ISO/PAS 5112의 범위/관련 참조/감사 원칙

IOS/PAS 5112에서 지원하는 지침

• 사이버 보안 관리 시스템(CSMS)에 대한 감사 프로그램 관리
• 조직의 CSMS 감사 수행
• CSMS 감사자의 역량
• CSMS 감사 중 증거(Evidence) 제공

ISO/PAS 5112의 한계

• 사이버보안 평가(Assessment) 에 대한 지침은 제공하지 않는다.

ISO/PAS 5112의 관련 참조

• ISO/SAE 21434:2021, Road vehicles — Cybersecurity engineering
• ISO 19011:2018, Guidelines for auditing management systems

ISO/PAS 5112 감사 원칙

• ISO 19011:2018의 감사 원칙을 적용한다.
  • 성실성(Integrity)
  • 공정한 보고(Fair presentation)
  • 전문가적 주의 의무(Due professional care)
  • 기밀유지(Confidentiality)
  • 독립성(Independence)
  • 증거기반 접근방법(Evidence-based approach)
  • 리스크 기반 접근법(Riks-based approach)
• 가이드라인은 ISO/SAE 21434에서 정의하는 조직 사이버 보안 감사를 대상으로 한다.
• 제품 수준 주제는 범위에 포함되지 않는다.
  제품과 관련해서는 ISO/SAE 21434에 기반한 사이버 보안 평가를 통해 판단한다.

ISO/PAS 5112

ISO/PAS 5112는 ISO/SAE 21434(도로차량-사이버보안 엔지니어링)과 관련된 감사 표준이다.
ISO19011 지침을 자동차 영역으로 확장한다.

사이버보안 감사는 조직 차원의 사이버보안 활동을 대상으로 한다.

ISO/PAS 5112의 주요 내용

• 감사 프로그램의 관리 지침
• 관리 시스템 감사의 계획 및 수행 지침
• 감사 팀의 역량 및 평가에 대한 지침

ISO/PAS 5112의 활용

• 내부 감사(1차 당사자)
• 조직이 외부 당사자를 대상으로 실시하는 감사(2차 당사자)
• 제3자가 실시하는 외부 감사(예: 인증 목적)
• 심사원 교육