ISO21434分布式网络安全

第7章规定了分布式开发中的网络安全活动，可以理解为在网络安全角度如何进行供应商管理。21434是一份面对整个汽车行业的指导标准，因此对供应商管理要求的适用范围不仅限于OEM，同时也适用于Tier 1, Tier 2等供应链上各环节的企业和组织，此外，组织的内部供应商也需要遵循本章要求。在21434中，分布式的网络安全活动主要有3项：

供应商能力评估

报价

网络安全职责界定

供应商能力评估

供应商网络安全能力的评估类似于16949、ASPICE等其它质量体系的评估，目的在于考察供应商在开发、生产阶段执行相关网络安全活动的能力，评估通常在供应商准入或定点前进行。供应商可提供以下证据以证明其网络安全能力：

以往项目中网络安全开发，治理，质量管理和信息安全方面的最佳实践的证据

证明具备可进行持续的网络安全活动和网络安全事件响应的能力

对过往网络安全评估报告的总结

报价

客户应在询价阶段明确提出网络安全相关的需求，包括：

相关的网络安全技术需求

明确要求供应商按照本文档进行产品的开发（体系要求）

要求供应商履行接口协议中约定的职责

在实际定点过程中，通常将网络安全的技术要求和接口协议放在SOR包中，提供给供应商进行报价。

第8章主要描述持续的网络安全活动。车辆网络安全工程是一项贯穿产品全生命周期的持续性的活动，OEM不仅要进行TARA分析、安全概念设计、网络安全开发测试和生产，还要在项目的全生命周期中，持续地收集和监控与项目有关的网络安全信息，建立信息监控和漏洞管理机制，持续地保证产品的网络安全。新漏洞的发现、网络安全突发事件的发生、新攻击技术的出现等都有可能触发相应的网络安全工作。

本章节中描述了4项需要持续进行的网络安全活动：

华菱咨询成立至今，我们的咨询师团队已经为5000多家企事业单位提供各项咨询及培训服务，并获得了客户及业界的一致好评，欢迎您选择、体验华菱咨询的优质服务。

华菱咨询服务将通过变革的思想，快速的实施及降低风险来为客户提供增值服务。帮助客户构想、开拓、实施及运营关键性业务。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。