CRA 성숙도 자가진단
5개 영역에 걸친 25개 관행을 평가하여 사이버 회복력법 기준으로 귀사의 제품 보안 체계가 어느 수준의 성숙도에 있는지 확인하고, 다음에 무엇을 개선해야 할지 맞춤형 체크리스트를 받아보십시오. 모든 과정은 브라우저에서 실행되며 결과는 로컬에 저장됩니다.
ENISA의 SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, 2026년 7월), 출처를 명시하여 재수록함. 본 사이트는 독립적으로 운영되며 ENISA 또는 EU와 제휴 관계가 없습니다.
거버넌스 및 문서화
1.1문서화되고 승인된 제품 보안 정책을 보유하고 있습니까?
1.2제품 보안 활동(예: 개발, 취약점 관리, 업데이트)에 대한 역할과 책임이 명확하게 정의되어 있습니까?
1.3구현된 보안 기능, 위험 평가, 설계 결정 및 업데이트 절차를 기술한 제품 단위 기술 문서를 유지관리합니까?
1.4제품 보안과 관련 문서의 품질을 정기적으로 검토하는 프로세스가 있습니까?
1.5CRA 시행을 담당하는 시장감시기관, 귀사 제품에 적용되는 적합성 평가 절차, 그리고 필요 시 관련 당국과 협력하는 방법을 알고 계십니까?
위험 관리 및 보안 내재화 설계
2.1사이버보안 위험 평가를 수행하고 그 결과를 제품 설계, 개발, 구성 및 구성요소 관리 결정에 반영합니까?
2.2제품이 처음부터 보안 내재화 설계 원칙에 따라 설계됩니까?
2.3제품이 기본적으로 안전한 구성 및 설정 상태로 제공됩니까?
2.4제품 출시 또는 업데이트 전에 보안 점검과 테스트를 수행하며, 자동화 도구는 어느 정도 사용됩니까?
2.5위험이 변화하거나 새로운 위협이 발생할 경우, 위험 평가, 구성 및 제3자 구성요소가 검토 및 업데이트됩니까?
취약점 및 패치 관리
3.1고객, 연구자 또는 내부 직원이 보고한 취약점을 접수, 확인, 기록 및 추적하는 프로세스가 있습니까?
3.2지원 대상 제품에 대해 보안 업데이트를 생성, 테스트, 배포하고 고객에게 안내하는 정의된 프로세스가 있습니까?
3.3취약점 및 의존성 관리를 지원하기 위해 SBOM을 유지관리하고 활용합니까?
3.4취약점과 업데이트의 우선순위가 위험 및 잠재적 영향을 기준으로 정해집니까?
3.5보안 업데이트가 보고된 취약점을 효과적으로 해결하는지 검증하고 이에 대한 검증 증거를 보관합니까?
제품 수명주기 관리
4.1운영 단계에서 제품 보안을 관리하기 위한 정의된 접근 방식이 있습니까?
4.2정해진 지원 기간, 업데이트 책임, 단종 조치 및 고객 소통을 포함하여 제품 수명주기 관리가 적극적으로 이루어지고 있습니까?
4.3제품 운영 경험, 사고 후 검토 및 고객 의견이 시간이 지나면서 제품 개선에 활용됩니까?
4.4식별된 제품 보안 문제를 해결하기 위한 체계적이고 검증된 방법이 있습니까?
4.5운영 중인 제품이 보안 위험, 취약점 및 새로운 위협을 식별하기 위해 모니터링됩니까?
인식, 역량 및 숙련도
5.1내부 역량이 부족한 경우 외부 전문성을 활용하는 것을 포함하여, 제품을 안전하게 설계, 개발 및 유지관리할 충분한 역량이 확보되어 있습니까?
5.2관련 직원이 제품 위험 관리, 취약점 관리, 보안 내재화 설계를 포함하여 자신의 역할과 관련된 사이버보안 관행에 대해 적절한 교육을 받고 있습니까?
5.3조직이 책임 있는 제품 개발, 개방적인 신고 문화 및 제품 위험에 대한 인식을 장려합니까?
5.4관련된 외부 제품 보안 정보(예: 권고문, 경보)를 확인하고 있습니까?
5.5팀이 안전한 제품을 유지관리하는 데 필요한 역량과 숙련도를 갖추고 있는지 평가하고 검증합니까?
ENISA의 SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, 2026년 7월), ENISA의 법적 고지에 따라 출처를 명시하여 재수록함. 이 인터랙티브 버전은 정보 제공 목적으로만 제공되며 전문적 조언이나 법률 자문이 아니고, 공식적인 적합성 평가를 대체하지 않습니다. cyberresilienceact.eu는 독립적으로 운영되며 ENISA 또는 유럽연합과 제휴 관계가 없고 이들의 승인을 받은 바도 없습니다.
