《ISO/SAE 21434: 2021 Road vehicles — Cybersecurity engineering 道路车辆网络安全工程》标准解读之(10)

5 Organizational cybersecurity management 组织网络安全管理/5.4 Requirements and recommendations 要求和建议/5.4.4 Management systems 管理体系

5.4.4 Management systems 管理体系

[RQ-05-11] The organization shall institute and maintain a quality management system in accordance with International Standards, or equivalent, to support cybersecurity engineering, addressing:
[RQ-05-11] 组织应根据国际标准或同等标准建立和保持质量管理体系以支持网络安全工程,以便处理:

EXAMPLE 1 IATF 16949 in conjunction with ISO 9001 .
范例1, IATF 16949与ISO 9001结合使用。

a) change management;
a)变更管理;

NOTE 1 The scope of change management in cybersecurity is to manage changes in items and their components so that the applicable cybersecurity goals and requirements continue to be fulfilled, e.g. a review of the changes in production processes against the production control plan to prevent such changes from introducing new vulnerabilities.
注1:网络安全中的变更管理的范围是管理项目及其组件中的变更,以便适用的网络安全目标和要求持续得到满足,例如,在生产过程中,对违反生产控制计划的变更进行评审,以防止此类变更产生新的漏洞。

b) documentation management;
b)文件管理;

NOTE 2 A work product can be combined or mapped to different documentation repositories.
注2:工作输出可以归类和标识后,放到不同的文档储存库。

c) configuration management; and
c)配置管理;

d) requirements management.
d)要求管理。

[RQ-05-12] The configuration information required for maintaining cybersecurity of a product in the field shall remain available until the end of cybersecurity support for the product, in order to enable remedial actions.
[RQ-05-12]为能够采取补救措施,在现场维护产品网络安全所需的配置信息应保持可用,直至对产品网络安全支持的结束。

NOTE 3 Archiving the build environment can be useful to ensure later usage of configuration information.
注3:对构建环境进行归档对于确保以后使用配置信息是非常有用的。

EXAMPLE 2 Bill of materials, software configuration.
范例2,物料清单,软件配置。

[RC-05-13] A cybersecurity management system for the production processes should be established in order to support the activities of Clause 12.
[RC-05-13]应为生产过程建立网络安全管理体系,以支持条款12的活动。

EXAMPLE 3 IEC 62443 2-1
范例3,IEC 62443 2-1

标准解析

  1. 条款“5.4.4 Management systems 管理体系”的网络安全活动有3个要求(RQ):[RQ-05-11]、[RQ-05-12]和[RQ-05-13],没有建议(RC);
  2. 为支持网络安全工程,[RQ-05-11]要求组织应跟国际标准或同等标准(如IATF 16949与ISO 9001结合使用)建立质量管理体系,以便处理网络安全工程中的变更管理,文件管理,配置管理和要求管理;
  3. [RQ-05-12]要求对产品网络安全支持的结束之前,应保持维护产品网络安全所需的配置信息(如软件配置数据)可以,以便在紧急状态(如配置数据丢失),快速采取补救措施(按照软件配置数据进行恢复);
  4. 为支持支持条款12的活动,[RC-05-13]要求应为生产过程建立网络安全管理体系,可以参考IEC 62443 2-1。

实施本条款应输出的文档:

  1. 建立和实施质量管理体系的相关证据,包含变更管理流程、文件管理流程、配置管理流程和要求管理流程等书面文件;
  2. 配置信息(物料清单,软件配置等);
  3. 生产过程网络安全管理体系建立和实施的证据。

本条款审核要点:

  1. 组织是否有按照组织应跟国际标准或同等标准建立质量管理体系;
  2. 组织是否建立变更管理流程、文件管理流程、配置管理流程和要求管理流程,并形成书面的文件;
  3. 在现场是否有支持维护产品网络安全所需的配置信息(如软件配置数据);
  4. 生产过程网络安全管理体系是否建立和实施。