ISO/SAE 21434 (FDIS) 차량 사이버보안 내부심사원 과정 #1

CSMS Internal auditor Course ISO SAE 21434 Cybersecurity Management System 

# 강의 목적 

• Provide knowledge relating to ISO SAE 21434 Cybersecurity engineering requirements
• Apply knowldege practically in order to build your ISO SAE 21434 management system 
• Explain the role of an internal auditor to plan, conduct, report and follow up an ISO SAE 21434 audit in accordance with ISO 19011 

# First, Second & Third-party Certification audits 

• 1자 심사 (내부)
  - 1자 심사는 조직 스스로 행하는 심사이며, 스스로의 시스템과 절차가 고객과 사용자에 제품과 서비스를 제공할
  능력이 지속적으로 개선되고 있는지를 결정하고 절차와 표준에 부합하는지 평가하는 수단으로 사용한다. 
• 2자 심사 (협력업체에 대한 고객 심사)
  - 2자 심사는 구매 회사에서 현재, 또는 잠재적 협력업체에 대해 수행하는 심사이다. 심사 결과는 구매항목의 일부분으로 사용할 수 있다. 심사 결과는 구매를 결정하는 한 부분으로써 사용할수 있다. 구매자들은 구체적 제품, 서비스, 또는 프로젝트에 얼마만큼의 보증이 필요한지를 고려해야 한다. 많은 요소를 고려함으로써, 상대적으로 중요한 협력업체가 완전히 부합하는 시스템을 갖추고 있다는 의사 결정을 내릴 수 있다. 이는 협력업체가 상당히 매력적인 가격과 공급을 갖추고 있다고 할지라도 그들의 결함 때문에 위험이 발생할 수 있다면 계약을 맺지 않을 수도 있다는 것을 의미한다. 
  
  
• 3자 심사 (인증 또는 독립적 심사)
  - 제3자 인증체계는 많은 2자 심사에 대한 필요성을 제거하거나 줄여주고, 협력업체가 해당 규격 수준에 부합한다는 것을 입증하고, 평가된 협력업체의 리스트를 제공하도록 하기 위해 설계되었다. 그래서 잠재 고객에 제공되는 보증은 고객이 직접 협력업체를 심사할 필요가 없고 제3자에 의해서 그들이 필요로 하는 보증을 제공한다는 의미이다. 해당 인증을 받지 않는 협력업체는 구매 제안시 심지어 제외되는게 점점 일반화되어 가고 있다. 조직은 또한 인증의 목적이라기 보다는 그들의 경영시스템을 평가(즉, 컨설팅)하기 위해 독립적 기관(즉, 컨설팅기관)에게 심사를 요청할수 있다. 즉, 제품에 대한 적용 가능한 규정이나 법적 요구사항의 검증 또는, 특정한 위험 조치 활동의 효과성을 평가한다. 컨설팅의 관점에서, 이것도 제3자 심사로 고려될 수 있다. 

# Audit Process 

일반적으로 모든 경영시스템의 심사는 INPUTS > AUDIT ACTIVITY > OUTPUTS 의 순으로 심사 프로세스를 진행한다. 
또한 심사에 대해 주요한 3가지 측면이 있다.
 
        1. 의도 : 문서 관리 시스템의 평가 
        2. 실행 : 실행의 정도에 대한 평가 
        3. 효과적 : CSMS 효과성의 평가

# 의도 

최고 경영진은 CSMS의 실행을 의도하는가? 만약 그렇다면, 이러한 의도가 어떻게 의사소통 되는가?
문서화와의 부합성, 심사원으로써, 조직이 요구사항에 맞도록 계획하는지 알 필요가 있다. 

# 실행 

CSMS의 실행이 최고 경영진의 의도를 반영하는가?
프로세스, 절차, 방침, 프로토콜 등이 그들이 의도한 데로 실행되는지 확인한다. 

# 효과성 

실행이 효과적인가? (즉, 의도에 의해 수립된 척도가 부합하는가?)
여기에 대한 부합성은 경영 시스템의 효과성에 있다. 
조직의 방침, 목표와 고객 요구사항을 전달하기 위해 예상한 데로 가고 있는가?
지속개선, 심사원으로써 시스템이 건강하고 자가 치유 능력이 있는지를 확인한다. 그들이 드러낸 문제점들이 있는지, 
어떻게 시스템이 고객 만족의 목적을 위해 개선될 수 있는 지에 지속적으로 초점을 맞추는지

# Audit Process Similarities

준비 - 심사전 
의사소통 - 심사 중 
발견사항 수집과 검증 
결론 - 발견 사항
보고 - 준비와 배포 

# 주요 약자 (P, E, R, C)

Planning 계획 
Execute 실행 
Reporting 보고 
Close out/down findings 발견사항 종결 

# Audit Objectives, Scope & Criteria 

결정이 필요한 3가지 측면 :

1) 심사의 목적 
2) 범위
3) 심사 기준 

ISO SAE 21434 Overview - DIS

 

# Summary 

• Clauses 5 and 6 (management of Cybersecurity)
  - 전반적인 Cybersecurity Management를 위한 조직의 cybersecurity policy, rules, and processes과 project의 cybersecurity management를 정의함. 
• Clause 7 (Continuous Cybersecurity Activities)
  - Item(E/E System)에 대한 지원의 종료단계(폐기)까지 ongoing risk assessments에 대한 정보를 제공하는 활동 및 vulenerability management에 대해 정의. 
• Clause 8 (Risk Assessment Methods) 
  - Cybersecurity risk의 extent를 결정하는 방법 정의 
• Clause 9 (Concept Phase)
  - Item과 관련자산 정의 및 cybersecurity risk 결정하여 cybersecurity goal 결정에 대한 내용을 기술 하고 있음. 
• Clause 10 (Product Development)
  - Cybersecurity specification에 대한 정의 및 Item 이나 component에 대한 cybersecurity 실행 및 검증에 대해 기술하고 있음
• Clause 11 (Cybersecurity Validation) 
  - 차량 level에서 Item 의 cybersecurity validation(타당성 평가)를 기술하고 있음. 
• Clause 12 (Production) 
  - Item 이나 component의 조립, 생산, 교정과 관련된 cybersecurity incident response 활동 및 updates 정의함 
• Clause 13 (Operations and Maintenance) 
  - Item 이나 component에 대한 cyberseucirty incident response 활동 및 updates 정의함 
• Clause 14 (Decommissioning)
  - Item이나 Component의 decommissioning 시 cybersecurity 고려 사항 정의함 
• Clause 15 (Distributed Activities)
  - supplier management에 대해 정의함.