《ISO/SAE 21434: 2021 Road vehicles — Cybersecurity engineering 道路车辆网络安全工程》标准解读之(10)

5 Organizational cybersecurity management 组织网络安全管理/5.4 Requirements and recommendations 要求和建议/5.4.4 Management systems 管理体系

5.4.4 Management systems 管理体系

[RQ-05-11] The organization shall institute and maintain a quality management system in accordance with International Standards, or equivalent, to support cybersecurity engineering, addressing:
[RQ-05-11] 组织应根据国际标准或同等标准建立和保持质量管理体系以支持网络安全工程,以便处理:

EXAMPLE 1 IATF 16949 in conjunction with ISO 9001 .
范例1, IATF 16949与ISO 9001结合使用。

a) change management;

NOTE 1 The scope of change management in cybersecurity is to manage changes in items and their components so that the applicable cybersecurity goals and requirements continue to be fulfilled, e.g. a review of the changes in production processes against the production control plan to prevent such changes from introducing new vulnerabilities.

b) documentation management;

NOTE 2 A work product can be combined or mapped to different documentation repositories.

c) configuration management; and

d) requirements management.

[RQ-05-12] The configuration information required for maintaining cybersecurity of a product in the field shall remain available until the end of cybersecurity support for the product, in order to enable remedial actions.

NOTE 3 Archiving the build environment can be useful to ensure later usage of configuration information.

EXAMPLE 2 Bill of materials, software configuration.

[RC-05-13] A cybersecurity management system for the production processes should be established in order to support the activities of Clause 12.

EXAMPLE 3 IEC 62443 2-1
范例3,IEC 62443 2-1


  1. 条款“5.4.4 Management systems 管理体系”的网络安全活动有3个要求(RQ):[RQ-05-11]、[RQ-05-12]和[RQ-05-13],没有建议(RC);
  2. 为支持网络安全工程,[RQ-05-11]要求组织应跟国际标准或同等标准(如IATF 16949与ISO 9001结合使用)建立质量管理体系,以便处理网络安全工程中的变更管理,文件管理,配置管理和要求管理;
  3. [RQ-05-12]要求对产品网络安全支持的结束之前,应保持维护产品网络安全所需的配置信息(如软件配置数据)可以,以便在紧急状态(如配置数据丢失),快速采取补救措施(按照软件配置数据进行恢复);
  4. 为支持支持条款12的活动,[RC-05-13]要求应为生产过程建立网络安全管理体系,可以参考IEC 62443 2-1。


  1. 建立和实施质量管理体系的相关证据,包含变更管理流程、文件管理流程、配置管理流程和要求管理流程等书面文件;
  2. 配置信息(物料清单,软件配置等);
  3. 生产过程网络安全管理体系建立和实施的证据。


  1. 组织是否有按照组织应跟国际标准或同等标准建立质量管理体系;
  2. 组织是否建立变更管理流程、文件管理流程、配置管理流程和要求管理流程,并形成书面的文件;
  3. 在现场是否有支持维护产品网络安全所需的配置信息(如软件配置数据);
  4. 生产过程网络安全管理体系是否建立和实施。