ISO/SAE21434 与ASPICE for Cybersecurity 在来源上的区别

1. 适用人员

在标准的适用人员角度来看，ASPICE适合于相关零部件产品的开发团队进行使用，主要包括其中系统工程师，项目管理，软件工程师，测试工程师及各支持人员，而ISO26262相关的使用人员在ASPICE基础上会加入同组织的硬件开发工程师及对应测试，甚至会引入新的角色，如安全经理与安全工程师。另外在该组织之外，ISO26262标准同时需要其OEM的安全团队介入，以识别产品对整车的安全风险及对应导出的安全目标以作为零部件厂家的最高等级的安全需求。

2. 认证角度

ASPICE存在相应的评估模型及背书机构，所以可以进行基于国际标准的及官方要求的正式评估，而ISO26262缺少相应的评估模型，所以当前评估认证没有统一的标准，更多是机构自发性行为。

3. 体系建设

最后，从建设角度而言，ASPICE标准内容更具有普适性，适合各类产品的各类需求开发，ISO26262标准提供了很多的方法论与要求，更多情况是为了产品功能的安全所设计的，比较适合各类产品的安全需求开发。

所以在构建一个能同时满足ASPICE与ISO26262研发体系的时候，通常比较适合使用16949作为项目全生命周期的基本体系，ASPICE作为设计研发的基础过程体系，ISO26262作为额外的特殊要求及方法论进行插入，也就是需要先构建基本功能的研发管理体系，有能力开发正常功能产品后，再将安全需求的额外开发要求与方法论导入进正常的开发体系中，实际工作中，需根据项目特性与产品需求对体系进行选择性部署与裁剪使用。

关于我们

华菱咨询成立于2001年，是长三角，珠三角、京津冀和西南地区具有影响力的咨询机构。专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、深圳、杭州、、江西、西安设立了分支机构。经过20多年的发展，现已成为江苏省咨询协会理事单位、苏州工商联咨询协会理事单位、北京企业管理咨询协会会员单位、上海认证协会会员单位、上海咨询协会会员单位、广东省咨询协会会员单位；同时也被评为江苏省和广东省优秀管理咨询机构。