艾索科技歷年致力於車輛工程解決方案、CAE 模擬分析、可靠度分析、數據分析、ChatAI 機器人分析與開發。近年來在產業界深深體認、產業界朋友對於國際標準ISO知識、普遍涉略不足,所以乘著ISO 21434 於2021年8月31日正式發布為國際標準後,艾索科技即加入面對 ISO/SAE 21434 道路車輛網路安全工程問題、並提出解決方案。
認證,必需要找到對的人,用對方法,輔助您完成任務。
國際組織執行國際標準認證是一件吃力不討好的工作,既要提升國際技術標準還要倚賴有限認證資源自食其力維護其生存。
如果您是大企業,事實上成立專責部門以解決各部門間聯繫,確有其必要,否則龐大產品,無止境的外包費用會得不償失。
如果您非大企業,就不會有累積外包金額無止境現象,只要您的原廠認可,外包顧問是可行方式之一。
如果您是個人在大企業工作,假設企業內沒有留存過去申請案例範本,又沒有資深人員可供諮詢,個人認證就是一種選擇。
如果您想知道獲得個人認證有什麼好處,首先告訴您,企業認證都是走B to B管道所以企業商機與您個人認證無關。
如果您未來想當顧問,那麼你就必需從認證原廠員工做起,認證不花錢,B to B經驗又有,表格範本齊全,解決方案案例又夠。
網路安全會有兩大重點:法條+合規+認證為其一、實務上完成網路安全是其二,就像考上駕照代表您合法,能平安上路更為重要。
艾索科技走的是工程技術,雖然熟悉條文但不介入認證,艾索科技僅服務網路安全工程解決方案與網路安全工具軟體服務。
介紹到這裡,相信各位已經認識行業:如果企業需要認證,您就會找到對的人,用對方法,輔助您圓滿完成認證任務。
認識道路車輛網路安全工程 ISO/SAE 21434 15章節要旨
開宗明義講明 ISO/SAE 21434 就是:道路車輛網路安全工程要求。
21434 旨在導引不斷更新 Electrical/Electronic Architecture 工程技術及更新攻擊手法。
21434 提供:定義網路安全政策和流程、管理風險、及培育出網路安全文化、證明勇於面對網路安全。
21434 表明適用範圍包括供應鏈在內,的生產道路車輛 Electrical/Electronic Architecture 系統者。
21434 9~14章節分為四個階段:(概念階段)(產品開發階段)(網路安全驗證階段) (後開發階段)
21434 規定名詞定義:要求、建議、允許、工作產品(RQ、RC、PM、WP)=類似交通號誌:禁止、限制、警告等
21434 建議優質網路安全管理文化,包括預算、計畫、招聘、優先度、定義的主導性可追塑及升級流程。
21434 指引您:網路不安全雖然源起於(共享),但是防堵網路漏洞及威脅,(這又需要共享資安資訊的政策及程序)。
21434 指引您:如何管理組織的建立並保持品質管理體系。
21434 需要您深切瞭解並熟悉 ISMS(ISO 27001)
21434 需要資訊安全管理。
21434 指引您:在專責部門裡如何做出網路安全審計報告,在評估報告中需提出論證及證據。
您必需在 WP 項目下組織網路安全管理的工作。
214343 指引您:在網路安全管理項目下逐條實施。
WP5、WP6 – 網路安全項目包括:責任、規劃、量身訂製、審計、案例、評估、認證發佈。
21434 指引您:在OEM、Tier-1、Tier2、如何建立 CIA 介面銜接。
21434 責任指引:CIA 應在分佈式活動開始時在客戶和供應商之間結束(有關漏洞管理的行動應由客戶和供應商商定)
21434 指引您:執行RASIC責任、批准、支援、通報、諮詢,並給提出(基本範例表格)
21434 指引您,在WP7 – 分析網路安全活動項目包括:網路安全監控 / 事件評估、漏洞分析 / 管理。
21434 指引您,在WP8 – 分析網路安全活動的持續執行。
威脅分析和風險評估方法:資產識別 / 威脅情景識別 / 影響等級 / 攻擊路徑分析 / 攻擊可行性評級 / 風險值確定 / 風險處理決策
21434 指引您, 完成WP15-分析分佈式網路安全活動
ISO/SAE 21434 概念階段 / 產品開發階段 / 網路安全驗證階段 / 後開發階段
在WP9- 會指引您概念階段
項目定義:項目描述 / 運行環境 / 確定約束和合規性需求 / 識別關於項目和項目操作環境的假設 / 邊界 / 功能說明 / 範例介紹
概念階段:項目定義 / 一般互動 / 網路安全保證等級 / 風險處理 / 網路安全概念 / 威脅分析範例 / 攻擊可行性評級範例 / 概念階段:網路安全風險和目標範例 / 迴避範例 / 網路安全概念驗證 / 網路安全概念驗證報告
在WP10- 會指引您產品開發階段
產品開發階段:設計 / 集成與驗證 / 網路安全規範 / 網路安全規範範例 / 62443-4-2 的網路安全規範範例 / 後期開發的網路安全要求 / 網路安全規範和架構 / 建築設計 / 弱點識別 / 軟體開發的具體要求 / 網路安全規範驗證 / 集成與驗證 / 集成與驗證規範 / 系統級開發集成與驗證 / 網路安全測試 / 集成驗證
在WP11- 會指引您網路安全驗證階段
在WP12- 會指引您網路後開發階段:生產控制計劃 / 運營和維護 / 網路安全事件響應資訊 / 生產開始後的事件響應
在WP13- 會指引您網路後開發階段:網路安全事件響應計畫
在WP14- 會指引您傳達網路安全支援結束和退役的程序
附註:UN/ECE-R 155 / 基礎 / 活動 / 適用車輛類型
附註:過渡條款 / 網路安全管理系統要求 / 車型要求 / 報告條款 / UN ECE R155 摘要
取得認證後,實物上更需要實時監控與掃描弱點
在您的機構取得認證後,若需網路工程實時監控風險及掃描弱點,增強網路安全,請洽艾索科技。