[ISO/SAE 21434] Distributed Cybersecurity Activities 7.4.3

# 7.4.3 Alignment of responsibilities (책임의 조정)

• Tier사 선정이 완료되면, OEM과 Tier사는 아래 내용을 포함한 사이버보안 협약서(CIA)에 명시해야 하며, 프로젝트 시작일 전까지 합의해야 함.
  • 보안에 관련된 OEM/Tier사의 담당자 지정
  • OEM/Tier사 별 각각 수행해야 하는 보안 활동의 식별
    ㄱ. OEM에 의해 수행되는 차량 사이버보안 검증
    ㄴ. 개발 이후 보안 활동
  • 공유할 정보 및 작업 산출물
    ㄱ. 취약점 관련 정보 공유 절차 수립 및 산출물 전달 등
    ㄴ. 데이터의 적절한 처리 및 데이터 전달 시 네트워크 보안(고객과 공급업체의 호환성 보장을 위해 인터페이스 관련 프로세스, 방법, 도구 등)
    ㄷ. Item의 변경사항을 상호 간 전달하고 문서화
    ㄹ. 역할 정의
    ㅁ. 요구사항 관리 도구 정리
    ㅂ. 사이버보안 평가 결과
  • 사이버보안 활동에 관한 일정표(WBS 등)
  • Item에 대한 사이버보안 지원 종료의 정리
    ㄱ. 고객과 소통하는 절차가 마련되어야 함.(공급자와 고객 사이의 계약 요건에 따라 처리 가능)
    ㄴ. 안전한 단종을 위한 정보가 제공되어야 하며, 사후 개발을 위한 보안 요구사항이 고려되야 함.(사용자 매뉴얼 등)
• 관리해야 할 취약점이 있는 경우, OEM과 Tier사는 조치에 대한 책임에 동의해야 하며, 취약점 관리 관련 보안 활동이 이루어지고 있는지 확인해야 함.
• CIA를 협의하는 중 요구사항 불명확, 실현불가능, 의견 상충 등이 발생할 경우, OEM과 Tier사 간 조율을 해야함.
• 보안 활동에 대한 역할 구분은 CIA 내 책임 할당 매트릭스에 명시되어야 함. ** Tier사 관리를 위한 산출물은 CIA만을 요구하지만, OEM은 Tier사의 업무역량을 평가하고, 관리해야 함.
• ISO21434 내 명시되진 않았어도 산출물로 Tier사의 평가기준 및 평가결과를 추가해야 함. 이는 OEM에 요구되는 항목임. ** 생산만을 전문으로 하는 Tier사의 경우, ISO21434 기준 12절에 해당되는 요구사항을 준수하면 됨.
  • But) OEM 정책에 따라 추가적인 조직 및 프로세스, 산출물이 요구되기도 함.

 

아래 이미지는 책임 할당을 위한 매트릭스 표이다.
예시 표를 기반으로 사이버보안 프로세스 및 작업 산출물에 대한 정의, 공급사와 고객 간의 책임 구분 등을 명시하여 작업을 진행해야 한다.
본 내용은 ISO/SAE 21434 [RC-07-08]의 내용임.

RASOC Tab;e cam be used