欧盟信息安全法规ISO 21434中文解读.pdf

本文件的目的 ===================================================================== 本文件阐述了道路车辆电气和电子（E/E）系统工程中的网络安全观点。 通过确保适当考虑网络安全，本文件旨在使电子/电子系统工程跟上不断变化的技术和攻击方法。 本文档提供词汇、目标、要求和指南作为共同理解的基础。 整个供应链。这使组织能够： -定义网络安全政策和流程； -管理网络安全风险 -培育网络安全文化。 本文件可用于实施网络安全管理系统，包括网络安全风险管理符合ISO31000。本文件旨在取代 SAEJ3061推荐规程。 +++++++++++++++++++++++++++++++++++++++++++++++++++ 本文件的组织 ==================================================================== 图1给出了文档结构的概述。图 1的元素没有规定执行 各个主题的顺序。 第5条和第6条（网络安全管理）包括实施组织网络安全政策、规则和流程，以便进行全面的 网络安全管理和依赖于项目的网络安全管理。 第7条（持续的网络安全活动）定义了为持续的风险评估提供信息的活动以及E/E系统的脆弱 性管理，直至支持结束。 第8条（风险评估方法）定义了确定网络安全风险程度的方法。 第9条（概念阶段）定义了项目和相关资产，提供了网络安全风险确定，以及定义网络安全目 标。 第10条（产品开发）定义了网络安全规范，实施并验证了网络安全特定于项目或组件的要求。 第11条（网络安全验证）描述了车辆级项目的网络安全验证。 第12条（生产）规定了产品制造、装配和/或校准的网络安全相关方面或组件。 第13条（运营和维护）规定了与网络安全事件响应和更新相关的活动一个项目或组件。 第14条（退役）包括与项目退役或组件。 第15条（分布式活动）包括对供应商管理的要求。 范围 本文件规定了有关道路车辆电气和电子 （E/E）概念、开发、生产、操作、维护和退役工程的网 络安全风险管理要求系统，包括其组件和接口。 定义了一个框架，其中包括对网络安全过程的要求和沟通和管理网络安全风险。 本文件适用于批量生产的道路车辆E/E系统，包括其组件和接口在文件出版后开始发展或修改 的。 本文件未规定与网络安全相关的具体技术或解决方案。 规范性引用文件 以下文件在正文中的引用方式应使其部分或全部内容构成本文件的要求。 凡是注日期的引用文件，只有引用的版本适用。凡是不注日期的引用文件，其必威体育精装版版本（包括 任何修改件）适用。 ISO31000，风险管理-指南 ISO26262-3:2018，道路车辆-功能安全-第3部分：概念阶段 脆弱性的系统识别和评估 图2-网络安全相关项目或组件的需求生成 网络安全风险并不是在车辆层面上的总和。如果执行本文件中所述的项目和部件级活动，则解 决不合理的车辆网络安全风险。 第8条描述了分析和评估网络安全风险的模块化方法，这些方法在其他条款描述的网络安全活 动中被调用。 纵深防御方法可用于缓解威胁情景和风险。 纵深防御方法利用网络安全措施的层次来提高物品或车辆的网络安全。 如果一个攻击能够穿透或绕过一个层，另一个网络安全层可以帮助遏制该攻击并继续保持足够 的程度网络安全。 网络安全管理应用于整个供应链，以支持网络安全工程。 本文件中的每个条款都有自己的目标、要求和工作成果。工作产品是一个或多个相关需求的记 录结果。 所有网络安全活动和工作摘要产品见附件A。 本文件附件均为资料性附录，用于向 文档有几个原因，例如： -当信息或表格很长时； -区分特殊类型的信息； -提供有关文件特定应用的信息。 注释用于提供旨在帮助理解或使用文档文本的附加信息。示例说明了文档中提出的概念。 1.SCOPE 本文件规定了有关概念工程的网络安全风险管理要求，道路车辆电气和电子 （E/E）的开发、生 产、操作、维护和退役系统，包括其组件和接口。 定义了一个框架，其中包括对网络安全过程的要求和沟通和管理网络安全风险。 本文件适用于批量生产的道路车辆E/E系统，包括其组件和接口在文件出版后开始发展或修改 的。 本文件未规定与网络安全相关的具体技术或解决方案。 2。规范性引用文件 下列文件在正文中的提及方式应使其部分或全部内容构成本文件要求。凡是注日期的引用文件， 只有引用的版本适用。对于未注明日期的参考文件，必威体育精装版的引用文件的版本（包括任何修订） 适用。 ISO31000，风险管理-指南 ISO26262-3:2018，道路车辆