(ISO/PAS 5112 6강) Assessment는 Audit과 뭐가 달라요?

🧪 6강. Assessment는 Audit과 뭐가 달라요?

프로세스 흐름과 평가 포인트, 핵심 차이 완전 분석! 🔍

안녕하세요, 사이버보안 심사 마스터의 길로 한 걸음씩 나아가는 여러분!
오늘은 ‘Audit’과 함께 자주 등장하는 그 단짝!
Assessment에 대해 집중 탐구해볼 시간입니다! 🧠

지난 5강에서 Audit의 흐름과 목적을 배웠다면,
이번 6강에서는 그와 다르면서도 밀접한 관계를 가진 Cybersecurity Assessment의 프로세스를
설명해드립니다. 🎯 

---

🎯 오늘의 목표

• Assessment가 무엇인지, Audit과 어떻게 다른지 파악하기
• 개발 프로젝트 중심의 평가 특징 이해하기
• CS Maturity 평가와 어떻게 연결되는지 알아보기

---

🤔 Audit vs Assessment: 뭐가 다르죠?

항목	Audit	Assessment
목적	조직의 프로세스 준수 여부 확인	프로젝트의 보안 활동 및 산출물의 적절성 평가
대상	회사 전체 또는 조직 단위	개별 개발 프로젝트 또는 시스템
기준	ISO/PAS 5112 기반 절차와 원칙	ISO/SAE 21434의 요구사항 기반
초점	"이 프로세스를 운영하고 있나요?"	"이 프로젝트에서 보안을 제대로 했나요?"
담당자	Auditor (내부 또는 외부)	Assessor (기술 중심 전문가)

💡 요약하자면:

Audit은 '회사 전체의 사이버보안 체계'를 보고,
Assessment는 '개별 프로젝트의 보안 활동'을 들여다본다!

---

🛠️ Assessment의 전체 흐름 (ISO/SAE 21434 기준 기반)

1️⃣ 평가 계획 수립

• 어떤 프로젝트를 어떤 관점에서 평가할지 정의
• 개발 단계(Lifecycle)에 따라 범위 결정
• 평가 수행자 선정 (기술적 역량 필요!)

📌 예시:
ADAS ECU 프로젝트, Concept 단계에서 평가 진행

---

2️⃣ 산출물 기반 분석

• 프로젝트에서 작성된 보안 활동 산출물을 수집
• 요구사항 정의서, 위험 평가 결과, 설계서, 검증 결과 등 검토

🎯 이때 평가자는 ISO/SAE 21434의 각 항목에 따라
해당 산출물이 "목적에 맞게 작성되었는가?"를 판단합니다.

---

3️⃣ 인터뷰 및 근거 검토

• 산출물만으로 부족한 부분은 인터뷰로 보완
• "이 결정은 어떤 위험 평가를 기반으로 했나요?"
• "이 위협은 어떻게 대응했죠?"

📌 문서 + 인터뷰로 타당성과 일관성 확보가 중요!

---

4️⃣ 평가 결과 정리

• 부적절하거나 누락된 활동은 개선 권고
• 문제는 없지만 더 잘할 수 있는 부분은 Observation
• 양호한 사례는 Best Practice로 기록

---

 

✋ 주의사항

• Assessment는 “리뷰”가 아닙니다!
  단순히 확인이 아니라, “적절했는지 평가”입니다.
• 출처 불명확하거나 임의로 정한 평가 기준은 금지!
  → 반드시 ISO/SAE 21434의 요구사항 기반으로 진행되어야 합니다.

---

📝 오늘의 한 줄 요약

Assessment는 프로젝트의 보안 건강검진!
프로세스도 중요하지만, 실제 활동의 ‘품질’이 관건이에요! 🧪

---

🔜 다음 시간 예고

7강 – 심사 기준 문서화: 증빙자료의 요건

• 증적(Evidence)은 어떤 형식이어야 할까?
• 심사관이 좋아하는 문서 vs 실격 문서
• “보안활동은 했지만 증거가 없다면, 안 한 거예요!”

다음 시간엔 ‘문서의 품질’과 ‘증적 관리 전략’을 깊이 있게 다뤄보겠습니다!
실무자들이 가장 자주 고민하는 포인트니까, 놓치지 마세요! 📁

 

---

💬 “Audit은 조직의 거울이고,
Assessment는 프로젝트의 엑스레이다.”
정확한 진단이, 진짜 보안을 만듭니다!