如何基于ISO26262导入ISO21434：总体安全管理篇（四）

3.  Competence Management

·ISO26262要求: 组织应确保执行安全生命周期活动的人员具有与其职责相匹配的技能水平、能力和资质。 ·ISO21434要求：组织应确保实施信息安全的人员有相应的资质和意识。 【导入建议】制订每个角色的职责，并根据职责，提出相应的能力要求。人员的能力要求，建议从教育背景、专业技能和经验、信息安全项目经验、人员资质证书等方面要求。  

对从事信息安全相关的角色进行能力管理。从组织层面，可以采取一些行动，管理从业人员资质。比如： ·人员招聘时，JD里包括信息安全相关的能力要求 ·新员工入职培训，信息安全课程作为必选课 ·信息安全内部课程，定期为相关人员举办培训 ·信息安全人员资质考核和证书 在项目层面，对分配到项目组的成员评定人员能力水平，如果不能满足相应的需求，采取措施（e.g. 培训，以老带新…）提升人员能力。

4.  Quality Management System

·ISO26262要求：执行安全生命周期活动的组织，应有满足质量标准如IATF16949或等同标准的质量体系。 ·ISO21434要求：组织应建立和维护满足国际标准的质量体系，支持信息安全工程。包括：变更管理、文档管理、配置管理和需求管理。 【导入建议】此部分可以在现有的相关流程指南中，增加信息安全相关内容： ·变更管理：对于变更进行判断，是否和信息安全相关。如果是和信息安全相关的变更，CCB成员需要包括信息安全经理，并且变更关闭时，信息安全经理参与判断是否可以关闭。 ·文档管理和配置管理：信息安全相关的产出物，要纳入公司的文档管理和配置管理之中。比如：信息安全要求规范，纳入基线管理。 ·需求管理：信息安全需求，也是产品需求的一种，要纳入公司的需求管理之中。从信息安全角度，需要考虑引入信息安全的等级，每条需求，分配一个信息安全的等级（CAL）。CAL = Cybersecurity Assurance Level   华菱咨询成立于2001年，是长三角，珠三角、京津冀和西南地区具有影响力的咨询机构。专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、深圳、杭州、、江西、西安设立了分支机构。经过20多年的发展，现已成为江苏省咨询协会理事单位、苏州工商联咨询协会理事单位、北京企业管理咨询协会会员单位、上海认证协会会员单位、上海咨询协会会员单位、广东省咨询协会会员单位；同时也被评为江苏省和广东省优秀管理咨询机构。