ISO/SAE 21434是联合国网络安全法规UN R155的关键支撑标准。该标准于2021年8月31日正式发布,定义了汽车电子电气 系统的网络安全风险管理要求,覆盖概念、开发、生产、运维、报废等全生命周期各个阶段。符合ISO/SAE 21434标准可以帮助汽车制造商和零部件供应商满足全球汽车网络安全管理法规要求。
随着车辆的网联与自动驾驶性能逐步升级,车辆开发过程中有效控制网络干扰和攻击的需求也迫在眉睫,由此,一项新的国际标准ISO/SAE 21434(道路车辆-汽车网络安全工程)应运而生。
ISO 21434 的诞生背景
在智能网联和自动驾驶相关功能引入到汽车领域之前,功能安全工程一直是重中之重。因此,功能安全方法和过程也是汽车行业标准和发展的关键部分。如今,随着各种智能网联汽车和自动驾驶汽车的出现,汽车连接性功能、车辆维护和交通安全信息共享等变得越来越普及,同时也增加了不同动机的黑客攻击车辆的可能性,从而给汽车网络安全带来了新的风险。
考虑到汽车网络安全所面临的新挑战,相关从业者们需要努力通过新的工程方法和特殊技术手段来应对车辆整个生命周期中出现的威胁、风险管理、安全设计、意识和汽车网络安全问题。因此,安全可靠的智能网联汽车的生产和设计已成为行业焦点。在解决汽车网络安全的问题上,尽管可以借鉴其他领域的经验,但是,汽车行业所面临的”专属挑战“仍不可避免。
于是,汽车行业意识到需要通过特定的行业标准来解决汽车网络安全问题并保护个人资产。国际标准化组织(ISO)/美国汽车工程师学会(SAE)近期联合起草发布了“ ISO / SAE DIS 21434道路车辆-汽车网络安全工程”国际规范。从汽车行业的角度来看,该标准就产品开发和整个供应链设计的安全性方面达成了共识。
ISO/SAE 21434 的章节介绍
4 概述(Gerneral consideration):包含采用的道路车辆网络安全工程方法的背景和总体信息。
5 组织级网络安全管理(Organization cybersecurity management):规定了公司/组织层面网络安全管理的要求,是组织内部最高层面的安全方针。
6 基于项目的网络安全管理(Project dependent cybersecurity management):包含项目层级的网络安全活动和管理要求。描述了普适性的针对项目网络安全活动的管理原则。包括各项活动的职责分配,制定网络安全活动计划,裁剪原则,以及网络安全案例和网络安全评估、后开发阶段释放的要求。
7 分布式网络安全活动(Distrubuted cybersecurity activities):包含客户与供应商之间网络安全活动的职责确认的要求。规定了分布式开发中的网络安全活动,可以理解为在网络安全角度如何进行供应商管理。21434是一份面对整个汽车行业的指导标准,因此对供应商管理要求的适用范围不仅限于OEM,同时也适用于Tier 1, Tier 2等供应链上各环节的企业和组织,此外,组织的内部供应商也需要遵循本章要求。
8 持续的网络安全活动(Continual cybersecurity activities):包含对项目生命周期中,需持续实施的风险分析和E/E系统的漏洞管理活动的要求。车辆网络安全工程是一项贯穿产品全生命周期的持续性的活动,OEM不仅要进行TARA分析、安全概念设计、网络安全开发测试和生产,还要在项目的全生命周期中,持续地收集和监控与项目有关的网络安全信息,建立信息监控和漏洞管理机制,持续地保证产品的网络安全。新漏洞的发现、网络安全突发事件的发生、新攻击技术的出现等都有可能触发相应的网络安全工作。
9 网络安全概念(Concept):描述了概念设计阶段的网络安全活动和相关要求。主要工作是定义网络安全相关项,并通过TARA分析,确定网络安全目标,产生相应的网络安全概念。
10 网络安全产品设计开发(Product development):描述了产品开发设计阶段的网络安全活动和相关要求。在产品开发阶段,应根据网络安全概念,制定详细的网络安全技术规范,并将需求逐层分解到下游的子系统、零部件层,完成相应的架构设计和详细设计。在V模型右端,进行集成和符合性测试,以保证相关的组件、系统符合V模型左端对应的网络安全设计规范。
11 网络安全确认(Cybersecurity validation):描述了验证阶段的网络安全活动和相关要求。在该阶段,确认活动的对象是整车,并且是符合量产状态的整车,去确认所开发的产品是否满足网络安全的目标。通过渗透测试及专家评审等方式进行网络安全确认,输出一份网络安全确认报告。
12 生产(Production):描述了生产阶段的网络安全活动和相关要求,生产的范围包含了零部件、系统、整车的生产和装配,包含在OEM,供应的工厂的生产活动。
13 运维(Operation and maintenance):描述了后期运维阶段的网络安全活动和相关要求。运维阶段的活动有两个:网络安全事件响应和更新。
14 结束网络安全支持及报废(End of cybersecurity support and decommissioning):描述了结束网络安全支持和报废阶段的网络安全活动和相关要求。应建立一个机制,在组织决定停止对该项目或组件的网络安全支持时向客户通报。对于报废,则要求在制定后开发阶段的网络安全要求时应考虑报废的影响。
15 威胁分析和风险评估方法(Threat analysis and risk assessment methods):提供了一套网络安全威胁分析、风险评估及处置的方法论。描述了确定道路使用者受威胁情景影响程度的方法,这些方法从受影响的道路使用者的角度进行,被统称为威胁分析和风险评估(TARA)。
企业面临着越来越多的风险和挑战。ISO21434认证标准正是在这样的背景下应运而生,为企业提供了一套有效的风险管理方法,
VIEW MORE →ISO/SAE 21434标准,全称为“Road vehicles – Cybersecurity engineerin
VIEW MORE →ISO体系认证是国际标准化组织制定的管理体系标准系列之一,包括质量管理体系(ISO 9001)、环境管理体系(ISO
VIEW MORE →ISO证书办理的条件,1.具备独立的法人资格或经独立的法人授权的组织;2.企业成立满6个月;3.认证范围有相应要求的资质
VIEW MORE →ISO9001认证的对象是企业的质量体系,评估侧重于运营流程。这鼓励组织提高产品和服务的质量,有助于减少浪费和客户投诉
VIEW MORE →IATF16949全称汽车行业质量管理体系认证,IATF16949是国际汽车行业的技术规范,是基于ISO9001的基础,
VIEW MORE →全国统一客户服务热线
If you have any question,feel free to contact us深圳总公司地址:深圳市罗湖区黄贝街道深南东路文华大厦21F
四川分公司地址:成都市锦江区锦东路
上海分公司地址:上海市奉贤区肖塘路
江西分公司地址:江西省南昌市南昌高新技术产业开发区昌东镇日新村商业街5号楼三楼
湖南分公司地址:湖南省长沙市雨花区劳动西路528号现代华都家园综合楼26楼
网址:www.i16949.com 微信公众号:16949
客服QQ:395601381 客服电话:400 128 6881
联系电话:13510000845 邬小姐 15982596811李小姐 18925449988 吴先生 13426595559 陈先生
邮箱:16949@88.com
Copyright©深圳博凌管理技术有限公司 all rights reserved 备案号:粤ICP备19062690号 技术支持:顾佰特科技
16949认证_IATF16949培训_ISO9001快速拿证_ISO13485认证辅导_APQP/FMEA培训_ISO辅导_医疗体系辅导_汽车体系辅导