如何基于ISO26262导入ISO21434：总体安全管理篇（二）

1.2  流程体系

·ISO26262要求：组织应建立、执行并维护专门的流程体系，并持续改进。 ·ISO21434要求：组织应建立和维护信息安全的规则和流程，并持续改进。 【导入建议】参照组织级的功能安全流程体系，建立信息安全流程体系。参考本系列文章中具体每部分的建议。

1.3  沟通机制

·ISO26262要求：组织应建立功能安全领域、信息安全、及与其他领域间的有效沟通机制。 ·ISO21434要求：组织应识别与信息安全相关的领域，并建立和维护各领域之间的沟通渠道。 【导入建议】根据公司组织架构，识别出组织内部会参与到信息安全活动的团队或和信息安全活动相关的团队，考虑团队之间沟通方式。比如针对信息安全core team，可以从以下三个方面考虑： ·core team与外部沟通（与第三方认证公司沟通、与潜在客户沟通、参加标准起草、研讨会等） ·core team与其它团队（QA、功能安全部门、法务部、生产部等）的横向沟通 ·core team与其它团队的纵向沟通，比如与项目信息安全经理的沟通（给项目信息安全经理提供技术支持，并对项目信息安全经理的工作产出物进行评审） 关于功能安全和信息安全之间的交互，可以参考ISO26262-2附录E：Guidance on potential interaction of functional safety with cybersecurity。 

1.4  资源管理

·ISO26262要求：组织应提供实施功能安全所需的资源（比如：人力资源、工具、数据库、作业指南等），并对实施功能安全的人员充分授权。 ·ISO21434要求：组织应分配信息安全职责和相应的授权；组织应提供资源以实施信息安全。 【导入建议】参考组织现有的功能安全资源管理做法，对信息安全所需的资源进行管理： ·在现有的工具列表中，加入信息安全所需的工具，并进行管理。E.g., 渗透测试的工具、代码漏洞扫描的工具等。 ·搭建组织级信息安全组织架构和角色定义，至少包括：信息安全核心团队、信息安全经理、信息安全工程师等。 ·制订每个信息安全角色的职责，根据职责，给予充分授权。比如对信息安全经理，有调配人力资源的权力，在产品发布时，有一票否决权。 ·其它资源（e.g. 数据库、作业指南），放在公司流程体系中管理维护。   华菱咨询成立于2001年，是长三角，珠三角、京津冀和西南地区具有影响力的咨询机构。专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、深圳、杭州、、江西、西安设立了分支机构。经过20多年的发展，现已成为江苏省咨询协会理事单位、苏州工商联咨询协会理事单位、北京企业管理咨询协会会员单位、上海认证协会会员单位、上海咨询协会会员单位、广东省咨询协会会员单位；同时也被评为江苏省和广东省优秀管理咨询机构。