1.定义明确的软件安全需求
-
为确保产品的软件安全,列出需要满足的网络安全指标和要求,包括:
-
架构设计
-
开发流程
-
项目特定的目标
-
-
通过与管理层和安全专家的会议,以确定与组织最相关的网络安全指标
-
定义与ISO 21434相关的代码覆盖率和其他软件安全指标的目标值
-
在网络安全计划中记录为满足ISO 21434要求而计划的所有活动 。计划应明确项目的目标、依赖关系、职责、范围和所需的工作材料
2.提供内部对ISO21434的意识
-
了解ISO 21434及其对组织的影响
-
获取完整的ISO21434文件 ,并确保所有相关利益相关者都能访问它
-
与所有相关决策者召开会议,告知他们ISO 21434的范围
3.维护软件项目的清单
-
为软件项目所有的文档和配置文件创建一个存储库
-
确定一个负责定期维护和更新这些文档的人(例如:每季度)
-
将此存储库存储在安全的地方,在紧急情况下可以很容易地找到它
4.与供应商讨论ISO21434
-
如果软件安全工作与供应商和/或第三方供应商直接相关,将其纳入网络安全活动中
-
要求供应商自己制定网络安全策略
-
创建一个CIAD(网络安全接口发展协议),在该协