如何基于ISO26262导入ISO21434：总体安全管理篇（一）

前言：ISO26262，作为汽车行业的功能安全标准，已经在汽车行业应用10年有余。ISO21434作为汽车行业产品信息安全标准，虽然尚未正式发布，但是已经有很多家OEM和供应商开始关注，并在产品开发中实施。ISO21434以ISO26262为框架，两个标准相似度很高，本文对两者进行对比，并对如何基于ISO26262的组织级的总体功能安全管理流程的基础上，导入ISO21434给出建议。

1.   Safety Culture / Cybersecurity Culture

1.1   安全文化

· ISO26262要求: 组织应该创立、培育并保持一种安全文化，以支持和鼓励有效地实施功能安全。

·ISO21434要求：组织应培育并保持一种安全文化。组织应定义安全策略，其中包括承认存在汽车信息安全风险，管理层承诺管理相应的信息安全带来的风险。

【导入建议】在现有功能安全文化的基础上，修改为信息安全文化。在ISO26262-2附录B和ISO21434附录B中给出了好的安全文化的示例，两者内容几乎一样，只不过一个是强调functional safety，一个强调cybersecurity。以下表格中，黑色字体的内容是一样的，蓝色字体代表不同点。

华菱咨询成立于2001年，是长三角，珠三角、京津冀和西南地区具有影响力的咨询机构。专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、深圳、杭州、、江西、西安设立了分支机构。经过20多年的发展，现已成为江苏省咨询协会理事单位、苏州工商联咨询协会理事单位、北京企业管理咨询协会会员单位、上海认证协会会员单位、上海咨询协会会员单位、广东省咨询协会会员单位；同时也被评为江苏省和广东省优秀管理咨询机构。