《ISO/SAE 21434: 2021 Road vehicles — Cybersecurity engineering 道路车辆网络安全工程》标准解读之(18)
6 Project dependent cybersecurity management 项目中必要的网络安全管理/6.4 Requirements and recommendations 要求和建议/6.4.1 Cybersecurity responsibilities 网络安全职责 |
6.4.1 Cybersecurity responsibilities 网络安全职责 [RQ-06-01] The responsibilities regarding the project’s cybersecurity activities shall be assigned and communicated in accordance with [RQ-05-03]. [RQ-06-01] 应根据[RQ-05-03]分配和沟通项目网络安全活动的相关职责。 NOTE Responsibilities for cybersecurity activities can be transferred provided that this is communicated and that the relevant information is made available. 注, 只要有进行沟通并保持相关信息,是可以转移网络安全活动职责的。 |
标准解析:
- 6.4.1只有一个要求[RQ-06-01],没有建议;
- [RQ-06-01]要求必须根据[RQ-05-03]对项目网络安全活动(如,6.4.2,6.4.3,6.4.4,6.4.5,6.4.6,6.4.7,6.4.8,6.4.9等)的职责进行分配和沟通;
- [RQ-05-03]要求是对整个组织的网络安全活动职责进行分配和沟通,因此项目网络安全活动的职责分配和沟通,也包含在其中;
- 不论是[RQ-06-01]要求,还是[RQ-05-03]要求,都是属于大的信息安全管理体系范畴,因此ISO/IEC 27001的”5.3 组织的角色、职责和权限“也涵盖了这些要求,只是在这里更详细,更具体了。
实施本条款应输出的文档:
- 项目网络安全组织及其职责说明;
- 项目网络安全负责人任命书;
- 项目网络安全组织及其职责沟通记录。
本条款审核要点:
- 是否建立了项目网络安全组织,能否提供组织图,并有相关职责说明;
- 是否有任命项目网络安全负责人;
- 项目网络安全组织及相关职责是否在内部进行沟通,并提供相关沟通记录。