Car interior with large display and digital interface on a blurred background

VCS Certification

Vehicle Cyber Security

VCS 평가 – 자동차 산업의 차량 사이버 보안

차량의 사이버보안 아키텍처에 통합되는 VCS 구성요소를 개발, 제조하거나 장기 유지관리에 대한 책임을 지고 계신가요?
그렇다면 차량 전 수명주기에 걸쳐 ISA/SAE 21434에서 계약상 보장된 요구사항을 충족하고 있음을 입증해야 합니다.

VCS 프로그램 참여 기업은 3년 주기로 실시되는 적합한 심사(Audit)를 통해, 그리고 계약상 의무가 지속되는 전 기간 동안 이러한 요구사항을 충족하고 있음을 입증할 수 있습니다. VCS 인증은 모든 산업 분야에 적용 가능하며, VCS 구성요소의 모든 관련 수명주기 전반에 걸친 사이버보안 관리 시스템(CSMS)의 요구사항을 정의합니다.

VCS 평가를 받기 위해서는 TISAX® 인증이 우선되어져야 하며, 이를 통해 정보보안 관리체계(ISMS)와 QMS(Quality Management System)가 적절히 구축·운영되고 있음을 전제로 합니다.

모든 VCS 참사 간 상호 인정

공급업체 및 서비스 제공업체로부터심사를 받은 귀사에 대한 신뢰도 향상

VCS 인증 심사는 3년 주기로만 진행

VCS 네트워크 멤버십을 통해 시간과 비용 절감

VCS 평가에 대한 기본 정보

VCS는 자동차 산업을 위한 공통 심사 및 정보 교환 프로그램으로, VCSA(Vehicle Cyber Security Audit) 설문지를 기반으로 운영됩니다.
VCS는 국제적으로 표준화된 심사 프로그램이며, 사이버보안 관리 시스템( CSMS_Cyber Security Management Systems)에 대해 ISO/SAE 21434 및 ISO/PAS 5112 국제표준의 핵심 요구사항을 구현합니다.

UN R 155에 따라 도로 주행 차량 제조사는 차량의 사이버보안에 대한 책임을 져야 합니다. 이때 사이버보안이란 차량에 탑재된 모든 IT 기반 구성요소의 보안성과 신뢰성을 의미합니다.

전자식 또는 물리적으로 제어되는 구성요소와 달리, VCS 구성요소는 소프트웨어 기반으로 작동합니다. 이를 통해 차량은 운전자와 주행 환경에 따라 주행 특성을 동적으로 조정하고, 자율 주차를 수행하거나 긴급 제동을 실행할 수 있습니다.

항공 산업에서 이미 오래전부터 사용되어 온 바이와이어(By-wire) 기술은 승객 공간 설계의 자유도를 높이고, 저속 주행 시 조향 각도를 크게 해 도심에서의 조작성을 향상시키는 스티어-바이-와이어(Steer-by-Wire), 완전 자동화된 브레이크-바이-와이어(Brake-by-Wire) 등 새로운 기술적 가능성을 제공합니다.

TISAX®와 유사하게, VCS 역시 ENX VCS 심사 결과에 대한 교환 메커니즘을 제공합니다.
ENX Association은 유럽 자동차 제조사, 자동차 공급업체 및 관련 협회로 구성되었으며, VCS 심사의 품질을 감독하고 VCS 심사 서비스 제공자의 승인 절차를 관리합니다.

VCS 평가를 통해 귀사에 어떤 이점이 있습니까?

VCS 구성 요소의 서비스 제공업체 또는 공급업체로서 구성 요소의 사이버 보안을 결정하는 특정 활동에 대해 제조업체에 책임을 지게 됩니다. VCS 평가를 통해 DQS의 적합성 증명을 받을 뿐만 아니라 위험 관리에도 적극적으로 참여할 수 있습니다. 특히 매우 장기적인 의무와 관련하여, 당사는 귀하의 조치가 장기적으로 적합한지 확인하는 데 도움을 드릴 수 있습니다. 과거에는 이러한 평가가 주로 제조업체 자체에서 수행되었습니다. VCS 네트워크에 등록된 참가자는 공통 온라인 플랫폼을 통해 평가 서비스 제공업체를 선택하고 VCS평가를 의뢰할 수 있습니다. 회사의 이점이 단점보다 큽니다:

서로 다른 클라이언트에 의한 중복 및 다중 평가를 피할 수 있어 시간과 비용을 절약할 수 있습니다.
VCS 참가자에 대한 전사적 평가인식
일관된 평가 프로세스를 보장하는 조화된 VCSA 평가 카탈로그 덕분에 신뢰할 수 있는 결과를 얻을 수 있습니다.
"VCS 개발", "VCS 프로덕션" 또는 "VCS Operations & Maintenance"라는 하나 이상의 VCS 레이블을 사용하여 평가 대상 조직에 대한 신뢰를 높입니다.

