隨著車輛智能網聯與自動駕駛性能的逐步升級,車輛在開發過程中如何有效防范網絡攻擊���,避免數據泄露�,精準降低網絡安全風險的需求也迫在眉睫。本次博凌管理給大家解答下網絡安全標準ISO21434的一些常見問題�����,供大家參考���!
01�、什么是ISO 21434�?
ISO是指國際標準化組織(International organization for Standardization),該組織制定了許多國際標準�,例如ISO 9001質量管理體系和ISO 26262道路車輛功能安全系列標準等。
ISO/SAE 21434《道路車輛-網絡安全工程》�,是汽車行業的新標準,它旨在通過確保適當考慮網絡安全���,使車輛電子電氣系統工程可以應對最先進的技術和不斷進化的攻擊手段。該標準提供了車輛網絡安全相關的術語�、目標、需求和指導�����,以定義網絡安全方針及流程���、管理網絡安全風險以及促進網絡安全文化�,可以用于實施包括網絡安全危害管理在內的網絡安全管理系統。該標準于2021年8月31日正式發布�����,覆蓋管理���、活動�����、概念�、開發�、生產、運維�����、報廢等全生命周期各個階段�。
02、為什么要做ISO 21434�?
2021年發布的《數據安全法》、《個人信息保護法》與2017年發布的《網絡安全法》,共同構成了我國數據安全立法‘三駕馬車’�����,該法律的出臺意味著我國數據安全領域的框架已構建完善�,并為我國整體的數據安全建立了一道堅實的“防火墻”。
但隨著汽車行業網聯化�����、智能化的發展�,網絡攻擊所帶來的危害有增無減。攻擊的形式也呈現地更加多樣化和多場景化�����,而目前的安全標準不足以涵蓋這類風險���,主機廠無法保證車輛在鏈接網絡后不會帶來不可預知的風險���,因此需要制定新的指南和標準。
ISO 21434是一個單一標準�,它旨在提供一個結構化流程�����,以確保在汽車產品的整個生命周期內都考慮到網絡安全問題,保護車輛免受所有類型的網絡攻擊���。該標準要求汽車制造商和供應商在實施網絡安全工程時盡職盡責�����,并將網絡安全管理應用于整個供應鏈以支持其實施�����。
03���、ISO 21434標準的重要性?
ISO/SAE 21434被認為是汽車網絡安全行業的一個里程碑�。它通過結構化流程與汽車網絡安全相關的每項活動的起點,以確保網絡安全納入道路車輛的設計�����,包括系統�����、組件、軟件以及任何外部設備或網絡的連接���。
ISO/SAE 21434被視為世界各地網絡安全專業人員和產品開發人員的重要工具�,它規定了生產自動駕駛汽車(Automotive Vehicles)的汽車供應商的必要標準���,遵守并符合ISO/SAE 21434標準可以幫助汽車制造商和零部件供應商滿足全球汽車網絡安全管理法規要求�。
04���、什么樣的企業需要做ISO 21434�����?
ISO 21434適用于所有車載電子電氣系統的企業�����,包括汽車制造商�����、系統供應商���、第三方軟件和電子元器件供應商等�,因為它涉及到從設計�����、開發�����、測試到維護和升級的全生命周期�。
05�、ISO 21434是強制標準嗎?
ISO 21434標準不是強制標準���,但是它已經得到了汽車行業的廣泛認可和接受�。許多汽車制造商和供應商已經開始采用ISO 21434標準���,并將其作為其汽車網絡安全的基礎�����。沒有網絡安全�、數據安全環境的企業定不會受到消費者的青睞�。
除此之外�����,GB 42250-2022《信息安全技術 網絡安全專用產品安全技術要求》于2023年7月1日上線�,是針對所有網絡安全專用產品和其提供者均需滿足的基礎線要求���。由此可見�,網絡國家對于網絡安全的重視也會只增不減���。
06�、實施ISO 21434的六個步驟�?
Step1:評審或分析現有流程環境
針對現有的流程環境進行差距分析,大多數企業存在的問題在于遵守ISO 21434�����,卻并沒有遵循ISO 26262或者ASPICE���,但遵循ASPICE是流程環境的基本組成部分�����,如果不能遵守基礎法規的話�����,則無法延續后續���。
Step2:確定協同效應
需要確定ISO21434與其他現有流程之間的協同作用。這一步驟不僅可以幫助您優化流程�����,還可以確保能夠將新流程與現有的流程環境進行協調���,從而達到穩定狀態�����。
Step3:定義網絡安全的階段
這一步是定義項目執行或整個企業的網絡安全階段�����。這是執行部分�����,您必須定義階段�����,并通過徹底解釋網絡安全流程的工作原理來進行詳細說明�����。
Step4:啟動網絡安全試點項目
這一步是在第三步的基礎上進行的�,是實施第三步的定義網絡安全的階段。
Step5:內部評審
在第4步啟動網絡安全試點項目后�����,您將根據相應節點進行內部評審���。
Step6:與網絡安全的接口
定義網絡安全流程與其他流程(如FuSa流程���、軟件團隊、硬件團隊�、系統團隊等)之間的接口。網絡安全是一個整體過程�����,除了機器外還需針對編寫代碼的軟件工程師、硬件工程師�、系統工程師和所有人進行培訓。如果您能夠定義接口并對其進行整體培訓�����,這肯定會有所幫助���。
全國免費服務熱線400-128-6881
當前位置:當前位置:
微信公眾號
手機咨詢