ISO21434网络安全目标

网络安全目标是最高层级的网络安全要求，它基于威胁分析和风险评估（TARA）得出的，TARA的方法论将在第15章中进行介绍。根据网络安全目标制定对应的网络安全要求，对于保留风险和转移风险的项，还应解释其合理性。

如何制定网络安全目标？

风险分析：对上一章定义的对象进行风险分析，分析包含资产识别、威胁场景识别、影响评级、攻击路径分析、攻击可行性分析，风险确定等环节，具体方法在之后的15章中会详细解释。

风险处置决策：根据15章中的方法，确定每个风险项的处置方法，风险处置决策包括消除风险，降低风险，转移风险和保留风险等。

制定网络安全目标：对于需要消除或降低的风险，须制定一个或多个相应的网络安全目标，这个目标通常是High level的，可以用类似“保护xx资产的xx属性。”的颗粒度进行描述。目标也包括生产、运维和报废阶段的网络安全目标。21434还在附录E中提供网络安全保证等级（CAL）的分级方法，CAL等级定义了执行网络安全活动的严格程度，因此也可以将CAL等级作为网络安全目标。

制定网络安全声明：对于决定保留和转移的高风险项，以及通过环境假设降低威胁场景风险的风险项，需要制定网络安全声明来阐述适当的理由，且该声明在后续的阶段必须被监控。21434以及车型认证十分重视开发链条逻辑的合理性，因此网络安全声明是概念阶段不可忽视的重要工作。

保证完整性和一致性：这部分属于网络安全质量保证的工作，需要保证以下各环节之间的完整性和一致性：

风险分析与项目定义

风险处置决策与风险分析结果

网络安全目标、声明与风险处置决策

网络安全要求与网络安全目标

华菱咨询位于中国长三角、珠三角、京津冀和西南地区地区，成立于 2001 年,专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、杭州、广州、深圳、合肥、江西、西安设立了分支机构。

经过20多年的发展与实践沉淀，华菱咨询将利用深厚的行业知识，帮助客户把握新机遇，评估和管理风险，以实现负责任的增长。华菱咨询高绩效的跨学科团队可帮助客户满足监管要求，确保客户及时了解信息并满足利益相关者的需求。华菱咨询将为客户提供全面的端到端的服务，利用技术的进步真正推动业务的发展。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。