为了支撑UNECE关于信息安全/网络安全强制法规(制定中)和OTA强制法规(制定中)的执行和落地,并配合ISO/SAE 21434在信息安全工程方面的具体执行,相关业内专家正在编写CyberSecurity SPICE流程要求。本文将浅谈AutomotiveSPICE(ASPICE/A-SPICE)新增Security SPICE的相关内容和要求。
……………………………………………………………………………………………………………………………………………………….
本文作者:David Liu #海洋@ FUSA Solutions
版权声明:本文核心内容为FUSA Solutions特约攥稿,未经事先书面许可,任何第三方不得随意转载;
转载声明:如需引用或转载本文章,请提前邮件联络相关管理员 (mailto:该邮件地址已受到反垃圾邮件插件保护。要显示它需要在浏览器中启用 JavaScript。 );
免责声明:本文仅基于草稿版标准(非正式版Cyber Security SPICE)内容要求,仅代表作者个人意见和经验总结,不代表网站在特定领域的相关见解;
………………………………………………………………………………………………………………………………………………………….
拓展阅读:UNECE WP.29 CS/OTA强制信息安全法规与CSMS
拓展阅读:ISO/SAE 21434 DIS版本 | 信息安全设计要求归纳
………………………………………………………………………………………………………………………………………………………….
本文作者:David Liu #海洋@ FUSA Solutions
版权声明:本文核心内容为FUSA Solutions特约攥稿,未经事先书面许可,任何第三方不得随意转载;
转载声明:如需引用或转载本文章,请提前邮件联络相关管理员 (mailto:该邮件地址已受到反垃圾邮件插件保护。要显示它需要在浏览器中启用 JavaScript。 );
免责声明:本文仅基于草稿版标准(非正式版Cyber Security SPICE)内容要求,仅代表作者个人意见和经验总结,不代表网站在特定领域的相关见解;
………………………………………………………………………………………………………………………………………………………….
拓展阅读:UNECE WP.29 CS/OTA强制信息安全法规与CSMS
拓展阅读:ISO/SAE 21434 DIS版本 | 信息安全设计要求归纳
………………………………………………………………………………………………………………………………………………………….
CyberSecurity SPICE的意义
• 涵盖车辆研发和运行维护的整体生命周期活动;
• 支撑相关开发活动(e.g.功能安全/OTA)与信息安全开发方面的接口和集成;
• 弥补TISAX (主要包含:基本的信息安全要求、第三方联络、原型保护和数据保护方面)在信息安全活动方面要求的不足;
• 支撑ISO/SAE 21434在信息安全设计和管理方面的具体落地执行;
• 支撑UNECE相关信息安全强制法规(制定中)在信息安全管理方面的具体落地执行;
• 与已经发布的HW SPICE和Mechnical SPICE的思路一样,将作为新增补充流程,尽量降低对现有AutomotiveSPICE (ASPICE/A-SPICE) 流程模型架构的冲击和影响;
• 支撑相关开发活动(e.g.功能安全/OTA)与信息安全开发方面的接口和集成;
• 弥补TISAX (主要包含:基本的信息安全要求、第三方联络、原型保护和数据保护方面)在信息安全活动方面要求的不足;
• 支撑ISO/SAE 21434在信息安全设计和管理方面的具体落地执行;
• 支撑UNECE相关信息安全强制法规(制定中)在信息安全管理方面的具体落地执行;
• 与已经发布的HW SPICE和Mechnical SPICE的思路一样,将作为新增补充流程,尽量降低对现有AutomotiveSPICE (ASPICE/A-SPICE) 流程模型架构的冲击和影响;
CyberSecurity SPICE对现有AutomotiveSPICE (ASPICE/A-SPICE) 相关条款的补充
• 针对SYS.3.BP1的新增信息安全NOTE-Sec1要求
The system architectural design should be capable to be used as the basis for the conduction of the security risk analysis on the system level. Refer to SEC.2.BP-Sec2.
The system architectural design should be capable to be used as the basis for the conduction of the security risk analysis on the system level. Refer to SEC.2.BP-Sec2.
• 针对SWE2.BP的新增信息安全Sec1要求
Reduce likelihood of propagation of attacks. The software security architectural design has to reduce the likelihood that compro-mise of assets within one architectural element would result in propagation of the attack to other architectural elements.
Reduce likelihood of propagation of attacks. The software security architectural design has to reduce the likelihood that compro-mise of assets within one architectural element would result in propagation of the attack to other architectural elements.
