ISO 21434网络安全计划

制定网络安全计划是项目网络安全开发前期一项重要的工作，有以下几个要点：

识别网络安全开发范围：

通过分析识别出整车中与网络安全相关的组件，

区分新开发组件和复用组件，并分析判断是否需要对安全活动进行裁剪。

对于网络安全相关项的判断，21434中给出了一个参考方法：

制定网络安全计划：根据本文档的规定和裁剪原则，确定项目中需实施的网络安全活动，以及各项活动的目的、负责人、所需的资源、开始和结束的时间点以及持续时间、与其它活动或信息的关联、要输出的工作产品。同时还要确定由谁来制定和维护该计划，谁来跟踪计划中安全活动的实施进展。与项目计划匹配：网络安全计划主要规定概念阶段和产品开发阶段要求的网络安全活动，它应包含在项目计划中，与开发计划相匹配。

实施证据的管理：网络安全计划及其相关工作产品需持续维护和更新，并进行配置管理和文档管理，直至后开发释放。这对于后续形成网络安全案例，进行网络安全评估和后开发释放有重要的意义。

裁剪（Tailoring）

在21434中允许对网络安全活动进行必要的裁剪，在裁剪前必须进行充分的分析和评审，并提供相应的证据，以证明裁剪后仍然可以充分实现21434中要求网络安全的目标。在标准中规定了4种可进行裁剪的情况，分别是复用、独立组件、现成组件和更新，在这4种情况下，需根据标准中的要求和建议进行裁剪。

复用（Reuse）

件复用在整车研发中十分的常见，即使复用的组件已按照网络安全的要求开发，但是由于复用时组件的变更，运行环境、配置信息等的变化，以及攻击技术的不断发展，新漏洞的发现，仍然需要对其进行必要的分析，实施相应的网络安全活动。在以下几种情况下，需要进行复用的分析：

复用组件发生了修改（包括设计和实施上的修改）

组件在另一个运行环境中复用

不加修改地复用，但相关项或组件的信息发生变化（如已知攻击、漏洞和威胁场景的变化）

以上几乎涵盖了实际开发中95%的情况，因此可以说复用的组件都必须进行复用分析。

华菱咨询成立至今，我们的咨询师团队已经为5000多家企事业单位提供各项咨询及培训服务，并获得了客户及业界的一致好评，欢迎您选择、体验华菱咨询的优质服务。

经过20多年的发展与实践沉淀，华菱咨询将利用深厚的行业知识，帮助客户把握新机遇，评估和管理风险，以实现负责任的增长。华菱咨询高绩效的跨学科团队可帮助客户满足监管要求，确保客户及时了解信息并满足利益相关者的需求。华菱咨询将为客户提供全面的端到端的服务，利用技术的进步真正推动业务的发展。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。