企业如何选择ISO21434的等级

SAEJ3061是ISO/SAE21434的前身，该指南通过以下方式为汽车网络安全建立了一套高级指导原则，包括：

–定义完整的生命周期流程框架

–就常见的现有工具和方法提供相关信息

–给出信息安全的基本指导原则

–总结下一步的标准制定

SAEJ3061指出，信息安全有一个适当的生命周期，该周期的定义类似于ISO26262中描述的流程框架。此外，对于功能安全和信息安全，是要使二者维持在同一安全水平上且相互独立，还是要使二者的过程互相集成，在这点上并没有限制。

该指南还建议对潜在威胁进行初步评估，同时对与信息安全相关或关联的系统进行风险评估，以确定是否存在可能导致违反安全规定的信息安全威胁。基于此，发表了有关SAEJ3061应用的报告。

尽管其他标准(例如IEC62443或ISO27000系列)并不是直接针对汽车系统的，但这些标准涉及到汽车的生产和后端系统。

在ISO26262(2011)和SAEJ3061的背景下，本文回顾了适用的威胁分析方法以及SAEJ3061指南中对于威胁分析和风险评估方法(TARA)的建议。除了对适用分析方法以及提出的威胁分析方法进行评估之外，本文还根据ISO26262(2011)和SAEJ3061对复杂汽车系统的功能安全和信息安全相关方面的信任边界和攻击向量识别进行了研究。本文提出了一种在现有的ASPICE环境中用于集成信息安全和功能安全工程的结构化方法。

除此之外，本文介绍了ISO/SAE21434的发展和现状。基于威胁模型的安全分析工具和一种名为RISKEE的汽车网络安全风险评估方法，提出了新的安全分析工具—ThreatGet。该方法能够通过攻击图和钻石模型并结合FAIR来评估和计算风险。同时，探讨了正在进行的安全系统开发，审查了方法指南的现状，并首次对将汽车网络安全与现有流程融合进行了评估。

选择ISO 21434的等级是根据企业的具体情况和需求来确定的。以下是一些指导原则：

1. 了解标准要求：详细了解ISO 21434标准的要求和各个等级的定义。明确标准对汽车网络安全的要求，以及不同等级之间的差异。

2. 风险评估：进行全面的风险评估，评估企业的车辆和系统面临的网络安全风险和潜在威胁。根据风险评估结果，确定需要达到的最低安全等级。

3. 业务需求和客户要求：考虑企业的业务需求和客户的要求，以及合规性和市场竞争要求。如果业务和客户对网络安全有较高的要求，可能需要选择更高的安全等级。

4. 资源和预算：评估企业可用的资源和预算，包括人员、技术工具和设施等。确保选择的安全等级在企业能力和资源范围内可实施。

5. 持续改进：考虑企业未来的发展和持续改进计划。选择一个适当的安全等级，有助于满足未来的需求，并能够适应不断变化的网络安全威胁。

最终的选择应该是基于综合考虑以上因素，并根据企业的具体情况进行权衡和决策。建议寻求专业的咨询和指导来帮助企业做出明智的选择。

关于我们

华菱咨询成立于2001年，是长三角，珠三角、京津冀和西南地区具有影响力的咨询机构。专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、深圳、杭州、、江西、西安设立了分支机构。经过20多年的发展，现已成为江苏省咨询协会理事单位、苏州工商联咨询协会理事单位、北京企业管理咨询协会会员单位、上海认证协会会员单位、上海咨询协会会员单位、广东省咨询协会会员单位；同时也被评为江苏省和广东省优秀管理咨询机构。