《ISO/SAE 21434: 2021 Road vehicles — Cybersecurity engineering 道路车辆网络安全工程》标准解读之(4)

5 Organizational cybersecurity management 组织网络安全管理/5.1 General 总则

5.1 General 总则

To enable cybersecurity engineering, the organization institutes and maintains cybersecurity governance and a cybersecurity culture, including cybersecurity awareness management, competence management and continuous improvement. This involves specifying organizational rules and processes that are independently audited against the objectives of this document.
为实现网络安全工程,组织应建立和维护网络安全治理与网络安全文化,包含网络安全意识管理、能力管理以及持续改进。这涉及详细组织的规则和流程,并且应依照本文件的目标对这些规则和流程进行独立审计。

To support cybersecurity engineering, the organization implements management systems for cybersecurity including managing tools and applying a quality management system.
为支持网络安全工程,组织应为网络安全实施管理体系,包含管理各种工具以及应用质量管理体系。

标准解读:

  1. 5.1是对“5 组织网络安全管理”总体描述的一段文字。5-15每个部分都是按照“General 总则/Objectives 目标/Inputs 输入/Requirements and recommendations 要求和建议/Work products 工作输出”这几块来编写的 ;
  2. 这里的网络安全工程(如,实现网络安全工程、支持网络安全工程)实际上就是ISO/SAE 21434: 2021要求的网络安全工程;
  3. 组织要实现ISO/SAE 21434: 2021所说的网络安全工程,就要建立和维护网络安全治理(见5.4.1)与网络安全文化(见5.4.2),这其中包含了网络安全意识管理、能力管理以及持续改进。网络安全意识、能力管理和持续改进这部分内容,可以参考ISO/IEC 27001的信息安全意识等相关条款的实施,或参考ISO 9001相关条款的实施。
  4. 建立和维护网络安全治理(见5.4.1)与网络安全文化(见5.4.2)时,要结合组织的规则和流程,并且对这些规则和流程进行独立的网络安全审计(见5.4.7)以确保符合ISO/SAE 21434: 2021的目标。
  5. 为了支持和确保ISO/SAE 21434: 2021所要求的网络安全工程实现,必须首先要选择、并实施一种质量管理体系(如,ISO 9001、IATF 16949等,见5.4.4)以确保网络安全,其中应包含影响网络安全的各种工具的管理(见5.4.5)。