1 Scope
This document specifies engineering requirements for cybersecurity risk
management regarding concept, product development, production, operation, maintenance and decommissioning of electrical and electronic (E/E) systems in road vehicles, including their components and interfaces.
A framework is defined that includes requirements for cybersecurity processes and a common language for communicating and managing cybersecurity risk.
This document is applicable to series production road vehicle E/E systems, including their components and interfaces, whose development or modification began after the publication of this document.
This document does not prescribe specific technology or solutions related to cybersecurity.

本标准规定了道路车辆电子电气系统及其组件和接口的概念、开发、生产、运行、维护和报废的工程相关网络安全风险管理的要求。
本标准定义了一个框架,包括网络安全流程的要求以及交流与管理网络安全风险的通用语言。
本标准适用于量产道路车辆电子电气系统,包括在本标准发布日期后开发或修改的组件和接口。
本标准未规定与网络安全相关的特定技术或解决方案。

标准解读

  1. ISO/SAE 21434:2021标准定义了一种框架,该框架包含了网络安全过程的要求以及用于沟通和管理网络安全风险的通用语言;
  2. 该标准说明了网络风险管理工程要求有关道路车辆电气和电子(E/E)系统(包括其组件和接口)的构想、产品开发、生产、运行、维护和退役管理。因此,该标准直接明确了网络安全风险管理必须贯穿于道路车辆电气和电子(E/E)系统(包括其组件和接口)的整个生命周期,也就是说必须跟ISO 9001/IATF 16949质量管理体系紧密的结合在一起进行实施,这一点要求,在该标准的正文会有多次提及,而这跟ISO/IEC 27001:2013标准不同,ISO/IEC 27001:2013标准没有明确提出产品研发和生产等过程的信息安全管理要求,这就导致很多制造型企业在推行ISO/IEC 27001:2013管理体系的时候闹出了不少笑话,因为没有明确提出,加上对ISO/IEC 27001:2013标准的陌生,很多制造型企业在推行ISO/IEC 27001:2013没有关注研发和生产过程,反而把重心放在IT部分;
  3. 该标准适用于批量生产道路车辆电子/电子系统(包括其组件和接口),而且还适用于本标准发布后的道路车辆电子/电子系统(包括其组件和接口)的开发或变更;
  4. 本标准没有规定与网络安全相关的具体技术或解决方案。