ISO21434认证之如何通过 ISO/SAE21434标准认证
目录
ISO21434认证之如何通过 ISO/SAE21434标准认证 纳兰企管专业提供 欢迎来电咨询
下列两种情况:
a) 你已经熟悉即将到来的 ISO/SAE 21434标准标准。你已经在特别寻找网络安全风险评估,由 ISO/SAE 21434标准,以发现和评估产品特定的网络安全风险和威胁(参见。第八条风险评估方法 )?
或者
b) 你才刚刚开始处理 ISO/SAE 21434标准,你的首要任务是了解如何从网络安全的角度评估产品的安全性?
目前,汽车行业的许多参与者都在不同程度上倾向于这一选择b) 一
资产,即每个价值链上的实际产品,是当前应对未来的最重要原因ISO/SAE 21434道路车辆-网络安全工程 .
背后的原因是:缺乏安全的产品会导致缺乏客户关系、没有收入、没有组织。在此之后,产品就成为了起点。之后再考虑组织、过程和方法。
因此,似乎可以理解的是,产品(或创造价值的实际资产本身)似乎是处理这些问题的主要切入点 ISO/SAE 21434标准 .
为此,必须明确:是的,产品本身起着关键作用。 ISO/SAE 21434标准尤其是风险评估是用来确保产品安全的。但公司开始意识到 ISO/SAE 21434标准不仅关系到产品,还关系到项目和整个组织。这种理解很重要:这不仅仅是关于产品。你可能听说过 第155号UNECE法规(简称:UNR 155)不仅包括产品,还包括产品开发和组织。
现在的问题出现了,当前的情况是关于 ISO/SAE 21434标准作为关于 第155号UNECE法规看起来像
在这篇博客中,我们将尝试解决标准以及规章制度以一种简单的方式与组织和产品开发及其相互依赖性有关。
简要旁注:标准和法规之间的区别是什么?
标准通常是行业设计的参考点它本身在国际标准化组织(ISO)等权威机构的控制下。
标准被认为是最先进的参考标准。
例如,ISO/SAE 21434道路车辆-网络安全工程提供汽车行业开发网络安全产品的需求和建议框架。
ISO/SAE 21434标准不提供任何解决方案的固定建议,而只是一个有目的的抽象框架。请在我们的博客中阅读更多相关信息你好ISO/SAE 21434!汽车行业网络安全的新参考点即将到来
简单地说,只要以ISO标准为参照,就可以在法庭上使用证据,证明某件事情是按照行业标准和工作方式开发的。
规章制度相反,是具有法律约束力官方机构发布的指令,如政府。
在汽车工业和一个注册。没有155,这些是必须遵守的约束性要求,以获得型式认证,从而获得市场准入。不遵守法规可能导致销售禁令在相应的应用领域(如果 UNR 155号已经有60多个国家通过了这项法规)。
这些法规通常使用标准有一个主题的参照点
第155号UNECE法规-汽车网络安全法规
最初成立于车辆制造工作队UNECE WP.29是联合国欧洲经济委员会统一车辆法规的世界论坛。
这里的规定被视为国际车辆制造的“联合国条例”。
最近最重要的法规之一是 第155号UNECE法规关于网络安全和网络安全管理系统车辆的批准。
在这里,UNECE指ISO/SAE 21434道路车辆-网络安全工程类标准。这一点在2020年末发布的解释文件中特别明确,该文件将本法规的要求与ISO/SAE 21434的各种要求联系起来。
换句话说ISO 21434标准行业标准为满足第155号UNECE法规的要求提供了支持。
(以信息安全为例:在这里实现ISO 27k系列会是一回事 欧盟GDPR/DSGVO其他)
UNR 155的两个主要部分:车辆型式认证和CSMS
一方面,UNR 155是关于确保组织水平。这里的目标是:确保网络安全原则在企业的核心及其流程中得到实施。
另一方面,它是关于产品和型式认证. 这里的目标是:确保车辆架构的设计、风险评估和充分安全控制的实施。
这个网络安全管理系统对于确保汽车行业的网络安全组织至关重要。此外,CSMS还为CSMS合规证书即审计和相应的官方认证。
为此目的 VDA公司(德国汽车工业协会)已经发布了一份调查问卷(仍处于草案状态,定稿仍在等待中;红皮书将很快发布),其目的是为审计协议提供一个初步的基础,作为一个初步的检查清单。
在这里,需求被采纳并重新表述成关于如何覆盖csm需求的问题或场景。
CSMS合规证书审核
审计是如何按照 第155号UNECE法规? 这里有两个实体是相关的。首先,官员审批机关(例如联邦交通和数字基础设施部下属的联邦汽车运输管理局),第二,在技术的水平
CSM只是一个关于原始设备制造商的话题?
以下内容适用:原始设备制造商必须证明客户服务管理系统是按照整个的价值链。因此,所有参与者都需要意识到潜在的风险和差距,从1级供应商到n级供应商。这意味着供应商还必须遵守CSMS原则。
必须至少每三年获得CSMS的审计或合规证书。
建立到型式认证的链接:该CSMS认证首先是型式认证的先决条件。然后是与产品相关的附加详细要求。
由于全组织范围内新规则和流程的制定和实施可能非常缓慢,因此建议在早期阶段采取必要步骤。
如何审核ISO 21434?什么时候符合ISO 21434?
当我们谈论ISO合规性时,在这种情况下,解释审计和评估之间的基本区别并非无关紧要:
这个审计检查组织符合ISO 21434。
这个评估检查项目特定流程及其技术实现。
不管事实上 ISO/SAE 21434标准还在里面国际标准草案,已经有ISO/SAE 21434审核标准指南草案。
这些指南是ISO PAS 5112标准,目前还没有定稿
(CYRES Consulting是DIN工作委员会的一部分ISO PAS 5112道路车辆-网络安全工程审核指南。 )
审核的目标是组织,以及ISO/SAE 21434条款规定的所有必要过程。
(此外,ISO PAS 5112标准跟随ISO 19011标准,国际审计管理体系标准。)
在验证是否符合ISO/SAE 21434时,可考虑(此时)以下情况进行检查:
在(非正式)预备性预审计中,检查自己是否以及如何已经符合识别潜在差距的目的。
确保与供应商达成一致。
以官方审核和国家认证机构认证的形式进行独立审查,以获得认证(请注意:目前还没有关于具体可能性的官方信息。)
无论如何,将来的一个可能的方法是通过与国家权威机构认可的第三方进行审计来获得认证。在德国,这将是总部设在柏林的国家认证机构DAkkS。审核员将根据ISO PAS 5112的原则和指南以及ISO/SAE 21434进行审计。
审计可以是执行由第三方认证机构授权并能够正确审核ISO PAS 5112指南和ISO/SAE 21434要求。
ISO PAS 5112何时发布?
当前计划是ISO PAS 5112标准与最终版本同时发布 ISO/SAE 21434标准标准(由于目前的Covid-19危机,可能会进一步推迟,我们会随时向您通报最新情况。)
ISO 21434的实用提示:现在就使用差距分析作为预审核!
为了给予足够的资源来全面遵守 ISO/SAE 21434标准(当然还有UNR 155)在早期阶段,建议处理以下问题:我们在哪里目前站起来?
关于应用的开发项目和组织结构的状态如何ISO 21434标准? 在早期阶段系统地进行审计,以确定潜在的差距。
这也是为未来网络安全认证做好准备的重要一步。
纳兰企管提供专业ISO21434认证咨询 欢迎来电咨询 直线电话18115506012
