如何基于ISO26262导入ISO21434:总体安全管理篇(五)
5. Project Independent Tailoring
·ISO26262要求: 组织可裁剪安全生命周期,即独立于项目的裁剪。 ·ISO21434要求:此部分在Organizational Cybersecurity Management中没有明确的章节与之对应。 【导入建议】此部分虽然在ISO21434中没有明确相关的内容。建议组织可以根据公司自身情况,对ISO21434中的活动: a) 进行合并或分解子阶段、活动或任务; b) 同一活动或任务,在不同的阶段或子阶段中执行; c) 同一活动或任务,在新增的阶段或子阶段中执行; d) 反复进行某个阶段或子阶段; e) 省略某些不适用于组织的阶段或子阶段。
6. Information Sharing & Security Management
此部分是ISO21434比ISO26262多出的要求。ISO21434要求:组织应该规定在何种情况下可以公开安全相关的information。 【导入建议】对组织拥有的信息进行分类,比如:public,internal, confidential with NDA, strictly confidential,然后对不同类型的信息,规定分享范围。 如果超出分享范围,需要特定人员批准。对于机密信息的接收方,提出信息保密的要求。 对于工作产出物(work products),应该存放到服务器上,防止非授权的改动或删除。 说明:ISO21434在organization cybersecurity management中5.4.5 Tool management,和ISO26262-8中的软件工具鉴定部分进行对比,5.4.7 Organizational cybersecurity audit和ISO26262-2中的functional safety audit进行对比。放在后续系列文章中解读。 华菱咨询成立于2001年,是长三角,珠三角、京津冀和西南地区具有影响力的咨询机构。专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、深圳、杭州、、江西、西安设立了分支机构。经过20多年的发展,现已成为江苏省咨询协会理事单位、苏州工商联咨询协会理事单位、北京企业管理咨询协会会员单位、上海认证协会会员单位、上海咨询协会会员单位、广东省咨询协会会员单位;同时也被评为江苏省和广东省优秀管理咨询机构。