基于ISO26262导入ISO21434：产品开发篇（三）

3.4  Cybersecurity Design

细化信息安全概念阶段分配给component的安全需求，进行设计和验证，如下图所示：

说明： ISO21434中没有区分系统、硬件、软件阶段的需求和设计。实际项目中，建议大家按照ISO26262的框架，分为系统、硬件、软件阶段，分别进行需求编写、安全设计和验证等工作。

1）细化后的安全需求，举例如下（需要包括对生产、运维、报废阶段的安全需求）：

2）架构设计过程中，ISO26262推荐了功能安全相关的design principles。ISO21434也有类似的design principles推荐，参考下表：

以上方法的具体解释，参考system security engineering附录F design principles for security. 下载链接：https://doi.org/10.6028/NIST.SP.800-160v1

3）对于软件单元设计，推荐按照信息安全相关的编码规范进行编码，比如针对C语言，需要遵守SEI CERT, C Coding Standard – Rules for developing safe, reliable and secure systems编码规则。下载链接：https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=454220

4）以上设计完成后，需要对设计验证，验证的常用方法，和功能安全类似。比如：Review，analysis，simulation，prototyping等。