第5章 组织级网络安全管理(organizational cybersecurity management)规定了公司/组织层面网络安全管理的要求,是组织内部最高层面的安全方针,标准中从7个方面提出了要求:
- 网络安全治理(cybersecurity governance)
网络安全治理是最宏观层面的安全治理方针,总共有5条要求,可总结为以下几点:
- 领导层重视
公司管理层必须具备车辆网络安全风险管理的意识,并且承诺对车辆的网络安全风险进行管理。
- 流程保证
建立网络安全管理体系(CSMS)来支持相关网络安全活动的实施,CSMS涵盖了概念、开发、生产、运维、退役、TARA方法论,安全监控,信息共享,应急响应等21434中提及的所有环节的相关流程定义,指导手册,方法论和模板多级文件。
- 职责划分
组织必须为CSMS中定义的各项网络安全活动分配相应的职责部门/人员,确保相关的活动能够真正实施。
- 资源保证
组织必须提供足够的资源以保证网络安全活动的正确实施。资源包括了足够的、具备合格能力的人员,合适的工具等。
- 与其他现有流程的结合
组织应考虑如何将网络安全管理活动嵌入组织现有的开发流程、质量管理流程中。于此同时,还应考虑网络安全体系与功能安全、隐私保护等其他安全领域的交互和融合。
2. 网络安全文化(cybersecurity culture)
这一节规定了组织实施网络安全管理需具备的“软实力”,可归结为以下3点:
- 建立良好的网络安全文化
对于什么是“良好”的网络安全文化,可参考文件后的附录B,内容和26262中提及的安全文化示例基本一致。
- 保证人员足够的网络安全能力和意识
能力涵盖了多个方面,如具备网络风险管理、功能安全、隐私保护等相关领域的知识,掌握车辆工程,系统开发的基本知识,了解常见的攻击方法,安全防护措施等。
- 持续改进
持续改进需贯穿在网络安全工程的所有活动中,改进可以来源于内/外部的监控获取的信息、lessons learn, 相似项目的经验,开发过程中发现的问题、体系/流程审核中发现的问题等。
3. 信息共享(Information Sharing)
信息共享要求组织必须考虑组织内外部哪些数据共享是必须的、允许的,哪些是被禁止的,并根据这个准则去管理与第三方共享的数据。
在具体实施层面,通常会对信息进行分级,制定相关的信息共享流程,使用专门的信息传输工具,与第三方确定漏洞披露原则等。
4. 管理体系(Management System)
组织应建立一个质量管理体系来支撑网络安全工程。主要支持网络安全工程中的变更管理、文档管理、配置管理和需求管理。其中产品的安全配置信息必须在产品终止维护前保持可用。此外,本节中还建议组织制定生产制造环节的网络安全管理体系。
目前行业内绝大部分企业都通过了16949的认证,在实际实施中需要考虑的是将网络安全开发活动纳入原有的变更、文档、配置和需求管理等质量管理流程之中。
5. 工具管理(Tool Management)
组织应对能够影响相关项和组件网络安全的工具进行管理,这些工具可能包括:
- 开发过程中的工具如模型开发,静态代码检查,验证工具。
- 生产中的工具如软件刷写工具、产线检测仪。
- 运维阶段的工具如在线诊断工具等。
工具可以通过以下的方法进行管理:使用用户手册和勘误表,访问控制,权限控制,预防非预期行为和操作等。
此外,本节还建议在产品退役前,应保持相关环境(如软件编译、开发环境、测试环境)可复制,以便在后续发生网络安全事件时,可对漏洞进行复现和管理。
6. 信息安全管理(Information security management)
建议:相关的工作产品应该由一个信息安全管理系统来管理。对于已经建立完善的信息安全管理体系的组织来说,将网络安全的工作产品依照现有的信息安全管理流程进行管理即可。
7. 网络安全审计(organization cybersecurity audit)
组织应进行网络安全审计,以判断组织的流程是否达到了本标准的要求。需要注意几点:
- 审计人可以来自组织内部或外部,但必须保证审计的独立性,关于独立性的要求可以参考26262中的相关描述。
- 网络安全审计可以包含在质量体系的审计中(如IATF 16949)。
- 审计可以分阶段进行
最后总结一下本章节要求输出的工作产品:
- [WP-05-01]网络安全方针、规则和流程
- [WP-05-02]能力管理、意识管理和持续改进的证据
- [WP-05-03]质量管理体系的证据
- [WP-05-04]工具管理的证据
- [WP-05-05]网络安全审计报告
小结
本章规定了组织最高层级的网络安全管理要求,企业中CSMS的牵头部门应基于本章内容制定企业网络安全管理的总体方针,然后识别和推动各相关责任方建立各自模块(如开发,运维,供应商管理等)的网络安全管理体系。在网络安全治理层面,主要关注"3个E",即通过流程体系强制执行车辆网络安全的相关流程(Enforce);通过确定相关的职责使能相关的网络安全活动(Enable);通过投入足够的资源保证各项网络安全活动充分实施(Ensure)。
随着联合国ECE R155法规被纳入GSR,以及国内网络安全标准制定的快速推进,CSMS建设已经变成各大OEM迫在眉睫的工作。强标的驱动保证了网络安全工作在组织中得以自上而下的进行,因此对于相关企业来说,工作的难点就在于识别出网络安全开发流程与现有流程相比,新增了哪些活动,有哪些活动可与现有活动融合,从而在合规的基础上,制定出最适宜、变更成本最低的网络安全管理体系搭建方案。