ISO21434网络安全职责界定

在完成供应商定点后，需识别客户和供应商各自执行的网络安全活动，通过签署《网络安全接口协议》确定双方的职责。在后续的分布式开发活动中，双方根据接口协议完成各自的安全活动，以下是21434提供的一个《网络安全接口协议》模板：

可以看出，接口协议的作用是确定21434中规定的各项网络安全活动客户和供应商分别充当什么角色。这个协议由双方协商确认，例如，零件的TARA由供应商来做，客户进行审批，那么威胁分析和风险评估这项，供应商勾选R（Responsible), 客户勾选A（accountable)。

除了接口协议，客户与供应商的接口还需要规定好：

双方的接口联络人

信息共享的策略（包括信息共享的流程、工具，漏洞披露的流程等）

安全活动的目标里程碑

漏洞和风险的反馈机制和网络安全事件的处理机制。

小结

网络安全相关的标准和政策到目前为止出台仅一年多的时间，各大整车厂、Tier的安全能力建设都还在起步阶段，因此在初期对于供应商的能力评估更多还是基于裁剪给过的体系要求，等到行业水平达到一定程度，相关的认证、审核机制日益成熟，可能会发展成与ASPICE或16949类似相对标准的评估模式。对于定点后的供应商管理，主要基于网络安全接口协议，要求供应商提供零件从TARA，安全方案设计到测试、生产整个完整逻辑链的实施证据。

持续的网络安全活动。

华菱咨询位于中国长三角、珠三角、京津冀和西南地区地区，成立于 2001 年,专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、杭州、广州、深圳、合肥、江西、西安设立了分支机构。

经过20多年的发展与实践沉淀，华菱咨询将利用深厚的行业知识，帮助客户把握新机遇，评估和管理风险，以实现负责任的增长。华菱咨询高绩效的跨学科团队可帮助客户满足监管要求，确保客户及时了解信息并满足利益相关者的需求。华菱咨询将为客户提供全面的端到端的服务，利用技术的进步真正推动业务的发展。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。