(ISO/PAS 5112 실무 1강) 사이버보안 정책, 규칙, 프로세스 정의

🚗 1강: 사이버보안 정책, 규칙, 프로세스 정의

안녕하세요! 오늘은 ISO/PAS 5112 Questionary 를 가지고 이야기를 나눠볼게요.
"사이버보안 정책, 규칙, 프로세스가 정의"에 대한 질문인데, 단순히 문서가 있냐 없냐를 체크하는 수준을 넘어,

조직이 진짜 보안을 경영의 일부로 삼고 있는가를 확인하는 포인트랍니다.

---

 

📖 ISO/SAE 21434의 목표 연결

ISO/SAE 21434 에서는 이렇게 요구하고 있어요:

• 사이버보안 정책을 정의해야 함
• 조직 특화된 규칙과 프로세스를 마련해야 함

즉, 단순히 "우리는 보안을 중요시한다!"라는 선언문 수준이 아니라,
실제로 어떻게 보안을 관리하고, 누가 책임지고, 어떤 절차로 실행하는지까지 포함된 체계가 필요하다는 의미죠.

---

🔍 감사인(Auditor)의 체크 포인트

심사원이 확인하는 부분은 크게 두 가지입니다.

1. 정의 여부 확인
   • 정책, 규칙, 프로세스가 명확히 문서화되어 있는가?
   • “구글 드라이브 어딘가에 파일 있긴 한데요…” → ❌
   • “품질 시스템 내 프로세스 문서에 공식적으로 등록되어 있습니다.” → ✅
2. 정책의 의지 확인
   • 조직이 자신들의 활동과 연계된 사이버보안 리스크를 관리하겠다고 명확히 선언하고 있는가?
   • 즉, 보안은 “보안팀만의 문제”가 아니라, 조직 전체의 약속이라는 점을 드러내야 합니다.

---

📝 증적(Evidence) 예시

심사 때는 이런 자료가 근거로 쓰일 수 있어요:

• 사이버보안 정책 / 규정 / 프로세스
  • 보안 정책서 (Cybersecurity Policy)
  • 보안 규칙집 (Rules Handbook)
  • 사이버보안 프로세스 절차서 (Process Document)

보통 회사에서는 정보보안 정책(ISMS) 과 연계하거나, 품질/개발 프로세스 매뉴얼에 포함시켜 관리하곤 합니다.

---

🏭 조직 규모 및 OEM/Tier1/Tier2 관점에서의 대응 방안

사이버보안 정책과 프로세스를 정의하는 방식은 조직의 규모와 공급망 위치에 따라 달라집니다.

✅ OEM (완성차 업체)

• 역할: 전체 차량의 보안 책임을 총괄
• 대응 방안
  • 기업 차원의 최상위 보안 정책 수립 (예: "모든 차량은 EOL까지 보안 업데이트 지원")
  • 공급망(Tier1, Tier2)에 보안 요구사항 전달 및 계약에 반영
  • CSMS(사이버보안 관리 시스템) 구축 및 정부 인증 대응

👉 OEM은 "정책의 주도자" 역할을 하며, 규제 준수 + 공급망 관리에 집중해야 합니다.

---

✅ Tier1 (시스템/모듈 공급사)

• 역할: ECU, 도메인 컨트롤러, 통신 게이트웨이 등 주요 전자부품 개발
• 대응 방안
  • OEM 보안 요구사항을 프로세스로 내재화 (예: 보안 요구사항 리뷰 → 설계 반영 → 검증)
  • 조직별 보안 책임자(CSO, Cybersecurity Manager) 지정
  • 개발 프로세스 내 Threat Analysis & Risk Assessment (TARA) 절차 반영
  • 정책 문서에는 OEM 연계성 강조 (즉, "우리는 OEM의 정책을 지원한다"는 내용 포함)

👉 Tier1은 OEM과 직접 연결되므로 보안 정책을 실무 프로세스로 풀어내는 역할을 맡습니다.

---

✅ Tier2 (부품/칩/소프트웨어 라이브러리 공급사)

• 역할: 칩셋, 센서, 기본 소프트웨어 등 핵심 요소 기술 제공
• 대응 방안
  • 보안 정책은 간결하고 기술 중심적으로 구성 (예: "제품 설계 시 보안 취약점 최소화")
  • 보안 규칙보다는 개발 가이드라인 위주 (예: Secure Coding Rule, 공급 시점 취약점 점검)
  • 프로세스는 ISO 21434의 연관된 항목만 최소화하여 운영 가능
  • Tier1/OEM의 요구를 증적 형태로 제공할 수 있도록 문서화

👉 Tier2는 기술 품질 관점의 보안 보장에 집중하며, 리소스가 적을 경우 필수 프로세스만 경량화해서 운영하는 것이 핵심입니다.

---

💡 실무 팁

• 정책 문서는 짧고 간단하게, 누구나 읽고 이해할 수 있어야 해요. (슬로건처럼!)
• 규칙과 프로세스는 개발자, 테스터, 관리자 등 역할별 책임이 반영되어야 해요.
• OEM → Tier1 → Tier2로 갈수록 정책은 추상적 → 구체적 → 기술적으로 변합니다.
• 외부 인증(ISMS, ISO 27001 등)과 연계성을 확보하면 심사에서 점수 따기 좋습니다. 😉

---

🚀 오늘의 정리

조직이 사이버보안을 진짜 경영 과제로 다루고 있는가?에 대한 준비

• 정책: 방향성 제시
• 규칙: 지켜야 할 원칙
• 프로세스: 실행 방법

그리고 조직 규모에 따라 대응 전략이 달라져야 합니다.

• OEM → 총괄 정책 + 공급망 관리
• Tier1 → 정책의 실무 프로세스화
• Tier2 → 기술 품질 중심 최소 프로세스 운영

이 세 가지가 문서화되어 있고, 조직 전체가 이를 따르고 있다는 증거가 있어야 심사원에게 Pass!를 받을 수 있습니다.

---

👉 다음 회차에서는 “조직 내 사이버보안 역할과 책임”를 다뤄볼게요!
역할 분담 얘기라 개발자분들, 프로세스 전문가분들 모두 귀 기울여야 할 내용이랍니다. 😎