AutomotiveSPICE 家族的王老三 - Automotive Cyber Security SPICE
AutomotiveSPICE 家族的王老三 - Automotive Cyber Security SPICE
一、Automotive Cyber Security SPICE的意义
Ø涵盖车辆研发和运行维护的整体生命周期活动;
Ø支撑相关开发活动(e.g.功能安全/OTA)与CyberSecurity开发方面的接口和集成;
Ø弥补TISAX(主要包含:基本的信息安全要求、第三方联络、原型保护和数据保护方面)在信息安全活动方面要求的不足;
Ø支撑ISO/SAE 21434在信息安全设计和Cyber Security管理方面的具体落地执行;
Ø支撑相关网络安全强制法规(制定中)在网络安全管理方面的具体落地执行;
Ø与已经发布的HWE SPICE和Mechanical SPICE的思路一样,将作为新增补充流程,尽量降低对现有AutomotiveSPICE流程模型架构的冲击和影响;
二、Cyber Security SPICE对现有AutomotiveSPICE相关条款的补充
Ø针对SYS.3.BP1的新增网络安全NOTE-Sec1要求
The system architectural design should be capable to be used as the basis for the conduction of the security risk analysis on the system level. Refer to SEC.2.BP-Sec2.
Ø针对SWE2.BP的新增网络安全Sec1要求
Reduce likelihood of propagation of attacks. The software security architectural design has to reduce the likelihood that compro-mise of assets within one architectural element would result in propagation of the attack to other architectural elements.
Ø新增网络安全计划要求
08-Sec01: Security Plan [OUTCOME 3, 4, 5]
三、Cyber Security SPICE的新增SEC过程域要求
ØSecurity SPICE SEC.1
Cyber Security Culture网络安全文化
SEC.1 基本实践:
•创建公司级的网络安全管理策略/网络安全管理策略
•在公司各管理层级建立网络安全意识和文化
•保障信息安全设计/网络安全设计所需相关资源的补给
•确保信息安全管理/网络安全管理相关工作流程合规
ØSecurity SPICE SEC.2
CyberSecurity Risk Management 网络安全风险管理
SEC.2 基本实践:
•制定网络安全风险管理策略
•识别网络安全潜在威胁
•针对发现的所有潜在网络安全风险采取相关防控措施
•针对网络安全风险进行监控和持续沟通
ØSecurity SPICE SEC.3
CyberSecurity Risk Analysis and Security Concept on System Architectural Design 系统架构层面的网络安全风险分析和网络安全概念
Security SPICE SEC.3 基本实践:
•针对系统架构设计进行网络安全威胁分析
•针对系统架构设计进行网络安全风险分析
•全面评估所有的系统层网络安全风险
•针对所有系统层高威胁风险,采取必要的管控措施
•更新优化系统层需求和系统层架构设计
•就信息安全风险分析和管控的结论进行多方沟通
•对系统层网络安全风险分析进行评审验证
•建立双向可追溯性
ØSecurity SPICE SEC.4
CyberSecurity Risk Analysis and Security Concept on Software Architectural Design 软件架构层面的网络安全风险分析和网络安全概念
Security SPICE SEC.4 基本实践:
•针对软件架构设计进行网络安全威胁分析
•针对软件架构设计进行网络安全风险分析
•全面评估所有的软件层网络安全风险
•针对软件层所有高威胁风险采取必要的管控措
•更新优化软件层需求和软件层架构设计
•就信息安全风险分析和管控的结论进行多方沟通
•对软件层网络安全风险分析进行评审验证
•建立双向可追溯性
ØSecurity SPICE SEC.5
Proof of Cybersecurity网络安全合规证据收集
Security SPICE SEC.5 基本实践:
•执行针对网络安全管理的独立审核
•就网络安全管控的相关结论和证据,与所有利益相关方进行沟通
ØSecurity SPICE SEC.6
Ensure Cybersecure Operation 运维阶段的网络安全管理
Security SPICE SEC.6 基本实践:
•制定针对实际运维阶段的网络安全管理策略
•定义网络安全相关问题的升级沟通机制
•对车辆服役阶段的持续监控
•执行运维阶段的网络安全管理薄弱环节分析
•定义解决方法和方案
•基于新发现和新问题优化研发管理,并进行持续改进