이번에는 조직의 사이버 보안 관리를 구축하면서 프로세스 정의서에 대해서 기술하고자 합니다.[RQ-05-02]The organization shall establish and maintain rules and processes to:a)enable the implementation of the requirements of this document;andb)support the execution of the corresponding activities.EXAMPLE 1 Process definitions, technical rules, guidelines, methods and templates.NOTE 3 Cybersecurity risk management can include effort-benefit considerations of activities.NOTE 4 Rules and processes cover concept, product development, production, operation, maintenance, and decommissioning, including TARA methods, information sharing, cybersecurity monitoring, cybersecurity incident response, and triggers.NOTE 5 Rules and processes regarding vulnerability disclosure, for example as part of information sharing, can be specified in accordance with ISO 29147. NOTE 6 Figure 4 outlines the relationship between an overarching cybersecurity policy(see[RQ-05-01]), and organization-specific cybersecurity rules and processes(see[RQ-05-02])responsibilities(see[RQ-05-03])andresources(see[RQ-05-04]). RQ-05-02]다음 사항에 대한 규칙과 과정을 수립하고 유지해야 한다.a)본 문서의 요구 사항의 실행을 가능하게 한다.b)해당 활동의 실행을 지원한다.사례 1. 프로세스 정의, 기술 규칙, 가이드 라인, 방법 및 템플릿.비고 3. 사이버 보안 리스크 경영에는 활동에 대한 노력-편익 고려 사항이 포함될 수 있다.비고 4. 규칙 및 프로세스에는 TARA방법, 정보 공유, 사이버 보안 모니터링, 사이버 보안 사고 대응 및 트리거를 포함한 개념, 제품 개발, 생산, 운영, 보전 및 폐기(폐차)이 된다.비고 5. 예를 들면, 정보 공유의 일부의 취약성 공개에 관한 규칙 및 프로세스는 ISO 29147에 의해서 명시되는 경우가 있다.비고 6. 그림 4는 중요한 사이버 보안 방침([RQ-05-01]참조)과 조직별 사이버 보안 규칙 및 프로세스([RQ-05-02]참조)책임([RQ-05-03]참조)및 자원([RQ-05-04]참조)과의 관계를 개략적으로 나타낸다.이번에는 조직의 사이버 보안 관리를 구축함에 있어 프로세스 정의서에 대해 기술하고자 합니다. [RQ-05-02] The organization shall establish and maintain rules and processes to:a) enable the implementation of the requirements of this document; andb) support the execution of the corresponding activities. EXAMPLE 1 Process definitions, technical rules, guidelines, methods and templates. NOTE 3 Cybersecurity risk management can include effort-benefit considerations of activities. NOTE 4 Rules and processes cover concept, product development, production, operation, maintenance, and decommissioning, including TARA methods, information sharing, cybersecurity monitoring, cybersecurity incident response, and triggers. NOTE 5 Rules and processes regarding vulnerability disclosure, for example as part of information sharing, can be specified in accordance with ISO 29147. NOTE 6 Figure 4 outlines the relationship between an overarching cybersecurity policy (see [RQ-05-01]), and organization-specific cybersecurity rules and processes(see [RQ-05-02]), responsibilities (see [RQ-05-03]) andresources (see [RQ-05-04])。