반응형
– 실무자가 꼭 알아야 할 Cybersecurity Plan 작성법
1Ep. 공유 수석도 당황한 자동차 사이버보안 심사!?
2Ep. 자동차 사이버보안 인증, 처음이라면 반드시 알아야 할 21434 이야기
3Ep. TARA가 뭐야? 위협 분석은 무슨 일이고, 왜 이렇게 문서가 많아?!
이번 회차는 "어디까지, 누가, 어떻게 보안을 할 것인지"를 정리하는 계획서,
즉 Cybersecurity Plan에 대한 이야기입니다.
🚗 회의실, 오전 10시
공유 수석:
“우리가 뭘 보호해야 할지는 알겠어요. 근데 그걸 어떻게 지킬 건지는 아직 모르겠네요.”
전지현 선임: (사이버보안 계획서를 보여주며)
“그래서 쓰는 게 이 Cybersecurity Plan이에요. 설계도 같은 거죠.”
🧾 Cybersecurity Plan이란?
| 항목 | 설명 |
| 정의 | 제품/시스템/프로젝트에 대해 사이버보안을 어떻게 수행할지 계획하는 문서 |
| ISO 명칭 | WP-06-01 (ISO/SAE 21434 Clause 6에 정의됨) |
| 주요 내용 | 역할과 책임, 일정, 보안활동 목록, 보고서 템플릿, 사용 툴 등 |
| 제출 시기 | 개발 초기 (프로젝트 시작 시) |
| 갱신 여부 | 프로젝트 진행 중 변경 시마다 갱신됨 (버전 관리 필수) |
쉽게 말해, “우리 이 부품 개발할 때 보안은 이런 식으로 할게요!”를 정리해놓는 문서입니다.
📄 실제 문서 예시 (간략 버전)
전지현 선임이 만든 예시 문서를 기반으로 재구성된 요약본입니다.
⮕ [Cybersecurity Plan for ADAS ECU]
| 항목 | 내용 |
| 프로젝트 명 | ADAS ECU 개발 |
| 문서 번호 / 버전 | CSP-ADAS-001 / v1.3 |
| 작성자 / 검토자 | 전지현 선임 / 공유 수석 |
| 계획 범위 | 개발 ~ 양산 전 검증까지 |
| 책임자 지정 | PM: 공유 수석 / Cybersecurity Leader: 전지현 |
| 관련 문서 링크 | TARA 분석 보고서, Interface Agreement, CS Case 등 |
| 사용 툴 | ThreatGet, Excel TARA Template, Jira, DOORS |
⮕ [보안 활동 계획 항목]
| 활동 | 주기 | 담당자 | 목적 |
| TARA 재분석 | 개발 변경 시 | 전지현 | 위협 재평가 |
| 보안 설계 리뷰 | 단계별 설계 종료 시 | 공유 | 설계 내 보안성 확보 |
| 취약점 스캐닝 | 정기 (월 1회) | 권지용 | Known Vulnerability 대응 |
| Audit 로그 수집 | 주기적 자동화 | 시스템 | 사고 분석 대응용 |
| 보안 교육 실시 | 프로젝트 착수 시 | 권지용 | Awareness 향상 |
📌 핵심 구성요소 설명
- 책임과 역할 정의
- 누가 계획을 수립하고 관리할 것인지 명확히
- Cybersecurity Leader, Project Manager 등
- 보안 활동의 종류와 시점
- 언제 TARA 재수행?
- 보안 설계 리뷰는 누구 책임?
- 이슈 추적 및 변경관리
- 보안 관련 요구사항이 어떻게 관리되는가
- 보안 결함에 대한 이슈 처리 절차 포함
- 사용 도구와 방법론
- 어떤 툴로 분석/보고/설계 수행?
- ThreatGet, Medini, HEAVENS 등
권지용의 용어 한입 설명
| 용어 | 해설 |
| CSP | Cybersecurity Plan. 사이버보안 계획서 |
| WP-06-01 | ISO/SAE 21434의 Work Product 번호 |
| Jira/DOORS | 이슈 관리 및 요구사항 관리 툴 |
| Audit Log | 시스템 내 보안 관련 활동 기록 |
| Awareness | 보안 인식 교육. 사람에게 하는 보안 활동 |
✅ 실무 꿀팁
1. 보안 계획서 ≠ 형식 문서
→ 실제 실행 가능한 내용으로 작성하지 않으면 심사에서 지적됩니다.
2. 계획서 내 일정은 '보안 리뷰 회의 일정'과 연동
→ 형식적 일정만 넣으면 안 되고, 실제 회의록/참석자/결과가 있어야 신뢰성 UP
3. CSP에 나온 보안 활동은 이후 보고서와 연결됨
→ TARA, CS Case, Post-Development Report 등과 링크 관리 필수
🧩 공유 수석의 마지막 한 마디
“계획이 없으면 실수도 반복됩니다. 이 문서야말로 ‘안전한 개발을 위한 프로젝트 매뉴얼’이네요.”
반응형
'자동차 품질일지 > 사이버 보안' 카테고리의 다른 글
| 공급망 사이버보안: RASI 매트릭스와 CSIA 제대로 이해하기 (0) | 2025.07.07 |
|---|---|
| 사이버보안 감사, 심사관이 진짜로 보는 건 이것입니다 (1) | 2025.07.06 |
| TARA가 뭐야? 위협 분석은 무슨 일이고, 왜 이렇게 문서가 많아?! (0) | 2025.07.04 |
| 자동차 사이버보안 인증, 처음이라면 반드시 알아야 할 21434 이야기 (1) | 2025.07.03 |
| 공유 수석도 당황한 자동차 사이버보안 심사?! (0) | 2025.07.02 |
댓글