|
2020年2月12日,ISO和SAE两大标准组织联合发布消息,经过汽车行业内国际知名的80+家企业/组织的长期努力,ISO/SAE 21434 Road vehicles – Cybersecurity engineering标准DIS版本正式发布,并已经正式开始征求行业相关专业人士的评审意见。
ISO/SAE 21434 标准的主要诉求
随着汽车智能化和网联化的飞速发展,当前的主流汽车电子设计方案中,可能会潜伏的信息安全/网络安全风险,无论黑客通过接触型(USB 端口)入侵或近场通讯型(蓝牙/WiFi等)入侵,甚至是远程电信网络入侵等案例,在业内早已不是新闻。即使非汽车业内的专业人士,也可能早已在各种电影情节中,领略到了黑客成功入侵汽车CAN网络之后的惊悚场面。 与ISO 26262标准类似,ISO/SAE 21434 标准同样基于“V模型”的总体思路,ISO/SAE 21434 标准覆盖了汽车电子研发和制造领域的所有相关领域和核心开发活动过程,如:信息安全/网络安全管理,需求工程,产品研发,测试验证,以及生产和运行维护过程。 ISO/SAE 21434标准的发布,为OEM/Tier1/Tier2等相关企业解决信息安全/网络安全问题,提供了良好的支撑和指导建议。 ISO/SAE 21434 标准的基本内容  Part 5 - Overall Cybersecurity Management Part 5 - 总体信息安全/网络安全管理 5.4.1 Cybersecurity Governance 5.4.1 公司级信息安全/网络安全管理 5.4.2 Cybersecurity Culture 5.4.2 信息安全文化/网络安全文化 5.4.3 Cybersecurity Risk Management 5.4.3 信息安全管理/网络安全管理 5.4.4 Organizational Cybersecurity Audit 5.4.4 公司级信息安全评审/网络安全评审 5.4.5 Information Sharing 5.4.5 涉密信息分享管理 5.4.6 Management Systems 5.4.6 信息安全管理体系/网络安全管理体系 5.4.7 Tool Management 5.4.7 软件工具管理 5.4.8 Information Security Management 5.4.8 涉密信息文件管理 Part 6 - Project Dependent Cybersecurity Management
Part 6 - 具体项目执行过程中的信息安全/网络安全管理 6.4.1 Cybersecurity Responsibilities and Their Assignment 6.4.1 信息安全/网络安全职责与分工 6.4.2 Cybersecurity Planning 6.4.2 信息安全计划/网络安全计划 6.4.3 Tailoring of the Cybersecurity Activities 6.4.3 信息安全/网络安全生命周期裁剪 6.4.4 Reuse 6.4.4 复用过程中的信息安全/网络安全 6.4.5 Component Out of Context 6.4.5 基于SEooC的信息安全/网络安全管理 6.4.6 Off-the-Shelf Component 6.4.6 商用COTS组件的信息安全/网络安全管理 6.4.7 Cybersecurity Case 6.4.7 信息安全档案/网络安全档案 6.4.8 Cybersecurity Assessment 6.4.8 信息安全评估/网络安全评估 6.4.9 Release for Post-Development 6.4.9 SOP过程中的信息安全管理/网络安全管理 Part 7 - Continuous Cybersecurity Activities
Part 7 - 持续性的信息安全/网络安全管理改进 7.4 Cybersecurity Monitoring 7.4 信息安全/网络安全持续监控 7.5 Cybersecurity Event Assessment 7.5 信息安全事件监控/网络安全事件监控 7.6 Vulnerability Analysis 7.6 脆弱性分析/薄弱环节分析 7.7 Vulnerability Management 7.7 信息安全/网络安全相关的薄弱环节管理  Part 8 - Risk Assessment Method
Part 8 - 风险评估方法 8.3 Asset Identification 8.3 信息安全资产识别/网络安全资产识别 8.4 Threat Scenario Identification 8.4 信息安全/网络安全危险场景识别 8.5 Impact Rating 8.5 影响性评分 8.6 Attack Path Analysis 8.6 攻击/入侵路径分析 8.7 Attack Feasibility Rating 8.7 攻击/入侵可行性评分 8.8 Risk Determination 8.8 风险定级 8.9 Risk Treatment Decision 8.9 风险应对决策 Part 9 - Concept Phase
Part 9 - 概念阶段 9.3 Item Definition 9.3 功能定义 9.4 Cybersecurity Goals 9.4 信息安全目标/网络安全目标 9.5 Cybersecurity Concept 9.5 信息安全概念/网络安全概念 Part 10 - Prodcut Development
Part 10 - 产品开发阶段 10.4.1 Refinement of Cybersecurity Requirements and Architectural Design 10.4.1 信息安全需求/网络安全需求提取和架构设计 10.4.2 Integration and Verification 10.4.2 信息安全/网络安全相关设计的集成和验证 10.4.3 Specific Requirements for Software Development 10.4.3 信息安全/网络安全针对软件设计方面的特定要求 Part 11 - Cybersecurity Validation
Part 11 - 信息安全确认/网络安全确认 Part 12 - Productions Part 12 - 信息安全确认/网络安全生产阶段管理 Part 13 - Operation & Maintenance Part 13 - 信息安全/网络安全相关的运营和维护要求 13.3 Cybersecurity Incident Response 13.3 信息安全/网络安全相关应急响应机制 13.4 Updates 13.4 漏洞修补和安全更新 Part 14 - Decommisioning Part 14 - 信息安全/网络安全相关的报废要求 Part 15 - Distributed Cybersecurity Activities
Part 15 - 信息安全/网络安全项目中的分布式开发 15.4.1 Demonstration and Evaluation of Supplier Capability 15.4.1 针对供应商的信息安全/网络安全能力和体系的评估 15.4.2 Request for Quotation 15.4.2 信息安全/网络安全RFQ阶段注意事项 15.4.3 Alignment of Responsibilities 15.4.3 信息安全/网络安全开发项目中的责任分工  ISO/SAE 21434 最终版何时能够正式发布?
让我们拭目以待 如需与ISO/SAE 21434相关的培训,请您与我们联系!
|
|
|
