ISO 21434网络安全评估

在复用分析时，有以下几点需要重点考虑：

确定复用组件修改了哪些地方，或所在环境发生了哪些变化；

分析修改导致的网络安全影响，包括对网络安全声明的有效性和之前的假设的影响；

确定因此受影响或缺失工作产品，比如TARA中新的资产、威胁场景等。

确定复用的组件是否能满足即将被分配到的网络安全需求

独立的组件（Component out of context)

独立的组件通常指供应商开发的通用组件或产品，该组件的开发是基于一个假设的环境，而非基于特定的项目。对于此类组件，21434要求在工作产品中对其预期的用途、环境假设和外部接口进行记录，然后基于以上的假设进行网络安全开发，并对假设和安全声明进行验证。

现成组件（Off-the-shelf Component）

现成组件指在不修改其设计和实现情况下集成到系统中的组件，如第三方的软件，开源软件库等。对于此类组件，21434要求其必须收集其相关的网络安全文档，且相关文档需足以支持本文规定的网络安全活动。同时，该组件还要能满足分配到其上的网络安全需求。

网络安全案例（Cybersecurity case)

网络安全案例是网络安全评估的对象，它是从概念阶段到开发验证和生产运维阶段整条逻辑链上完整的网络安全开发证据，可以通过相应的工作产品加以支持。在形式认证中，认证机构大概率会以网络安全案例为对象，进行相关的审核。

网络安全评估（Cybersecurity Assessment)

网络安全评估的对象是某个相关项或组件，依照本文档的规定评估其网络安全的实施情况，评估可基于工作产品和网络安全活动证据，评估的结果包括接受、带条件接受和拒绝。带条件接受通常会在评估结果中提出整改要求，并会在项目各个阶段对整改项的完成情况进行监控。下图显示了组织网络安全审计，项目网络安全评估和其它网络安全活动之间的关系：

后开发的释放（Realease for Post-Development)

这里所说的后开发的释放，其实就是指开发阶段完成，批准进入到生产阶段，有点类似于网络安全开发的ESO。21434规定在进入生产阶段前，必须提供以下工作产品：

华菱咨询位于中国长三角、珠三角、京津冀和西南地区地区，成立于 2001 年,专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、杭州、广州、深圳、合肥、江西、西安设立了分支机构。

经过20多年的发展与实践沉淀，华菱咨询将利用深厚的行业知识，帮助客户把握新机遇，评估和管理风险，以实现负责任的增长。华菱咨询高绩效的跨学科团队可帮助客户满足监管要求，确保客户及时了解信息并满足利益相关者的需求。华菱咨询将为客户提供全面的端到端的服务，利用技术的进步真正推动业务的发展。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。