《ISO/SAE 21434: 2021 Road vehicles — Cybersecurity engineering 道路车辆网络安全工程》标准解读之(12)

5 Organizational cybersecurity management 组织网络安全管理/5.4 Requirements and recommendations 要求和建议/5.4.6 Information security management 信息安全管理

5.4.6 Information security management 信息安全管理

[RC-05-16] Work products should be managed in accordance with an information security management system.
[RC-05-16] 工作输出(文档)应按照信息安全管理体系进行管理。

EXAMPLE Work products can be stored on a file server that protects them from unauthorized alteration or deletion.
范例,工作输出(文档)可以存储在文件服务器上,以防止未经授权的更改或删除。

标准解析

  1. 条款“5.4.6 Information security management 信息安全管理”的网络安全活动没有要求(RQ),有1个建议(RC):[RC-05-16];
  2. 本条款虽有提到“信息安全管理”和“信息安全管理体系”,但仅仅是运用他们(“信息安全管理”和“信息安全管理体系”)来管理项目输出文档的安全。

实施本条款应输出的文档:

  1. 项目工作输出文档清单,包含文档的分类分级;
  2. 项目工作输出文档安全管理规范以及相关管理记录(如文档授权访问记录、文档销毁记录等)。

本条款审核要点:

  1. 检查是否有按照信息安全管理体系对项目工作输出文档进行管理,如能否提供项目工作输出文档清单,包含文档的分类分级;
  2. 能否按照管理规范,提供相关管理记录(如文档授权访问记录、文档销毁记录等);
  3. 现场验证工作文档的存储状况,是否有做恰当的安全防护措施。