《ISO/SAE 21434: 2021 Road vehicles — Cybersecurity engineering 道路车辆网络安全工程》标准解读之(8)

5 Organizational cybersecurity management 组织网络安全管理/5.4 Requirements and recommendations 要求和建议/5.4.2 Cybersecurity culture 网络安全文化

5.4.2 Cybersecurity culture 网络安全文化

[RQ-05-06] The organization shall foster and maintain a strong cybersecurity culture.
[RQ-05-06] 组织应培育和保持强大的网络安全文化。

NOTE 1 See Annex B for examples.
注1:见附录B的样本。

[RQ-05-07] The organization shall ensure that persons to which cybersecurity roles and responsibilities are assigned have the competences and awareness to fulfil these.
[RQ-05-07] 组织应确保被分配了网络安全角色和职责人员的能力和意识是能够胜任这些角色和职责的。

NOTE 2 A competence, awareness and training program can include:
注2:能力、意识和培训计划可以包括:

— organizational rules and processes regarding cybersecurity, including cybersecurity risk management;
— 与网络安全有关的组织的规则和流程,包括网络安全风险管理;

— organizational rules and processes regarding disciplines related to cybersecurity, such as functional safety and privacy;
— 与网络安全关联学科所涉及的组织的规则和流程,如功能安全和隐私;

— domain knowledge;
— 行业知识;

— systems engineering;
— 系统工程;

— cybersecurity-related methods, tools and guidelines; and/or
— 网络安全相关的方法、工具和指南;和/或

— known attack methods and cybersecurity controls.
— 了解攻击方法和网络安全控制。

[RQ-05-08] The organization shall institute and maintain a continuous improvement process.
[RQ-05-08] 组织应制定和保持持续改进流程。

EXAMPLE Continuous improvement process, including:
范例,持续改进流程,包括:

— learning from previous experiences, including cybersecurity information gathered by cybersecurity monitoring and observation of internal and external cybersecurity-related information;
— 过往经验的学习,包括通过网络安全监控和内外部网络安全相关信息的观察收集的网络安全信息;

— learning from information related to cybersecurity regarding products of similar application in the field;
— 行业内相似应用的产品相关的网络安全所涉及的信息的学习;

— deriving improvements to be applied during subsequent cybersecurity activities;
— 获得的改进应用于后续的网络安全活动中;

— communicating lessons learned about cybersecurity to the appropriate persons; and
— 与适当的人员交流在网络安全方面的经验教训;

— checking the adequacy of the organizational rules and processes in accordance with [RQ-05-02].
— 根据[RQ-05-02]要求,检查组织的规则和流程的充分性。

NOTE 3 Continuous improvement applies to all cybersecurity activities in this document.
注3:持续改进适用于本文件中的所有网络安全活动。

标准解读:

  1. 条款“5.4.2 Cybersecurity culture 网络安全文化”的网络安全活动有3个要求(RQ):[RQ-05-06]、[RQ-05-07]和[RQ-05-06],没有建议(RC);
  2. 在ISO/IEC 27001没有提到(信息安全或网络安全)文化这一概念,因此起初我在理解网络安全文化的时候,仅仅比照信息安全意识来理解。其实意识属于文化的范畴,但还没有到达文化的高度。当网络安全文化这一概念的提出时,那么网络安全及其所涉及的方方面面就需要提升到企业文化的高度了,同样良好的企业的文化,也会为网络安全的有效实施提供强大的保障。
  3. [RQ-05-06] 明确要求组织应培育和保持强大网络安全文化。网络安全文化的理解可以参考ISO/SAE 21434: 2021附录B网络安全文化样本(包括薄弱和强大的网络安全文化);
  4. 网络安全文化与组织文化是密不可分的,可以说是你中有我,我中有你的关系,因此在培育和保持强大的网络安全文化时,可以结合和参照组织文化的建设。同样可以参考组织其他领域(如,质量)的文化建设;
  5. [RQ-05-07]是针对网络安全专职人员的能力、意识和培训的要求,可以结合组织人力资源和培训管理相关流程来实施[RQ-05-07]的要求,可以参考“注2”将相关能力、意识和培训要求写入岗位任职资格中,还可以编制网络安全专职人员的培训矩阵;
  6. [RQ-05-08]要求建立和保持持续改进流程,并且将该流程应用到本文件要求的所有网络安全活动中去。要完成此要求,需要从以下几方面入手:(1)与组织原来的持续改进流程(其他管理体系的)进行整合;(2)确定与组织的培训管理等流程之间的联系和沟通渠道(见[RQ-05-05]要求);(3)嵌入本文件要求的网络安全活动中(流程中)。

实施本条款应输出的文档

  1. [RQ-05-06]网络安全文化建设清单及其计划;
  2. [RQ-05-07]网络安全专职人员的能力、意识和培训的要求及培训记录;
  3. [RQ-05-08]持续改进流程及实施记录。

本条款审核要点:

  1. [RQ-05-06]网络安全文化建设情况,包括具体内容以及实施计划、实施记录等;
  2. [RQ-05-07]网络安全专职人员的能力、意识和培训的要求及培训记录,可以查看任职资格说明书,培训矩阵和培训记录等;
  3. [RQ-05-08]查看持续改进流程及相关实施记录。