평가가 성공하면 VCS 온라인 플랫폼에서 VCS 레이블을 받게 됩니다. 이러한 레이블은 인증서와 유사하며 VCS 공급업체로서의 역량을 확인하는 역할을 합니다.

VCS는 어떻게 진행됩니까?

VCS에서 참가자는 공급업체에 대한 정보를 제공받고자 하는 제조업체와 같은 "정보 소비자"(수동적), 제조업체의 주문을 받기 위해 적합성을 평가받고자 하는 VCS 공급업체 또는 서비스 제공업체와 같은 두 가지 역할을 수행할 수 있습니다.

회사는 또한 두 참여자 역할을 모두 수행할 수 있습니다. VCS에 정보 기여자로 참여하려는 사람은 다음 네 가지 주요 단계를 수행해야 합니다:

1. www.enx.com/VCS 에서 온라인으로 등록하세요

2. DQS와 같은 ENX 승인 평가 서비스 제공업체 선택

3. ENX VCS 평가를 진행합니다.

4. VCS 온라인 플랫폼에서 평가 결과를 공유합니다.

VCS 결과에 관심이 있는 회사는 ENX에 "Information Consumer"로 등록할 수 있습니다. 각 Information Consumer에 대해 현재 VCS 상태를 공유할지 여부를 결정할 수 있습니다.

VCS 평가는 어떻게 진행됩니까?

VCS 평가를 시작하기 전에 회사에서 명확한 범위를 정의해야 합니다. 여기에는 회사에서 담당하는 VCS 작업을 결정하는 작업이 포함됩니다. 이러한 작업이 VCS 개발 작업인 경우 "VCS 개발"의 요구 사항을 충족해야 합니다. 회사에서 VCS 구성 요소의 안전한 생산 및 기본 구성을 담당하는 경우 "VCS 프로덕션"의 요구 사항을 충족해야 합니다. 회사에서 VCS 구성 요소의 장기 운영 및 유지 관리를 담당하는 경우 "VCS Operations & Maintenance"의 요구 사항을 충족해야 합니다.

중앙 사이버 보안 관리 시스템은 CSMS를 주로 제어하는 사이트에서 평가를 받게 됩니다. 중앙 CSMS의 효과는 CSMS의 VCS 활동이 수행되는 사이트에서 평가됩니다. 따라서 이러한 분산 VCS 활동이 수행되는 모든 위치는 평가 범위에 포함됩니다. 그러나 평가 과정에서 실제로 평가에 포함되는 사이트를 결정하기 위해 VCS 프로젝트의 샘플을 채취합니다. 원칙적으로 문제의 모든 사이트에는 평가 시점에 유효한 TISAX® 레이블이 있어야 합니다.

첫 번째 단계에서는 승인된 평가기관으로 DQS를 선택합니다
두 번째 단계에서는 모든 책임자가 평가팀의 기대에 부응하도록 킥오프 회의를 개최합니다.
세 번째 단계에서는 VCSA 평가 카탈로그를 사용하여 중앙 CSMS의 자체 평가를 수행하고 평가 팀에서 사용할 수 있도록 카탈로그에 참조된 문서 패키지를 컴파일합니다.
네 번째 단계에서 평가팀장은 제공된 모든 문서에 대한 검토를 수행합니다.
다섯 번째 단계에서는 중앙 CSMS가 VCSA 준수 여부를 심사 및 평가합니다.
여섯 번째 단계에서는 위험 기준에 따라 VCS 프로젝트의 무작위 샘플을 선택합니다.
일곱 번째 단계에서는 샘플링된 VCS 프로젝트를 평가하여 CSMS 요구 사항이 구현되었는지 확인합니다. 이는 프로젝트 팀장을 평가하고 ISO/SAE 21434에서 요구하는 작업 제품을 검토하여 수행됩니다.