《ISO/SAE 21434: 2021 Road vehicles — Cybersecurity engineering 道路车辆网络安全工程》标准解读之(5)

5 Organizational cybersecurity management 组织网络安全管理/5.2 Objectives 目标

5.2 Objectives 目标

The objectives of this clause are to:
此条款的目标是:

a) define a cybersecurity policy and the organizational rules and processes for cybersecurity;
a)定义网络安全政策以及组织的网络安全规则和流程;

b) assign the responsibilities and corresponding authorities that are required to perform cybersecurity activities;
b)划分实施网络安全活动所需的职责和相应的权限;

c) support the implementation of cybersecurity, including the provision of resources and the management of the interactions between cybersecurity processes and related processes;
c)支持网络安全的实施,包括资源的提供,以及网络安全流程与相关流程之间相互作用的管理。

d) manage the cybersecurity risk;
d)管理网络安全风险;

e) institute and maintain a cybersecurity culture, including competence management, awareness management and continuous improvement;
e)建立和维护网络安全文化,包括能力管理、意识管理和持续改善;

f) support and manage the sharing of cybersecurity information;
f)支持和管理网络安全信息的共享;

g) institute and maintain management systems that support the maintenance of cybersecurity;
g)建立和维护管理体系,以支持网络安全的保持;

h) provide evidence that the use of tools does not adversely affect cybersecurity; and
h)提供各种工具的使用不会对网络安全产生不利影响的证据;以及

i) perform an organizational cybersecurity audit.
i)实施组织的网络安全审核。

标准解读:

  1. 本条款是“5 Organizational cybersecurity management 组织网络安全管理” 相关网络安全活动(见5.4)实施的目标;
  2. ISO/SAE 21434: 2021要求的网络安全活动,包括两种:要求(RQ)和建议(RC);
  3. 达成各个目标要求的网络安全活动如下:a – [RQ-05-01]和[RQ-05-02](见5.4.1),b – [RQ-05-03](见5.4.1),c – [RQ-05-04]和[RQ-05-05](见5.4.1),e – [RQ-05-06]、[RQ-05-07]和[RQ-05-08](见5.4.2),f – [RQ-05-09]和[RC-05-10](见5.4.3),g – [RQ-05-11]、[RQ-05-12]和[RC-05-13](见5.4.4),h – [RQ-05-14]、[RC-05-15]和[RC-05-16](见5.4.5和5.4.6),i – [RQ-05-17](见5.4.7),但目标“d) 管理网络安全风险”没有对应的网络安全活动,因为ISO/SAE 21434: 2021和ISO/IEC 27001都是基于风险管理,所以所有的网络安全活动都与“d) 管理网络安全风险”有关;
  4. ISO/SAE 21434: 2021初看之下,可能会觉得很杂乱,但通过上面的解读,就会发现ISO/SAE 21434: 2021与ISO/IEC 27001的附录A是一样的,只是ISO/SAE 21434: 2021换了一种形式。ISO/IEC 27001的附录A,是每个目标下,直接把控制要求归类放在其下面,而ISO/SAE 21434: 2021是先把每个模块的目标汇总在一起,再把达成目标需要实施的要求和建议(网络安全活动)分散在后面的对应条款。