基于ISO26262导入ISO21434：项目安全管理篇（二）

3. Impact Analysis at element level

ISO26262要求：

·如果复用现有的element，需要在element层级进行影响分析，包括明确变更、分析复用的element是否满足所分配的安全需求、确定哪些安全活动受影响（包括对复用的element假设的确认）、评估现有的文档是否足够支持集成活动。

·如果满足ISO26262-8第12章软件组件鉴定和第13章硬件组件鉴定的要求，则该组件可以复用。

·如果满足ISO26262-10中SEooC (Safety Element out of Context)中的要求，则该组件可以复用。

ISO21434要求：

·针对复用的element需要复用分析，分析改动对于信息安全的影响（包括对于安全声明和复用的element假设的确认）、分析复用的element是否满足所分配的安全需求、评估现有的文档是否足够支持集成活动。

·针对off-the-shelf component，应确认所分配的安全需求是否满足、是否适合项目的应用场景、现有文档是否足够支持信息安全活动。

·对于component out-of-context，假设的安全需求和接口是否可以接受、确认安全声明是否可以接受。

【导入建议】此部分ISO21434的内容对应ISO26262中的element impact analysis, HW and SW component qualification, SEooC approach.

对于element impact analysis，可以基于现有的功能安全element impact analysis的模板，修改影响分析部分为对于信息安全活动和工作产出物的影响，分析改动对于信息安全的影响时，还要包括对于安全声明的确认。

·对于off-the-self component, ISO21434没有ISO2626中的硬件和软件组件鉴定活动那么复杂。可以基于现有的硬件和软件组件鉴定报告，修改为信息安全的鉴定报告，至少包括确认所分配的安全需求是否满足、是否适合项目的应用场景、现有文档是否足够支持信息安全活动；

·对于component out-of-context，两个标准基本要求是一致的，但是信息安全还要确认component out-of-context的安全声明是否可以接受。

4.  Activities tailoring

·ISO26262要求: 基于项目，对功能安全活动进行裁剪，并记录裁剪理由。

·ISO21434要求: 信息安全活动，可以被裁剪。需要对裁剪掉的活动，说明理由。

【导入建议】两者要求一致，只不过裁剪的活动对象不同而已。