RQ-05-02] 다음 사항에 대한 규칙과 프로세스를 수립하고 유지해야 한다.a) 본 문서의 요구사항의 실행을 가능하게 한다.b) 해당 활동의 실행을 지원한다. 예 1. 프로세스 정의, 기술 규칙, 가이드라인, 방법 및 템플릿. 비고 3. 사이버 보안 리스크 경영에는 활동에 대한 노력-편익 고려사항이 포함될 수 있다. 비고 4. 규칙 및 프로세스에는 TARA 방법, 정보 공유, 사이버 보안 모니터링, 사이버 보안 사고 대응 및 트리거를 포함한 개념, 제품 개발, 생산, 운영, 보전 및 폐기(폐차)가 된다. 비고 5. 예를 들어 정보공유의 일부로서의 취약성 공개에 관한 규칙 및 프로세스는 ISO 29147에 의해 명시될 수 있다. 비고 6. 그림 4는 중요한 사이버 보안 방침([RQ-05-01] 참조)과 조직별 사이버 보안 규칙 및 프로세스([RQ-05-02] 참조), 책임([RQ-05-03] 참조) 및 리소스([RQ-05-04] 참조)와의 관계를 개략적으로 나타낸다.위에서는 사이버 보안 조직을 셋업 하라는 내용이 나옵니다.그래서 이러한 사이버 보안 조직인 경우 사이버 보안을 스스로 담당하는 조직이 될 수도 있고 또는 기존의 조직에 사이버 보안 팀을 구성할 수도 있고 그 부분은 다양한 방법입니다.[RQ-05-05]The organization shall identify disciplines related to, or interacting with, cybersecurity and establish and maintain communication channels between those disciplines in order to:a)determine if and how cybersecurity will be integrated into existing processes;andb)coordinate the exchange of relevant information.NOTE 9 Coordination can include sharing of processes and using strategies and tools between disciplines.NOTE 10 Disciplines include information technology security, functional safety, and privacy.NOTE 9 Coordination can include sharing of processes and using strategies and tools between disciplines.NOTE 10 Disciplines include information technology security, functional safety, and privacy.EXAMPLE 3 Interdisciplinary exchange of:-threat scenarios and hazard(cf. ISO 26262-1:2018, 3.75)information;-cybersecurity goals and safety goals(cf.26262-1:2018, 3.139);and/or-cybersecurity requirements conflicting or competing with functional safety requirements(cf. ISO 26262-1:2018, 3.69). RQ-05-05]조직은 사이버 보안과 관련하거나 사이버 보안과 상호 작용하는 분야를 파악하고 그 분야 간의 소통 채널을 수립하고 유지해야 한다.a)사이버 보안이 기존의 프로세스에 통합될지 여부와 방법을 결정한다.b)관련 정보 교환을 조정한다.비고 9. 조정에는 프로세스를 공유하고 분야 간 전략 및 툴의 사용이 포함될 수 있다.비고 10. 분야에는 정보 기술 보안 기능 안전 및 개인 정보가 포함된다.사례 3. 분야 간 교류:-위협 시나리오 및 리스크(ISO26262-1:2018,3.75참조)정보-사이버 보안 목표 및 안전 목표(ISO26262-1:2018,3.139참조)및/또는-기능 안전 요구 사항과 상충 또는 경쟁하는 사이버 보안 요구 사항(참고, ISO26262-1:2018,3.69).그리고 위 내용에서는 사이버 보안 조직을 구성 셋업하고 기존 조직이 가지고 있는 프로세스와 통합이 되는지 묻고 있습니다.그리고 기존 프로세스에 통합해야 합니다. 예를 들어 ASPICE 기반 V사이클의 프로세스 정의를 실시했다면. 이 부분에 사이버 보안을 addon, 즉 통합하는 프로세스 정의서가 필요합니다.조직도의 예위의 예는 조직도를 나타낸 것으로 사이버 보안 조직을 어떻게 구성해야 하느냐는 내용이 없습니다.결론)사이버 보호 거버넌스를 충족시키려면 사이버 보안 조직에 관한 자료가 필요하다.사이버 보안 조직을 구축할 필요가 있지만, 사이버 보안 조직을 구축하는 것은 여러가지 방법이 있지만, 이 부분은들의 조직 셋업에 의해서 다릅니다.마지막으로 구조를 충족시키기 위해서 사이버 보안의 프로세스 정의 서가 필요하다.사이버 보안 프로세스 정의서의 경우에는 기존의 개발 프로세스 또는 제품 개발 프로세스와 연계하여 만들어져야 하며 그려야 합니다.이하 내용은 내가 15절 TARA의 예를 만든 그림입니다.일부 예입니다. TARA 방법론은 조금 다를 수 있습니다.
