回复
如何基于ISO26262导入ISO21434:总体安全管理篇
前言:ISO26262,作为汽车行业的功能安全标准,已经在汽车行业应用10年有余。ISO21434作为汽车行业产品信息安全标准,虽然尚未正式发布,但是已经有很多家OEM和供应商开始关注,并在产品开发中实施。ISO21434以ISO26262为框架,两个标准相似度很高,本文对两者进行对比,并对如何基于ISO26262的组织级的总体功能安全管理流程的基础上,导入ISO21434给出建议。
ISO26262:2018章节 | ISO21434:FDIS章节 | ||
5.4.2 | Safety Culture | 5.4.1 5.4.2 | Cybersecurity Governance Cybersecurity Culture |
5.4.3 | Safety Anomalies Management | 8.6 | Vulnerability Management |
5.4.4 | Competence Management | RQ-05-07 | … competence and awareness … |
5.4.5 | Quality Management System | 5.4.4 | Management System |
5.4.6 | Project Independent Tailoring | - | - |
1. Safety Culture / Cybersecurity Culture
1.1 安全文化
- ISO26262要求: 组织应该创立、培育并保持一种安全文化,以支持和鼓励有效地实施功能安全。
- ISO21434要求:组织应培育并保持一种安全文化。组织应定义安全策略,其中包括承认存在汽车信息安全风险,管理层承诺管理相应的信息安全带来的风险。
【导入建议】在现有功能安全文化的基础上,修改为信息安全文化。在ISO26262-2附录B和ISO21434附录B中给出了好的安全文化的示例,两者内容几乎一样,只不过一个是强调functional safety,一个强调cybersecurity。以下表格中,绿色字体的内容是一样的,红色字体代表不同点。
ISO26262-2附录B | ISO21434附录B |
The process assures that accountability for decisions related to functional safety is traceable. | The process ensures that accountability for decisions related to cybersecurity is traceable. |
Safety is the highest priority. | Cybersecurity and safety have the highest priority. |
The reward system supports and motivates the effective achievement of functional safety The reward system penalizes those who take shortcuts that jeopardize safety or quality. | The reward system supports and motivates the effective achievement of cybersecurity and penalizes those who take shortcuts that jeopardize cybersecurity. |
The process provides adequate checks and balances. | The process provides adequate checks and balances. |
Proactive attitude towards safety. | Proactive attitude towards cybersecurity. |
The required resources are allocated Skilled resources have the competence commensurate with the activity assigned. | The required resources are allocated. Skilled resources have the competence commensurate with the activity assigned. |
The process uses diversity to advantage. Supporting communication and decision-making channels exist and the management encourages their usage. | The process uses diversity to its advantage. The supporting communication and decision-making channels exist and the management encourages their usage. |
Continuous improvement is integral to all processes. | Continuous improvement is integral to all processes. |
A defined, traceable and controlled process is followed at all levels. | Defined, traceable, and controlled processes are followed. |
- | Cybersecurity personnel act as role models with a good sense for appropriateness and practical implementation that leads to trust in their actions by the entire organization. |
1.2 流程体系
- ISO26262要求:组织应建立、执行并维护专门的流程体系,并持续改进。
- ISO21434要求:组织应建立和维护信息安全的规则和流程,并持续改进。
【导入建议】参照组织级的功能安全流程体系,建立信息安全流程体系。参考本系列文章中具体每部分的建议。
1.3 沟通机制
