ISO/SAE 21434 标准结构概述
网络安全管理
其目的是使网络安全成为参与道路车辆生命周期的各个组织的强制性要求。网络安全管理主要集中在工程周期的不同阶段、产品的生命周期和组织层面。
风险管理
本术语定义为网络安全风险的分析、评估和管理。它是安全工程的重要或核心阶段之一。在安全工程结束时,可以对分析进行评估,以确保网络安全风险是否为可接受的。
在此阶段,识别并对风险进行分析,确定风险对用户的影响是什么,并对印象进行评估。在此基础上,我们还通过可行性评估来进行漏洞分析和攻击分析,然后进行风险评估,并定义风险处理类别。
在概念阶段,确定威胁(项目定义)和开发策略,并且定义如何减少风险威胁的目标。
产品开发
此阶段更侧重于网络安全工程的支持,包括系统、硬件和软件开发阶段。采用的是ISO26262中定义的V流程,因为ISO26262定义了在汽车行业中使用的系统工程方法。在定义了系统概念之后以及在软件和硬件期间,将使用阶段漏洞分析和风险评估(VARA)来确保不会引入其他威胁,并且可以接受剩余风险。
验证和确认遵循开发阶段并设定要求,以确保按照规定的网络安全要求和设计规范来开发产品,并满足设定的网络安全目标。这些包括计划,报告和结果跟踪等。开发后标准的发布是为了确保所有开发都已完成,我们需要提供适当的合规证据。
生产、运营和维护
该阶段是产品开发阶段完成后涉及的网络安全工程的活动和过程。网络安全监控要求收集和审查相关网络安全信息、漏洞处理和事件响应,以及是如何处理漏洞和如何应对的响应。最后在更新阶段关注的是更新更多的是关于如何安全地应用更新,以及更新的标准是什么。
支持流程
此处的目标是定义要求和准则,以确保将网络安全作为优先事项和质量属性。本节定义了更多支持网络安全活动的运营管理系统。它将定义客户与供应商之间的交互,依赖关系和职责。并且,它列出了整个过程中使用的工。
