漫談 ISO/SAE 21434 認證

艾索科技歷年致力於車輛工程解決方案、CAE 模擬分析、可靠度分析、數據分析、ChatAI  機器人分析與開發。近年來在產業界深深體認、產業界朋友對於國際標準ISO知識、普遍涉略不足,所以乘著ISO 21434 於2021年8月31日正式發布為國際標準後,艾索科技即加入面對 ISO/SAE 21434 道路車輛網路安全工程問題、並提出解決方案。

認證,必需要找到對的人,用對方法,輔助您完成任務。 

國際組織執行國際標準認證是一件吃力不討好的工作,既要提升國際技術標準還要倚賴有限認證資源自食其力維護其生存。

如果您是大企業,事實上成立專責部門以解決各部門間聯繫,確有其必要,否則龐大產品,無止境的外包費用會得不償失。

如果您非大企業,就不會有累積外包金額無止境現象,只要您的原廠認可,外包顧問是可行方式之一。

如果您是個人在大企業工作,假設企業內沒有留存過去申請案例範本,又沒有資深人員可供諮詢,個人認證就是一種選擇。

如果您想知道獲得個人認證有什麼好處,首先告訴您,企業認證都是走B to B管道所以企業商機與您個人認證無關。

如果您未來想當顧問,那麼你就必需從認證原廠員工做起,認證不花錢,B to B經驗又有,表格範本齊全,解決方案案例又夠。

網路安全會有兩大重點:法條+合規+認證為其一、實務上完成網路安全是其二,就像考上駕照代表您合法,能平安上路更為重要。

艾索科技走的是工程技術,雖然熟悉條文但不介入認證,艾索科技僅服務網路安全工程解決方案與網路安全工具軟體服務。

介紹到這裡,相信各位已經認識行業:如果企業需要認證,您就會找到對的人,用對方法,輔助您圓滿完成認證任務。

認識道路車輛網路安全工程 ISO/SAE 21434 15章節要旨

開宗明義講明 ISO/SAE 21434 就是:道路車輛網路安全工程要求

21434 旨在導引不斷更新 Electrical/Electronic Architecture 工程技術及更新攻擊手法。

21434 提供:定義網路安全政策和流程、管理風險、及培育出網路安全文化、證明勇於面對網路安全。

21434 表明適用範圍包括供應鏈在內,的生產道路車輛 Electrical/Electronic Architecture 系統者。

21434 9~14章節分為四個階段:(概念階段)(產品開發階段)(網路安全驗證階段) (後開發階段)

21434 規定名詞定義:要求、建議、允許、工作產品(RQ、RC、PM、WP)=類似交通號誌:禁止、限制、警告等

21434 建議優質網路安全管理文化,包括預算、計畫、招聘、優先度、定義的主導性可追塑及升級流程。

21434 指引您:網路不安全雖然源起於(共享),但是防堵網路漏洞及威脅,(這又需要共享資安資訊的政策及程序)。

21434 指引您:如何管理組織的建立並保持品質管理體系。

21434 需要您深切瞭解並熟悉 ISMS(ISO 27001)

21434 需要資訊安全管理。

21434 指引您:在專責部門裡如何做出網路安全審計報告,在評估報告中需提出論證及證據。

您必需在 WP 項目下組織網路安全管理的工作。

214343 指引您:在網路安全管理項目下逐條實施。

WP5、WP6 – 網路安全項目包括:責任、規劃、量身訂製、審計、案例、評估、認證發佈。

21434 指引您:在OEM、Tier-1、Tier2、如何建立 CIA 介面銜接。

21434 責任指引:CIA 應在分佈式活動開始時在客戶和供應商之間結束(有關漏洞管理的行動應由客戶和供應商商定)

21434 指引您:執行RASIC責任、批准、支援、通報、諮詢,並給提出(基本範例表格)

21434 指引您,在WP7 – 分析網路安全活動項目包括:網路安全監控 / 事件評估、漏洞分析 / 管理。

21434 指引您,在WP8 – 分析網路安全活動的持續執行。

威脅分析和風險評估方法:資產識別 / 威脅情景識別 / 影響等級 / 攻擊路徑分析 / 攻擊可行性評級 / 風險值確定 / 風險處理決策

21434 指引您, 完成WP15-分析分佈式網路安全活動

ISO/SAE 21434 概念階段 / 產品開發階段 / 網路安全驗證階段 / 後開發階段

在WP9- 會指引您概念階段

項目定義:項目描述 / 運行環境 / 確定約束和合規性需求 / 識別關於項目和項目操作環境的假設 / 邊界 / 功能說明 / 範例介紹

概念階段:項目定義 / 一般互動 / 網路安全保證等級 / 風險處理 / 網路安全概念 / 威脅分析範例 / 攻擊可行性評級範例 / 概念階段:網路安全風險和目標範例 / 迴避範例 / 網路安全概念驗證 / 網路安全概念驗證報告

在WP10- 會指引您產品開發階段

產品開發階段:設計 / 集成與驗證 / 網路安全規範 / 網路安全規範範例 / 62443-4-2 的網路安全規範範例 / 後期開發的網路安全要求 / 網路安全規範和架構 / 建築設計 / 弱點識別 / 軟體開發的具體要求 / 網路安全規範驗證 / 集成與驗證 / 集成與驗證規範 / 系統級開發集成與驗證 / 網路安全測試 / 集成驗證

在WP11- 會指引您網路安全驗證階段

在WP12- 會指引您網路後開發階段:生產控制計劃 / 運營和維護 / 網路安全事件響應資訊 / 生產開始後的事件響應

在WP13- 會指引您網路後開發階段:網路安全事件響應計畫

在WP14- 會指引您傳達網路安全支援結束和退役的程序

附註:UN/ECE-R 155 / 基礎 / 活動 / 適用車輛類型

附註:過渡條款 / 網路安全管理系統要求 / 車型要求 / 報告條款 / UN ECE R155 摘要

取得認證後,實物上更需要實時監控與掃描弱點

在您的機構取得認證後,若需網路工程實時監控風險及掃描弱點,增強網路安全,請洽艾索科技。