ISO21434是一套网络安全流程标准,客户与供应商之间的分布式开发应明确交互、依赖和责任,本文是part7分布式网络安全活动的总结。分布式开发活动管理适用于客户与供应商之间的分布式开发,内部供应商也可以用外部供应商的方式进行管理,协议包括客户与供应商之间的所有阶段。
1. 供应商能力
1)应评估候选供应商按照本标准进行开发和后开发活动的能力;
2)供应商应提供网络安全能力的记录,如组织能力证据、持续性网络安全活动和网络安全事件响应的证据、过往网络安全评估报告摘要。
2. 请求报价
1)客户向供应商发出的报价请求应包括:
a、正式要求符合本标准;
b、要求供应商按照CIA承担网络安全职责;
c、相关的网络安全目标或网络安全要求。
3. 职责统一
1)客户和供应商应在CIA中规定分布式网络安全活动,包括:
a、网络安全方面的联络人;
b、双方分别开展的网络安全活动,如网络安全确认、后开发的分布、网络安全评估;
c、如果适用,按照6.4.3进行联合裁剪;
d、要分享的信息和工作成果;
e、分布式开发活动的里程碑;
f、网络安全活动结束支持的定义。
2)CIA应该在网络安全活动开始前商定。
3)如果存在需要进行管理的漏洞,就行动责任达成一致。
4)如果要求不明确或不可行,或与其他学科冲突,应互相通知。
5)应在责任分配矩阵中明确责任,如RASIC表。
*d共享的信息可以包括:
1. 分发、评审以及网络安全问题反馈机制;
2. 信息交换过程,针对网络安全漏洞和网络安全相关结果,如风险点;
3. 接口相关的流程、方法和工具,确保对接的兼容性,如数据处理以保证数据传递的安全;
4. 角色的定义;
5. 变更的沟通和文档化方式,包括可能的TARA反复;
6. 需求管理工具的统一;
7. 网络安全评估的结果;
总结:分布式网络安全活动主要是评估供应商网络安全能力,以及签订CIA明确职责的过程。