《ISO/SAE 21434: 2021 Road vehicles — Cybersecurity engineering 道路车辆网络安全工程》标准解读之(7)

5 Organizational cybersecurity management 组织网络安全管理/5.4 Requirements and recommendations 要求和建议/5.4.1 Cybersecurity governance 网络安全治理

5.4.1 Cybersecurity governance 网络安全治理

[RQ-05-01] The organization shall define a cybersecurity policy that includes:
[RQ-05-01]组织应确定网络安全方针,其包括:

a) acknowledgement of road vehicle cybersecurity risks; and
a)认识到道路车辆网络安全风险;以及

b) the executive management’s commitment to manage the corresponding cybersecurity risks.
b)最高管理层对管理相关的网络安全风险的作出的管理承诺。

NOTE 1 The cybersecurity policy can include links to the organization’s objectives and other policies.
注1:网络安全方针可以包括其与组织目标和其他方针的联系。

NOTE 2 The cybersecurity policy can include a statement regarding the risk treatment of generic threat scenarios with respect to the organization’s products or services portfolio, considering the context, either external or internal.
注2:网络安全方针,在考虑内部和外部环境的情况下,可包括组织产品或服务组合的通用威胁场景的风险处置声明。

[RQ-05-02] The organization shall establish and maintain rules and processes to:
[RQ-05-02]组织应建立和保持规则和过程,以:

a) enable the implementation of the requirements of this document; and
a)确保本文件的要求得以实施;以及

b) support the execution of the corresponding activities.
b)支持相关活动的实施。

EXAMPLE 1 Process definitions, technical rules, guidelines, methods and templates.
范例1:流程确定、技术规则、指南、方法和模板。

NOTE 3 Cybersecurity risk management can include effort-benefit considerations of activities.
注3:网络安全风险管理可以包括活动的投入-收益考虑。

NOTE 4 Rules and processes cover concept, product development, production, operation, maintenance, and decommissioning, including TARA methods, information sharing, cybersecurity monitoring, cybersecurity incident response, and triggers.
注4:规则和过程涵盖概念、产品开发、生产、运营、维护以及退役阶段,包括威胁分析和风险评价(TARA )方法、信息共享、网络安全监控、网络安全事件响应以及触发准则。

NOTE 5 Rules and processes regarding vulnerability disclosure, for example as part of information sharing, can be specified in accordance with ISO 29147 .
注5:与漏洞披露相关的规则和流程,例如,其可以作为信息共享的一部分,并可以依照ISO 29147做出明确要求。

NOTE 6 Figure 4 outlines the relationship between an overarching cybersecurity policy (see [RQ-05-01]), and organization-specific cybersecurity rules and processes (see [RQ-05-02]), responsibilities (see [RQ-05-03]) and resources (see [RQ-05-04]).
注6:图4显示了中心的网络安全方针(见 [RQ-05-01])、特定组织的网络安全规则和流程(见[RQ-05-02])、职责(见 [RQ-05-03])和资源(见 [RQ-05-04])之间的关系。
Figure 4 — Cybersecurity governance/图4 – 网络安全治理
[RQ-05-03] The organization shall assign and communicate the responsibilities and corresponding organizational authority to achieve and maintain cybersecurity.
[RQ-05-03] 组织应划分和沟通职责以及相应的组织权限,以达成和保持网络安全。

NOTE 7 This relates to organizational as well as to project-dependent activities.
注7:这与组织的和项目依赖的活动有关。

[RQ-05-04] The organization shall provide the resources to address cybersecurity.
[RQ-05-04]组织应提供解决网络安全问题所需的资源。

NOTE 8 Resources include the persons responsible for cybersecurity risk management, development, and incident management.
注8:资源包括负责网络安全风险管理、开发以及事件管理的人员。

EXAMPLE 2 Skilled personnel and suitable tools to perform cybersecurity activities.
范例2,实施网络安全活动的专业人员和合适的工具

[RQ-05-05] The organization shall identify disciplines related to, or interacting with, cybersecurity and establish and maintain communication channels between those disciplines in order to:
[RQ-05-05]组织应识别与网络安全有关或相互作用的学科,并在这些学科之间建立和保持沟通的渠道,以:

a) determine if and how cybersecurity will be integrated into existing processes; and
a)确定网络安全是否可以及如何整合到现有流程中;以及

b) coordinate the exchange of relevant information.
b)协调相关信息的交换。

NOTE 9 Coordination can include sharing of processes and using strategies and tools between disciplines.
注9:协调可以包括过程共享、以及在学科之间使用的策略和工具。

