17강: 프로젝트 평가 실습 – 증적 검토 및 평가 포인트 찾기 🎯
안녕하세요, 오늘도 사이버보안 평가의 숲을 함께 탐험하는 ISO/PAS 5112 강의입니다🌳
이번 시간에는 프로젝트 사이버보안 평가 실습에 본격적으로 돌입합니다!
“증적은 있는데 뭘 봐야 하죠?”라는 질문, 이제는 끝!
물론! 예시는 ISO/SAE 21434 기준으로 들어갑니다. (실무에서 제일 자주 쓰이죠!)
🔥 오늘의 핵심 포인트
- 표준 요구사항에 맞춘 평가 체크리스트 작성법
- ISO/SAE 21434 최신 Clause(5~15) 기준으로 실무 예시 적용
- 프로젝트 현장에서 꼭 챙겨야 할 증적과 평가 시 주의사항
📌 핵심 평가 흐름 (ISO/PAS 5112에 따라!)
- 평가 대상 명확화
- 대상: ECU 프로젝트 (HW+SW 통합 개발)
- 평가 범위: 개발 프로세스 + 사이버보안 활동 (Clause 6~15)
- 증적 수집
- TARA 결과
- CS 요구사항 명세서
- 구현 확인 문서
- 테스트 및 검증 보고서
- 사이버보안 계획서 및 검토 이력
- 평가 항목 매핑
- ISO/PAS 5112 평가 프레임워크의 프로세스/제품/조직 측면 요소를
ISO/SAE 21434 요구사항과 연결해 체크합니다!
- ISO/PAS 5112 평가 프레임워크의 프로세스/제품/조직 측면 요소를
📚 ISO/SAE 21434:2021 Clause 핵심 구조 복습
| Clause | 주요 내용 | 평가 포인트 예시 |
|---|---|---|
| 5 | Cybersecurity Management (보안 관리) | 보안 정책, 조직 내 책임자 지정, 교육 이수 여부 |
| 6 | Concept Phase (개념 단계) | 보안 목표 정의, 초기 위험 평가 자료 |
| 8 | Cybersecurity Requirements (보안 요구사항) | 보안 요구사항 명세서, TARA 연계 여부 |
| 10 | Detailed Design and Implementation (상세 설계 및 구현) | 보안 기능 설계 문서, 구현 증거 |
| 11 | Verification and Validation (검증 및 확인) | 테스트 계획, 보안 테스트 결과, 결함 수정 기록 |
| 13 | Operation (운영) | 운영 중 보안 이벤트 대응 절차 문서 |
| 15 | Threat Analysis and Risk Assessment (TARA) | 위협 분석 보고서, 위험 완화 대책 문서 |
🕵️ 프로젝트 평가 실습: 인포테인먼트 ECU 개발 사례
- 상황: 차량 인포테인먼트 ECU는 무선 업데이트와 다양한 통신 인터페이스를 가짐
- 평가 목적: 위 Clause들을 토대로 프로젝트 내 보안 활동이 제대로 진행됐는지 확인
1️ 증적 문서 준비 확인하기
- 보안 정책, 조직도, 담당자 지정 문서 (Clause 5)
- 보안 목표 및 초기 위험 평가 결과 (Clause 6)
- 보안 요구사항 명세서, TARA 연계 문서 (Clause 8, 15)
- 상세 설계 문서, 구현 증거 (Clause 10)
- 보안 테스트 리포트, 결함 처리 기록 (Clause 11)
- 운영 보안 대응 절차 문서 (Clause 13)
2️ 평가 포인트 점검
- 요구사항과 설계, 구현, 테스트 간 추적성(Traceability)은 명확한가?
- 실제 테스트 결과가 보안 요구사항을 충분히 검증하고 있는가?
- 보안 관리 체계와 책임자가 명확히 지정되어 있는가?
- 부적합 발생 시 개선 계획과 이행 내역은 충분히 문서화되어 있는가?
👉 주의할 점!
- 문서상의 형식적인 존재 확인만 하지 말고, 활동의 실질 반영 여부를 꼭 점검하세요!
- 증적 간 연결고리를 통해 전체 보안 프로세스가 잘 작동하는지 확인하는 게 관건입니다.
🧠 실전 팁! 평가자의 눈은 여기 본다 👀
- 문서만 있다고 끝이 아니다!
👉 문서의 일관성, 최신성, 검토 이력이 핵심입니다. - 요구사항 추적 매트릭스는 필수!
👉 ISO/SAE 21434는 “Risk-based traceability”를 강조합니다. - 평가자는 “왜?”를 묻는다.
👉 왜 이 위협을 이렇게 다뤘는지, 왜 이 요구사항이 필요한지 논리적 연결고리를 만들어야 합니다.
⚡ 실무 꿀팁 – “있는 그대로”가 아니라 “맥락 중심”으로!
증적은 양보다 맥락이 중요합니다.
TARA부터 구현, 검증까지 논리적 흐름을 파악할 수 있어야 합니다.
문서 간 연결 고리가 부족하면 보안의 설득력이 떨어져요!
🔄 체크리스트로 마무리!
- 증적이 표준 요구사항과 연결되는가?
- 설명 가능한 논리가 존재하는가?
- 최신화된 문서인가?
- 검토 및 승인 내역이 있는가?
✨ 마무리하며
이번 강에서는 ISO/SAE 21434 최신 Clause 기준에 맞춘
프로젝트 평가 실습과 증적 검토법을 정리했습니다.
심사 준비에 자신감이 좀 더 생기셨나요? 😄
안전한 사이버보안 감사, 함께 만들어가요! 🚗🔐
반응형
'Cybersecurity > ISO.PAS 5112' 카테고리의 다른 글
| (ISO/PAS 5112 실무 2강) 사이버보안 관련 프로세스 관리 (3) | 2025.08.24 |
|---|---|
| (ISO/PAS 5112 실무 1강) 사이버보안 정책, 규칙, 프로세스 정의 (1) | 2025.08.20 |
| (ISO/PAS 5112 16강) 내부 감사 수행 실습 – 시나리오 기반 워크숍 (3) | 2025.08.04 |
| (ISO/PAS 5112 15강) 실사 시 커뮤니케이션 전략과 Q&A 대응법 (1) | 2025.07.27 |
| (ISO/PAS 5112 14강) 사례 분석 ④: 감사 부적합 대응 실무 플로우 (4) | 2025.07.24 |