- ISO26262要求:组织应建立功能安全领域、信息安全、及与其他领域间的有效沟通机制。
- ISO21434要求:组织应识别与信息安全相关的领域,并建立和维护各领域之间的沟通渠道。
【导入建议】根据公司组织架构,识别出组织内部会参与到信息安全活动的团队或和信息安全活动相关的团队,考虑团队之间沟通方式。比如针对信息安全core team,可以从以下三个方面考虑:
- core team与外部沟通(与第三方认证公司沟通、与潜在客户沟通、参加标准起草、研讨会等)
- core team与其它团队(QA、功能安全部门、法务部、生产部等)的横向沟通
- core team与其它团队的纵向沟通,比如与项目信息安全经理的沟通(给项目信息安全经理提供技术支持,并对项目信息安全经理的工作产出物进行评审)
关于功能安全和信息安全之间的交互,可以参考ISO26262-2附录E:Guidance on potential interaction of functional safety with cybersecurity。
1.4 资源管理
- ISO26262要求:组织应提供实施功能安全所需的资源(比如:人力资源、工具、数据库、作业指南等),并对实施功能安全的人员充分授权。
- ISO21434要求:组织应分配信息安全职责和相应的授权;组织应提供资源以实施信息安全。
【导入建议】参考组织现有的功能安全资源管理做法,对信息安全所需的资源进行管理:
- 在现有的工具列表中,加入信息安全所需的工具,并进行管理。E.g.,渗透测试的工具、代码漏洞扫描的工具等。
- 搭建组织级信息安全组织架构和角色定义,至少包括:信息安全核心团队、信息安全经理、信息安全工程师等。
- 制订每个信息安全角色的职责,根据职责,给予充分授权。比如对信息安全经理,有调配人力资源的权力,在产品发布时,有一票否决权。
- 其它资源(e.g. 数据库、作业指南),放在公司流程体系中管理维护。
2. Safety Anomalies Management / Vulnerability Management
ISO26262要求:
- 组织应建立、执行并维护流程,以确保识别出的功能安全异常能够明确地通报给相关人员;
- 组织应建立、实施和维护功能安全异常管理流程,确保安全相关的异常被分析、评估、解决和处理;
- 只有实施了足够且有效的安全措施或者安全异常不会造成不合理的风险,安全异常才能被关闭;
- 如果功能安全相关的异常无法及时关闭,应上升到相关功能安全负责人。
ISO21434要求:相应的信息安全风险被评估并处理或者采取补救措施得以消除,才认为漏洞被有效地管理。
【导入建议】可以参照以下示例,制定漏洞管理的流程。
3. Competence Management
- ISO26262要求: 组织应确保执行安全生命周期活动的人员具有与其职责相匹配的技能水平、能力和资质。
- ISO21434要求:组织应确保实施信息安全的人员有相应的资质和意识。
【导入建议】制订每个角色的职责,并根据职责,提出相应的能力要求。人员的能力要求,建议从教育背景、专业技能和经验、信息安全项目经验、人员资质证书等方面要求。
对从事信息安全相关的角色进行能力管理。从组织层面,可以采取一些行动,管理从业人员资质。比如:
- 人员招聘时,JD里包括信息安全相关的能力要求
- 新员工入职培训,信息安全课程作为必选课
- 信息安全内部课程,定期为相关人员举办培训
- 信息安全人员资质考核和证书
在项目层面,对分配到项目组的成员评定人员能力水平,如果不能满足相应的需求,采取措施(e.g. 培训,以老带新…)提升人员能力。
4. Quality Management System
- ISO26262要求:执行安全生命周期活动的组织,应有满足质量标准如IATF16949或等同标准的质量体系。
- ISO21434要求:组织应建立和维护满足国际标准的质量体系,支持信息安全工程。包括:变更管理、文档管理、配置管理和需求管理。
【导入建议】此部分可以在现有的相关流程指南中,增加信息安全相关内容:
- 变更管理:对于变更进行判断,是否和信息安全相关。如果是和信息安全相关的变更,CCB成员需要包括信息安全经理,并且变更关闭时,信息安全经理参与判断是否可以关闭。
- 文档管理和配置管理:信息安全相关的产出物,要纳入公司的文档管理和配置管理之中。比如:信息安全要求规范,纳入基线管理。
- 需求管理:信息安全需求,也是产品需求的一种,要纳入公司的需求管理之中。从信息安全角度,需要考虑引入信息安全的等级,每条需求,分配一个信息安全的等级(CAL)。CAL = Cybersecurity Assurance Level
5. Project Independent Tailoring
- ISO26262要求: 组织可裁剪安全生命周期,即独立于项目的裁剪。
- ISO21434要求:此部分在Organizational Cybersecurity Management中没有明确的章节与之对应。
【导入建议】此部分虽然在ISO21434中没有明确相关的内容。建议组织可以根据公司自身情况,对ISO21434中的活动:
a) 进行合并或分解子阶段、活动或任务;
b) 同一活动或任务,在不同的阶段或子阶段中执行;
c) 同一活动或任务,在新增的阶段或子阶段中执行;
d) 反复进行某个阶段或子阶段;
e) 省略某些不适用于组织的阶段或子阶段。
6. Information Sharing & Security Management
此部分是ISO21434比ISO26262多出的要求。ISO21434要求:组织应该规定在何种情况下可以公开安全相关的information。
【导入建议】对组织拥有的信息进行分类,比如:public,internal, confidential with NDA, strictly confidential,然后对不同类型的信息,规定分享范围。
如果超出分享范围,需要特定人员批准。对于机密信息的接收方,提出信息保密的要求。
对于工作产出物(work products),应该存放到服务器上,防止非授权的改动或删除。
说明:ISO21434在organization cybersecurity management中5.4.5 Tool management,和ISO26262-8中的软件工具鉴定部分进行对比,5.4.7 Organizational cybersecurity audit和ISO26262-2中的functional safety audit进行对比。放在后续系列文章中解读。
转发此文章到微信朋友圈,然后朋友圈截图,email发送: sale@iqichina.com,可免费获得上海先起《Cybersecurity Policy》模板一份。
推荐阅读:
文章转载自公众号:仨人谈起
分类
标签
赞
收藏
回复
相关推荐
