基于ISO26262导入ISO21434：项目安全管理篇（一）

前言：ISO26262，作为汽车行业的功能安全标准，已经在汽车行业应用10年有余。ISO21434作为汽车行业产品信息安全标准，于2021年8月底正式发布，引起了很多家OEM和供应商强烈关注。ISO21434以ISO26262为框架，两个标准相似度很高，本文对两者进行对比，并对如何基于ISO26262的项目功能安全管理的基础上，导入ISO21434给出建议。 

1. Role and Responsibilities

·ISO26262要求：项目中，项目经理应确保组织提供了从事功能安全活动所需的资源。需要确保项目中，指派了功能安全经理。

·ISO21434要求：项目中，应该明确信息安全活动的人员职责，并告知相关人员。

【导入建议】这部分，两个标准的要求，基本一样的。实际项目操作中，组建项目团队，明确每个人在项目中的工作职责。

2. Impact Analysis at item level

ISO26262要求：

·项目启动时，要在item层面进行影响分析，确定是全新开发还是基于现有的item进行改动；

·如果是基于现有的item进行改动，需要进行影响分析改动对于功能安全的影响，明确哪些安全活动受到影响；

ISO21434要求：针对复用的item，需要进行复用分析，分析改动对于信息安全的影响，包括对于安全声明和复用的item假定的确认。

【导入建议】这部分，两个标准思路基本一样。可以基于现有的功能安全impact analysis的模板，修改影响分析部分为对于信息安全活动和工作产出物的影响，分析改动对于信息安全的影响时，还要包括对于安全声明和复用的item假设的确认。另外，需要提醒，识别item变化时，除了考虑item本身的改动，还需要特别关注item运行环境的变化。