1. 사이버보안 계획이 뭐죠? 왜 필요한가요?
2. 계획서에 꼭 들어가야 할 핵심 3요소!
2.1 🔧 사이버보안 관리 계획 (Cybersecurity Management Plan)
2.2 👥 역할과 책임 정의 (Roles and Responsibilities)
2.3 💻 자산 식별 및 관리 (Asset Identification & Management)
3. 사이버보안 계획의 작성 타이밍은?
4. 협력사와의 계획 연계는?
5. 실무 팁! “계획서 작성 시 흔한 실수들”
📦 정리 한 줄 요약
⏭️ 차회 예고
8강. TARA 시작하기 – 위협 분석의 시작

🔐 7강. 사이버보안 계획(Cybersecurity Plan) 세우기

보안도 계획이 반이다! 자동차 사이버보안도 마찬가지!

안녕하세요, 보안에 진심인 자동차 개발자 여러분!
오늘은 ISO/SAE 21434에서 "필수템"이라고 말해도 될
사이버보안 계획(Cybersecurity Plan)에 대해 살펴보는 시간입니다.

계획 없이는 개발도 없고,
보안도 계획 없이는 절~대 시스템에 녹아들지 못해요.

🎯 “보안은 실행도 중요하지만, 그 시작은 언제나 ‘계획’입니다!”

다음 시간에는 드디어 TARA! 위협 분석의 본격적인 여정을 시작할 거예요.
오늘은 그 준비운동, 제대로 해볼까요?

1. 사이버보안 계획이 뭐죠? 왜 필요한가요?

사이버보안 계획(Cybersecurity Plan)은
프로젝트에서 어떤 보안 활동을 언제, 어떻게, 누가 할 건지를 정의한 문서입니다.

📋 쉽게 말하면, “우리 프로젝트 보안은 이렇게 할 거야!”라는 개발팀의 약속서죠.

ISO/SAE 21434의 요구사항 중에서도
모든 개발 프로젝트에서 반드시 수립해야 하는 첫 단계 중 하나예요.

2. 계획서에 꼭 들어가야 할 핵심 3요소!

사이버보안 계획서의 3종 세트, 이건 절대 빼먹을 수 없습니다! 🧠

2.1 🔧 사이버보안 관리 계획 (Cybersecurity Management Plan)

이건 일종의 보안 업무 운영 매뉴얼!

보안 업무를 어떤 일정에 맞춰 수행할지
어떤 표준과 툴을 적용할지
변경 관리, 이슈 추적은 어떻게 할지 등
보안 업무 전반의 관리체계를 명확히 정의합니다.

⏰ 일정이 없는 보안은 실행되지 않는다!
📁 문서화되지 않은 보안은 기억되지 않는다!

2.2 👥 역할과 책임 정의 (Roles and Responsibilities)

보안 업무는 협업이 생명입니다.
"이거 누가 할 거예요?" 하는 순간 이미 문제 시작!

그래서 다음과 같은 책임을 명확히 해야 하죠:

CS 책임자 (Cybersecurity Responsible)
TARA 분석자
보안 요구사항 도출 담당자
보안 테스트 담당자

🧩 각자가 맡은 퍼즐 조각을 완성해야 전체 그림이 나옵니다.

2.3 💻 자산 식별 및 관리 (Asset Identification & Management)

자산(Asset)이란? 해커가 노릴 수 있는 ‘보안 관심 대상’이죠!

ECU, 네트워크 통신, Flash 영역, OTA 서버 등
시스템 내부/외부 요소 중 보호가 필요한 정보 및 컴포넌트

계획 단계에서는 우선 주요 자산을 식별하고,
어떤 방식으로 관리할지 정의합니다.

🕵️ “무엇을 지킬지 알아야 지킬 수 있다!”

3. 사이버보안 계획의 작성 타이밍은?

정답: 개발 초기!

아키텍처 나오기 전이라도, 최소한의 시스템 정의가 된다면
계획은 그 위에 바로 세워야 합니다.

왜냐고요?

보안 요구사항은 설계 전부터 들어가야 하고
TARA 분석도 구조가 잡히기 전에 착수해야 하며
개발 일정에 보안 테스트 시점을 반영해야 하니까요!

🚀 “계획이 없으면 보안도 일정도 허공을 떠다닙니다.”

4. 협력사와의 계획 연계는?

OEM이든 Tier1이든, 협력사와 함께 개발한다면?
보안 계획도 연결되어야 합니다.

협력사의 보안 책임자 지정 여부
협력사 내부 사이버보안 계획 보유 여부
연계 일정, 데이터 공유 방안

🤝 서로 다른 배를 타고 같은 바다를 항해하려면,
보안 계획이라는 나침반이 꼭 필요합니다!

5. 실무 팁! “계획서 작성 시 흔한 실수들”

실수	교정 팁
TARA나 보안 테스트 일정 누락	개발 일정표에 보안 활동도 통합하세요!
역할 정의가 모호함	이름/직책/책임 범위를 문서화하세요!
협력사 책임 미정의	협력사에게도 역할/계획서를 요구하세요!
자산 목록이 너무 포괄적임	공격자가 노릴 만한 주요 자산에 집중하세요!

📦 정리 한 줄 요약

사이버보안 계획은

"누가, 무엇을, 어떻게, 언제 할지를 미리 정리해
프로젝트 전체 보안 흐름을 설계하는 지도입니다."

계획이 제대로 세워져 있어야
이후의 모든 보안 활동이 차질 없이 실행될 수 있어요!

⏭️ 차회 예고

8강. TARA 시작하기 – 위협 분석의 시작

TARA가 뭐길래 보안의 핵심이라고 할까?
어떤 자산을 기준으로 분석해야 할까?
ISO/SAE 21434의 TARA 절차는 어떻게 되어있을까?

🎯 드디어 시작합니다, 실전 보안 분석의 꽃! TARA!
다음 강의도 기대해주세요! 🕵️‍♂️🚗💥

'Cybersecurity > ISO.SAE 21434' 카테고리의 다른 글

(사이버보안 9강) TARA – 공격경로와 위협 시나리오 그리기 (0)	2025.06.17
(사이버보안 8강) TARA 시작하기 – 위협 분석의 시작 (3)	2025.06.14
(사이버보안 6강) 사이버보안 개발 프로세스 전개 개요 (5)	2025.06.10
(사이버보안 5강) 자동차 보안 용어, 이것만은 알아두자! (3)	2025.06.07
(사이버보안 4강) UNECE R155 & R156 이해하기 (2)	2025.06.06

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

(사이버보안 7강) 사이버보안 계획(Cybersecurity Plan) 세우기