👨‍🔧 4강. 진짜 심사 준비는 ‘전사적으로’가 핵심!

Tier1 입장에서 보는 조직 구조와 역할 정리 완전판 💼

안녕하세요,

자동차 사이버보안 심사 준비의 길잡이! 🚗✨

오늘은 Tier1 공급사(부품사) 입장에서 조직 내 사이버보안 역할과 책임(R&R)을 제대로 정리해보는 시간입니다.
CSMS나 ISO/SAE 21434, ISO/PAS 5112 심사에서는 단순히 보안팀만 보는 게 아니에요!
개발팀, 구매팀, 품질팀, 양산팀, 교육담당까지 모두의 움직임이 보입니다! 👀

🚦 왜 조직 구조와 책임이 중요한가요?

심사관이 제일 먼저 묻는 말:
“당신 회사에서 사이버보안은 누가 책임지나요?”

이 질문에 명확한 조직도와 역할 정의, 그리고 실제 활동 증적이 없다면?
심사관의 눈썹이 올라갑니다... 😨

🧩 핵심 Roles & Responsibilities 요약

역할	주요 책임	실무 예시
Cybersecurity Manager	CSMS 운영, 정책 수립, 심사 대응	보안 프로세스 설계, 외부 심사 대응
SW 개발자	보안 기능 구현, 취약점 대응	Secure Boot, 보안 인증 처리
HW 개발자	보안 관련 회로 설계, HSM 연동	TPM, 암호 모듈 설계
QA/검증 담당자	보안 테스트 수행 및 결과 기록	Fuzzing, Pen Test, Audit Log 검증
구매팀	공급망 보안 검토 및 계약 조건 관리	서드파티 계약 시 ISO 21434 요구사항 반영
양산팀	보안 설정 및 초기화, 비밀정보 관리	Key Injection, 보안 파라미터 설정
교육 담당자	조직 전반 보안 인식 제고, 정기 교육 기획	연 1회 전사 보안 교육, 교육 이력 관리
고객 대응팀	고객 보안 요구사항 관리 및 전달	OEM에서 받은 CSR을 개발팀에 전달 및 대응

📝 실제로 무엇을 했는지, 그리고 그것이 누구의 책임인지를 정리한 자료가 심사에서 핵심!

📌 포인트는?

단순한 조직도보다 “보안 활동 흐름도”가 심사에서 더 중요!
상호 협업이 눈에 보이도록 구성하는 게 꿀팁입니다! 🍯

✅ 심사 준비용 실무 문서 리스트

조직도 및 역할(R&R) 정의서
각 부서별 사이버보안 업무 흐름도
협업 절차 및 커뮤니케이션 포인트 정리
교육 계획 및 수료 이력 자료
고객 보안 요구사항 대응 이력

이 문서들이 있으면 심사 준비 50%는 끝났다고 봐도 됩니다! 😎

✨ 오늘의 요약

사이버보안은 팀 전체의 책임! 보안팀만의 일이 아닙니다.
Tier1에서는 구매, 양산, 교육 담당자까지 포함한 전사적 거버넌스가 중요합니다.
역할은 명확히, 협업은 빈틈없이, 증적은 꼼꼼히 준비합시다!

🔜 다음 시간 예고

5강: Audit 프로세스 흐름과 단계별 목표

심사는 어떤 단계로 이루어질까?
각 단계마다 어떤 문서와 질문이 나올까?
Audit 준비 시 가장 많이 하는 실수는?

감사 준비는 전략입니다.
다음 시간에 Audit의 흐름을 마스터해보죠! 🔍