• 新增信息安全计划要求
08-Sec01: Security Plan [OUTCOME 3, 4, 5]
08-Sec01: Security Plan [OUTCOME 3, 4, 5]
CyberSecurity SPICE的新增SEC过程域要求 (ASPICE Add-on)
SecuritySPICE SEC.1: Security Culture (ASPICE Add-on)
SecuritySPICE SEC.1:信息安全文化 (ASPICE Add-on)
SecuritySPICE SEC.1:信息安全文化 (ASPICE Add-on)
SEC.1 基本实践:
• 创建公司级的信息安全管理策略/网络安全管理策略
• 在公司各管理层级建立信息安全意识和文化
• 保障信息安全设计/网络安全设计所需相关资源的补给
• 确保信息安全管理/网络安全管理相关工作流程合规
• 在公司各管理层级建立信息安全意识和文化
• 保障信息安全设计/网络安全设计所需相关资源的补给
• 确保信息安全管理/网络安全管理相关工作流程合规
SecuritySPICE SEC.2: Security Risk Management (ASPICE Add-on)
SecuritySPICE SEC.2:信息安全风险管理 (ASPICE Add-on)
SecuritySPICE SEC.2:信息安全风险管理 (ASPICE Add-on)
SEC.2 基本实践:
• 制定信息安全风险管理策略
• 识别信息安全潜在威胁
• 针对发现的所有潜在信息安全风险采取相关防控措施
• 针对信息安全风险进行监控和持续沟通
• 识别信息安全潜在威胁
• 针对发现的所有潜在信息安全风险采取相关防控措施
• 针对信息安全风险进行监控和持续沟通
SecuritySPICE SEC.3: Security Risk Analysis and Security Concept on System Architectural Design (ASPICE Add-on)
SecuritySPICE SEC.3:系统架构层面的信息安全风险分析和信息安全概念 (ASPICE Add-on)
SecuritySPICE SEC.3:系统架构层面的信息安全风险分析和信息安全概念 (ASPICE Add-on)
SecuritySPICE SEC.3 基本实践:
• 针对系统架构设计进行信息安全威胁分析
• 针对系统架构设计进行信息安全风险分析
• 全面评估所有的系统层信息安全风险
• 针对所有系统层高威胁风险采取必要的管控措施
• 更新优化系统层需求和系统层架构设计
• 就信息安全风险分析和管控的结论进行多方沟通
• 对系统层信息安全风险分析进行评审验证
• 建立双向可追溯性
• 针对系统架构设计进行信息安全风险分析
• 全面评估所有的系统层信息安全风险
• 针对所有系统层高威胁风险采取必要的管控措施
• 更新优化系统层需求和系统层架构设计
• 就信息安全风险分析和管控的结论进行多方沟通
• 对系统层信息安全风险分析进行评审验证
• 建立双向可追溯性
SecuritySPICE SEC.4: Security Risk Analysis and Security Concept on Software Architectural Design (ASPICE Add-on)
SecuritySPICE SEC.4:软件架构层面的信息安全风险分析和信息安全概念 (ASPICE Add-on)
SecuritySPICE SEC.4:软件架构层面的信息安全风险分析和信息安全概念 (ASPICE Add-on)
SecuritySPICE SEC.4 基本实践:
• 针对软件架构设计进行信息安全威胁分析
• 针对软件架构设计进行信息安全风险分析
• 全面评估所有的软件层信息安全风险
• 针对软件层所有高威胁风险采取必要的管控措施
• 更新优化软件层需求和软件架构设计
• 就信息安全风险分析和管控的结论进行多方沟通
• 对软件层信息安全风险分析进行评审验证
• 建立双向可追溯性
• 针对软件架构设计进行信息安全风险分析
• 全面评估所有的软件层信息安全风险
• 针对软件层所有高威胁风险采取必要的管控措施
• 更新优化软件层需求和软件架构设计
• 就信息安全风险分析和管控的结论进行多方沟通
• 对软件层信息安全风险分析进行评审验证
• 建立双向可追溯性
SecuritySPICE SEC.5: Proof of Cybersecurity (ASPICE Add-on)
SecuritySPICE SEC.5:信息安全证据链 (ASPICE Add-on)
SecuritySPICE SEC.5:信息安全证据链 (ASPICE Add-on)
SecuritySPICE SEC.5 基本实践:
• 执行针对信息安全管理的独立审核
• 就信息安全管控的相关结论和证据,与所有利益相关方进行沟通
• 就信息安全管控的相关结论和证据,与所有利益相关方进行沟通
SecuritySPICE SEC.6: Ensure Cybersecure Operation (ASPICE Add-on)
SecuritySPICE SEC.6 运维阶段的信息安全管理 (ASPICE Add-on)
SecuritySPICE SEC.6 运维阶段的信息安全管理 (ASPICE Add-on)
SecuritySPICE SEC.6 基本实践:
• 制定针对实际运维阶段的信息安全管理策略
• 定义信息安全相关问题的升级沟通机制
• 对车辆服役阶段的持续监控
• 执行运维阶段的信息安全管理薄弱环节分析
• 定义解决方法和方案
• 基于新发现和新问题优化研发管理,并进行持续改进
• 定义信息安全相关问题的升级沟通机制
• 对车辆服役阶段的持续监控
• 执行运维阶段的信息安全管理薄弱环节分析
• 定义解决方法和方案
• 基于新发现和新问题优化研发管理,并进行持续改进
