《ISO/SAE 21434: 2021 Road vehicles — Cybersecurity engineering 道路车辆网络安全工程》标准解读之(9)
| 5 Organizational cybersecurity management 组织网络安全管理/5.4 Requirements and recommendations 要求和建议/5.4.3 Information sharing 信息共享 |
5.4.3 Information sharing 信息共享 [RQ-05-09] The organization shall define the circumstances under which information sharing related to cybersecurity is required, permitted, or prohibited, internal or external to the organization. [RQ-05-09] 组织应明确组织内外被要求的、被允许的以及被禁止的网络安全相关的信息共享的情形。 NOTE Circumstances to share information can be based on: 注:共享信息的情形可以基于: — types of information that can be shared; — 可以共享的信息类型; — approval processes for sharing; — 共享的批准流程 — requirements for redacting information; — 修订信息的要求; — rules for source attribution; — 溯源规则; — types of communications for specific parties; — 与特定相关方通信类型; — vulnerability disclosure procedures (see NOTE 5 in 5.4.1); and/or — 漏洞披露流程(见5.4.1中的注5);和/或 — requirements for receiving party on handling of highly sensitive information. — 对接受方处理高度敏感信息的要求。 [RC-05-10] The organization should align its information security management of the shared data with other parties in accordance with [RQ-05-09]. [RC-05-10] 组织应依照[RQ-05-09]要求,与其他方商定双方对共享数据的信息安全管理一致的要求。 EXAMPLE Alignment of security classification levels of public, internal, confidential, third-party confidential. 范例,公开、内部、保密以及第三方保密的安全分类级别的对齐。 |
标准解析:
- 条款“5.4.3 Information sharing 信息共享”的网络安全活动有2个要求(RQ):[RQ-05-09]和[RQ-05-10],没有建议(RC);
- [RQ-05-09]要求组织应明确内部和外部信息共享的种类(清单)并有明确哪些是被要求共享的、被允许共享的以及被禁止共享的,以及共享授权流程,共享信息的修订要求等;
- [RC-05-10]要求组织共享信息的外部相关方,按照[RQ-05-09]要求商定共享数据的信息安全管理的要求,确保双方共享信息管理要求保持一致。
实施本条款应输出的文档:
- 信息共享管理的制度;
- 内部和外部信息共享的种类(清单)、共享授权流程及授权记录;
- 与其他商定一致的共享信息管理要求(如,网络安全协议)。
本条款审核要点:
- 查看信息共享管理相关制度;
- 了解组织内部和外部的共享的信息,是否有进行分类,如哪些是被要求共享的、被允许共享的以及被禁止共享的,以及相关的共享授权流程和授权记录;
- 与其他商定一致的共享信息管理要求(如,网络安全协议)。
