《ISO/SAE 21434: 2021 Road vehicles — Cybersecurity engineering 道路车辆网络安全工程》标准解读之(12)
5 Organizational cybersecurity management 组织网络安全管理/5.4 Requirements and recommendations 要求和建议/5.4.6 Information security management 信息安全管理 |
5.4.6 Information security management 信息安全管理 [RC-05-16] Work products should be managed in accordance with an information security management system. [RC-05-16] 工作输出(文档)应按照信息安全管理体系进行管理。 EXAMPLE Work products can be stored on a file server that protects them from unauthorized alteration or deletion. 范例,工作输出(文档)可以存储在文件服务器上,以防止未经授权的更改或删除。 |
标准解析:
- 条款“5.4.6 Information security management 信息安全管理”的网络安全活动没有要求(RQ),有1个建议(RC):[RC-05-16];
- 本条款虽有提到“信息安全管理”和“信息安全管理体系”,但仅仅是运用他们(“信息安全管理”和“信息安全管理体系”)来管理项目输出文档的安全。
实施本条款应输出的文档:
- 项目工作输出文档清单,包含文档的分类分级;
- 项目工作输出文档安全管理规范以及相关管理记录(如文档授权访问记录、文档销毁记录等)。
本条款审核要点:
- 检查是否有按照信息安全管理体系对项目工作输出文档进行管理,如能否提供项目工作输出文档清单,包含文档的分类分级;
- 能否按照管理规范,提供相关管理记录(如文档授权访问记录、文档销毁记录等);
- 现场验证工作文档的存储状况,是否有做恰当的安全防护措施。