ISO21434是一套网络安全流程标准,组织须建立网络安全管理政策、体系和文化等。本文是part5的总结。
1、网络安全管理
1)政策制定,包括管理层对网络安全风险的承认和执行承诺
2)流程建设,建立组织层面的网络安全流程,可以理解为CSMS体系的保证
3)职责权限,分配职责和授予权限,确保流程落地,这个关系到组织层面和项目层面
4)资源保证,人员、技能和工具等资源
5)建立与其他相关学科的沟通渠道(与现有流程的融合,各学科信息的交流),如功能安全
2、网络安全文化
1)建立良好的网络安全文化,参考附录B
2)保证相关人员的能力、意识和培训,包括规则流程、领域知识、方法工具、攻击手段和控制措施等
3)建立持续改进流程,包括内外部经验收集、学习、改进、传达等
3、信息共享
1)明确内外部共享信息的范围,信息类型、审批流程、编辑要求、溯源规则、沟通类型、漏洞披露流程(可参考ISO29147[14])、对接收方处理高度敏感信息的要求;
2)共享信息的管理应与相关方保持一致,如保密等级。
4、管理体系
1)建立质量管理体系支持网络安全工程中的变更管理、文档管理、配置管理和需求管理,如ISO9001和IATF16949;
2)维护产品网络安全的配置信息必须在网络安全结束支持前保持有效,以便能够采取补救行动,如材料清单、软件配置;
3)建立生产制造环节的网络安全管理系统。
5、工具管理
1)组织应对网络安全相关的工具进行管理,如使用带勘误表的用户手册、防止意外使用或行为的保护、访问控制、工具认证等
a、开发过程中的如模型开发、静态代码检查、验证工具
b、生产过程中的如软件刷写工具、产线终端检测仪
c、维护的工具,如在线诊断工具
2)在网络安全结束支持前,保持网络安全事件响应补救措施的相关环境可重现,如用于复现和管理漏洞的测试、软件编译和开发环境,用于构建产品软件的工具链和编译器。
6、信息安全管理
相关的工作产品应该由一个信息安全管理系统来管理(如存储在服务器,保证不被更改或删除)
7、组织级网络安全审计(audit、内审)
应进行独立的网络安全审计,以判断组织流程是否达到本标准的目标。
1)审计可以包含在质量管理体系的审计中
2)审计员来自组织内部或外部,保证独立性,参考ISO26262
3)为保证有效,可以定期进行
总结:大部分企业通过了IATF16949质量管理体系,工作主要在于识别出网络安全开发流程与现有流程相比,新增了哪些活动,有哪些可与现有活动融合,制定出最适宜、变更成本最低的网络安全管理体系。