타일)
문항: "데이터 전송 시 암호화를 적용하고 있습니까?"
답변: "예. 모든 데이터 전송에 TLS 1.2 이상을 적용합니다.
API 통신은 HTTPS를 강제하며, 내부 서비스 간 통신도
mTLS를 통해 암호화합니다."
2 증빙 체크리스트 1장 (PDF)
vendor security questionnaire 제출 후 증빙 요청에 대비하기 위한 체크리스트입니다. 협력사 보안 평가에서 자주 요청되는 증빙 항목과 대체 증빙 가이드를 정리합니다.
증빙 우선순위 태그 (E0~E3)
E0 — 필수 증빙
거의 모든 심사에서 요청됨. 예: 인증서 사본, 보안정책 문서, 아키텍처 다이어그램
E1 — 높은 확률
상세 심사 시 자주 요청됨. 예: 취약점 스캔 리포트, 침투테스트 결과 요약
E2 — 중간 확률
특정 산업/고객에서 요청됨. 예: 교육 이수 기록, 백업 복구 테스트 로그
E3 — 낮은 확률
요청 시 준비해도 됨. 예: 전체 감사 로그, 상세 네트워크 토폴로지
대체 증빙 가이드 포함
증빙이 없는 경우 대체할 수 있는 방법을 안내합니다. 예를 들어, 공식 침투테스트 리포트가 없다면 자체 취약점 스캔 결과 + 개선 조치 내역으로 대체하는 방식입니다.
3 미비항목 / 예외 대응 문구 1장 (PDF)
보안 질문서 작성 대행에서 가장 까다로운 부분입니다. 없는 것은 없다고 명시하되, third-party risk 심사에서 수용 가능한 방식으로 표현합니다.
포함 요소
- 현재 통제 현황 — 완벽하지 않더라도 현재 적용 중인 통제 명시
- 대체 통제 — 요구사항과 동등한 효과를 내는 다른 방법
- 개선 일정 — 향후 도입 계획이 있다면 예상 일정 포함
- 위험 수용 사유 — 해당 통제가 필요하지 않은 합리적 이유
예시 (예외 대응 문구)
문항: "SOC 2 Type II 인증을 보유하고 있습니까?"
현황: "현재 SOC 2 인증을 보유하고 있지 않습니다."
대체 통제: "AWS 인프라의 SOC 2 인증을 상속받으며,
자체적으로 연 1회 외부 취약점 진단과 분기별 내부
보안 점검을 수행하고 있습니다."
개선 계획: "2025년 Q2 SOC 2 Type I 인증 취득을
목표로 준비 중이며, Type II는 2026년 상반기
완료를 계획하고 있습니다."
제출용 폴더 구조 예시
납품 시 아래와 같은 폴더 구조로 정리하여 전달합니다. 공급사 보안 평가 제출 시 그대로 활용할 수 있습니다.
관련 페이지
납품 후 추가질의 대응
TPRM 심사에서는 설문 제출 후 추가 질의가 발생하는 경우가 많습니다. 이를 대비하여 다음을 함께 제공합니다.
추가질의 응답 템플릿
자주 발생하는 추가 질문 유형과 응답 예시를 정리한 템플릿. 직접 수정해서 사용할 수 있습니다.
제출 전 최종 체크 포인트
제출 전 확인해야 할 사항 리스트. 누락된 항목, 일관성, 첨부파일 확인 등을 포함합니다.
참고: 추가 질의 대응이 많은 경우, 별도 협의를 통해 후속 지원을 제공할 수 있습니다.