网络安全管理
ISO/SAE 21434对网络安全作为道路车辆生命周期中参与的组织做出了强制性要求。网络安全管理侧重于工程周期的不同阶段、产品的生命周期以及组织层面。
风险管理
ISO/SAE 21434中风险管理定义为网络安全风险的分析、评估和管理。它是安全工程中重要或核心阶段之一。可以作为评估安全工程结束时的分析,以用来确保网络安全风险是否为可接受的参数。
在此阶段,确定资产,进行威胁分析,确定对用户有什么影响,称为影响评估。亚远景认为在此,我们可以通过可行性评估进行攻击分析和脆弱性分析,在此基础上进行风险评估,并定义风险处理类别。
概念阶段
在概念阶段,确定威胁(项目定义),也确定开发策略,需要定义如何减少风险威胁的目标。如果需要,我们可以定制政策。
产品开发
产品开发阶段更侧重于对网络安全工程的支持。它完全基于 ISO26262 的 V 过程。它包括系统、硬件和软件开发阶段。基于 ISO 26262,它定义了汽车行业中使用的系统工程方法。亚远景认为在定义系统概念后,在软件和硬件期间,使用阶段漏洞分析和风险评估 (VARA) 来确保不引入其他威胁,剩余风险是可以接受的。
iso21434中验证和验证遵循开发阶段,按照设定要求,以确保根据声明的网络安全要求和设计规范开发的产品,来满足设定的网络安全目标。其中包括规划、报告和结果跟踪,以及处理结果。
开发后标准的发布是确保所有开发都已完成,我们需要提供适当的合规性证据。
生产、运营和维护
开发后阶段网络安全工程所涉及的活动和流程。收集和审查相关网络安全信息、漏洞处理和事件响应的网络安全监控要求是如何处理漏洞以及如何处理响应。更新内容详细了解如何安全地应用更新以及更新的标准是什么。
支持流程
ISO/SAE21434这里的目标是定义要求和准则,这将确保网络安全被接受为优先和质量属性。本节定义了更多支持网络安全活动的运营管理系统。它定义客户和供应商之间的交互、依赖关系和责任。此外,它还列出了整个过程中使用的工具。