AutomotiveSPICE 家族的王老三 - Automotive Cyber Security SPICE

一、Automotive Cyber Security SPICE的意义

Ø涵盖车辆研发和运行维护的整体生命周期活动；

Ø支撑相关开发活动(e.g.功能安全/OTA)与CyberSecurity开发方面的接口和集成；

Ø弥补TISAX(主要包含:基本的信息安全要求、第三方联络、原型保护和数据保护方面)在信息安全活动方面要求的不足；

Ø支撑ISO/SAE 21434在信息安全设计和Cyber Security管理方面的具体落地执行；

Ø支撑相关网络安全强制法规(制定中)在网络安全管理方面的具体落地执行；

Ø与已经发布的HWE SPICE和Mechanical SPICE的思路一样，将作为新增补充流程，尽量降低对现有AutomotiveSPICE流程模型架构的冲击和影响；

二、Cyber Security SPICE对现有AutomotiveSPICE相关条款的补充

Ø针对SYS.3.BP1的新增网络安全NOTE-Sec1要求
The system architectural design should be capable to be used as the basis for the conduction of the security  risk analysis on the system level. Refer to SEC.2.BP-Sec2.

Ø针对SWE2.BP的新增网络安全Sec1要求

Reduce likelihood of propagation of attacks. The software security architectural design has to reduce the likelihood that compro-mise of assets within one architectural element would  result in propagation of the attack to other architectural elements.

Ø新增网络安全计划要求
08-Sec01: Security Plan [OUTCOME 3, 4, 5]

三、Cyber Security SPICE的新增SEC过程域要求

ØSecurity SPICE SEC.1

Cyber Security Culture网络安全文化

SEC.1 基本实践:

•创建公司级的网络安全管理策略/网络安全管理策略

•在公司各管理层级建立网络安全意识和文化

•保障信息安全设计/网络安全设计所需相关资源的补给

•确保信息安全管理/网络安全管理相关工作流程合规

ØSecurity SPICE SEC.2

CyberSecurity Risk Management 网络安全风险管理

SEC.2 基本实践:

•制定网络安全风险管理策略

•识别网络安全潜在威胁

•针对发现的所有潜在网络安全风险采取相关防控措施

•针对网络安全风险进行监控和持续沟通

ØSecurity SPICE SEC.3

CyberSecurity Risk Analysis and Security Concept on System Architectural Design 系统架构层面的网络安全风险分析和网络安全概念

Security SPICE SEC.3 基本实践:

•针对系统架构设计进行网络安全威胁分析
•针对系统架构设计进行网络安全风险分析
•全面评估所有的系统层网络安全风险
•针对所有系统层高威胁风险，采取必要的管控措施
•更新优化系统层需求和系统层架构设计
•就信息安全风险分析和管控的结论进行多方沟通
•对系统层网络安全风险分析进行评审验证
•建立双向可追溯性

ØSecurity SPICE SEC.4

CyberSecurity Risk Analysis and Security Concept on Software Architectural Design 软件架构层面的网络安全风险分析和网络安全概念

Security SPICE SEC.4 基本实践:

•针对软件架构设计进行网络安全威胁分析

•针对软件架构设计进行网络安全风险分析
     •全面评估所有的软件层网络安全风险
     •针对软件层所有高威胁风险采取必要的管控措

•更新优化软件层需求和软件层架构设计

•就信息安全风险分析和管控的结论进行多方沟通
      •对软件层网络安全风险分析进行评审验证
      •建立双向可追溯性

ØSecurity SPICE SEC.5

Proof of Cybersecurity网络安全合规证据收集

Security SPICE SEC.5 基本实践:

•执行针对网络安全管理的独立审核
      •就网络安全管控的相关结论和证据，与所有利益相关方进行沟通

ØSecurity SPICE SEC.6

Ensure Cybersecure Operation 运维阶段的网络安全管理

Security SPICE SEC.6 基本实践:
•制定针对实际运维阶段的网络安全管理策略
•定义网络安全相关问题的升级沟通机制
•对车辆服役阶段的持续监控
•执行运维阶段的网络安全管理薄弱环节分析
•定义解决方法和方案
•基于新发现和新问题优化研发管理，并进行持续改进