NOTE 10 Disciplines include information technology security, functional safety, and privacy.
注10:学科可以包括信息技术安全、功能安全和隐私。

EXAMPLE 3 Interdisciplinary exchange of:
范例3,以下跨学科之间的交流:

— threat scenarios and hazard (cf. ISO 26262-1:2018 , 3.75) information;
— 威胁场景和危害(cf. ISO 26262-1:2018 , 3.75)信息;

— cybersecurity goals and safety goals (cf. ISO 26262-1:2018 [1], 3.139); and/or
— 网络安全目标和安全目标(cf. ISO 26262-1:2018 , 3.139);和/或

— cybersecurity requirements conflicting or competing with functional safety requirements (cf. ISO 26262-1:2018 , 3.69).
— 网络安全要求与功能安全要求(cf. ISO 26262-1:2018 , 3.69)冲突或竞争。

标准解读:

  1. 条款5.4是“5 Organizational cybersecurity management 组织网络安全管理”的核心内容,包括网络安全治理(见5.4.1)、网络安全文化(见5.4.2)、信息共享(见5.4.3)、管理体系(见5.4.4)、工具管理(见5.4.5)、信息安全管理(见5.4.6)以及组织的网络安全审计(见5.4.7)七个模块的网络安全活动(要求和建议);
  2. 条款“5.4.1 Cybersecurity governance 网络安全治理”的网络安全活动有5个要求(RQ):[RQ-05-01]、[RQ-05-02]、[RQ-05-03]、[RQ-05-04]和[RQ-05-05]。条款5.4.1没有建议(RC);
  3. [RQ-05-01]是针对网络安全方针的要求,这个其实可以参照ISO/IEC 27001其中5.2内容来理解,相关要求也基本一致,只是侧重点有所不同,一个侧重于网络安全,一个侧重于信息安全;
  4. 组织需要确定组织的网络安全方针,并形成书面文件,包含评审和批准记录;
  5. 网络安全方针需要涵盖道路车辆网络安全风险的认知以及最高管理者管理这些风险的承诺;
  6. [RQ-05-02]是关于组织网络安全规则和流程的要求,组织必须依据本文件的要求建立和保持必要的网络安全规则和流程,如流程和流程清单、网络安全技术规则、操作指南、管理办法等;
  7. [RQ-05-03]是关于网络安全职责和权限分配和沟通的要求,理解和实施本要求可以参照ISO/IEC 27001中的5.3;
  8. [RQ-05-04]是关于资源的要求,组织应确保管理网络安全风险、实施网络安全活动等需要的专业人员、工具(包含硬件和软件)以及其他资源;
  9. [RQ-05-05]是有关与网络安全有关其他学科要求。无论信息安全,还是网络安全,都不仅仅关注信息安全、网络安全自身就够了,或者像现在大多数企业在做信息安全(网络安全)的时候,往往都只局限在IT这块上,最终的结果是信息安全(网络安全)走不出IT;
  10. 网络安全(信息安全)与其他学科之间会有千丝万缕的联系,在实施网络安全(信息安全)时候,就必须认识到、识别出网络安全(信息安全)与其他学科之间的联系,以及建立和保持在实施相关活动时的必要的沟通渠道;
  11. 掌握网络安全与其他学科之间的联系后,应尽可能将网络安全流程整合到其他学科的流程中去;
  12. 网路安全与其他学科联系、整合和交流,可以参考“注9”“注10”和“范例3”。

实施本条款应输出的文档:

  1. [RQ-05-01]组织书面的网络安全方针,及其评审和批准记录;
  2. [RQ-05-02]网络安全规则和流程,及其清单;
  3. [RQ-05-03]网络安全组织,职责说明,授权记录等;
  4. [RQ-05-04]网络安全岗位清单、网络安全工具清单。

本条款审核要点:

  1. [RQ-05-01]查看组织书面的网络安全方针,以及评审和批准记录;
  2. [RQ-05-01]网络安全方针是否涵盖道路车辆网络安全风险的认知以及最高管理者管理内容;
  3. [RQ-05-02]网络安全规则和流程,及其清单;
  4. [RQ-05-03]网络安全组织,职责说明,授权记录等;
  5. [RQ-05-04]网络安全岗位清单、网络安全工具清单;
  6. [RQ-05-05]是否有关注网络安全与其他学科(质量管理、产品研发等)之间联系,相关流程是否进行合理的整合,跨领域之间是如何沟通的。