효과적인 사이버 위험 관리 및 공급업체 거버넌스

2023년 1월1일 부로 ESCRYPT 자동차 사이버 보안 솔루션은 ETAS 브랜드로서 제공될 예정입니다. 더 읽어보기

모빌리티에서의 디지털 전환이 가속화되면서, 커넥티드카에 대한 사이버 보안이 점점 더 중요한 이슈가 되고 있습니다. 이는 차량 제조사 및 공급업체가 사이버 보안 관리 시스템(Cybersecurity Management System, CSMS)을 갖추도록 의무화하고 있는 새로운 UN 법규와 ISO/SAE 21434 를 포함한 국제표준에서도 단적으로 드러납니다. CSMS의 핵심은 공급업체 생태계 전체에 대한 사이버 위험 관리입니다. ESCRYPT는 포괄적인 제품 보안 조직 프레임워크 PROOF 및 디지털 audit 도구의 일부인 공급업체 거버넌스 서비스를 통해 공급업체의 사이버 위험을 효율적이고 안정적으로 평가,모니터하고, 궁극적으로 이러한 위험을 성공적으로 관리할 수 있는 툴을 제공합니다.

공급업체 네트워크의 포괄적인 사이버 위험 관리를 요구하는 규정

UN R 155 및 UN GTR 초안의 관련 조항

차량 형식 승인을 위한 공급업체의 위험 식별 및 관리 요건을 정한 7.2.2.2. [7.2.2.5.] 조항에 따라 차량 제조사는 계약을 체결한 공급업체,서비스 제공업체 또는 제조사의 하청 업체에 존재하는 종속성을 사이버 보안 관리 시스템(Cybersecurity Management System, CSMS)이 어떻게 관리할 것인지 입증할 책임이 있습니다. [7.3.2.]

ISO/SAE DIS 21434

"[…] 본 문서에 따라 해당 공급업체가 개발 후 수행할 활동을 개발하고, 적용될 경우 이를 수행할 역량이 있는지 여부를 평가해야 합니다. [RQ-15-01] "  

전체 공급업체 생태계에 대한 위험 관리

공급업체 거버넌스 서비스의 핵심은 제품 보안 조직 프레임워크(Product Security Organization Framework, PROOF) 그 자체로, KPMG와의 협력을 통해 개발되었으며 2019년부터 전 세계 제조업체 및 공급업체에 배포되기 시작했습니다. PROOF 프레임워크는 전체론적인 사이버 보안 관리 접근법을 허용하는 수십 가지의 제어 기능으로 구성되어 있습니다. PROOF 프레임워크를 사용하면 UN R 155 또는 ISO / SAE 21434와 같은 관련 법규 및 표준을 단일 프로그램에 통합할 수 있습니다.

또한, PROOF를 통해 공급업체가 관련 규정에서 정한 요구 사항을 준수하는지 여부를 확인하는 audit을 진행할 수 있습니다. ESCRYPT는 프레임워크 자체에 종단 간 지원을 제공합니다.

  • 공급업체의 위험 분류 및 타겟 보안 성숙도 도출
  • 자격을 갖춘 원어민 직원이 현장의 거의 모든 곳에 대한 audit 수행
  • 남아 있는 위험에 대한 평가 및 후속 조치

이러한 모든 활동은 생태계의 보안 성숙도를 더욱 투명하게 파악하고, 공급업체 네트워크와 연관된 사이버 위험을 최소화하는 것을 목표로 합니다.

위험 관리의 디지털화!

PROOF 성숙도 프레임 워크는 이제 Alyne社를 통해서도 통합적으로 사용할 수 있습니다. 이러한 통합을 통해 효율적인 audit, 평가, 벤치마킹을 포함한 디지털화된 공급업체 위험 관리가 가능해집니다. 더 높아진 보안 성숙도를 활용해 귀사의 공급망을 목표 보안 성숙도에 도달하도록 지속적으로 이끌어 가십시오. 후속적인 델타 audit 및 지속적인 개선을 위한 힌트를 활용해 PDCA(plan, do, check, act) 사이클을 운영하시기 바랍니다.

스마트하고 전략적인 사이버 보안이 제공하는 혜택

통합의 용이성

PROOF는 UN R 155 및 ISO/SAE 21434 등의 관련 보안 규정, 표준 및 지침을 매핑하여 전체론적인 제품 보안 조직을 구축할 수 있도록 지원합니다. 또한, PROOF는 지속적으로 업데이트가 이뤄집니다.

스마트하고 전략적인 사이버 보안

PROOF는 귀사의 품질 강화, 투자 수익률 증대, 디지털화 전략과의 연계성 향상을 위한 더 높은 수준의 사이버 보안 성숙도를 위해 명확한 지침을 제공합니다.

맞춤화된 Insight

PROOF 프레임워크는 개별 요구 사항부터 목표 및 통합 도메인에 이르기까지 여러 단계에서 이행 상황을 포착하여 인증 준비, 지속적인 개선, 사이버 위험 관리 프로그램의 중점사항 조정 등 적절한 활동 수행이 가능하도록 돕습니다.

공급업체 거버넌스 디지털화

Alyne의 PROOF 프레임워크를 통합하면 노력을 간소화하고, 위험 기반 audit을 자동화하며, 공급업체 전반에 대한 벤치마킹을 제공할 수 있습니다.