SUMS

  • UNECE R155 CSMS 强制法规中,针对7大类常见的网络安全威胁,针对OEM给出了潜在漏洞环分析和对应的防控手段或者设计方法。该附录5中罗列的7类网络安全威胁,同时可以作为OEM满足CMS强制法规的基本基线和最小工作子集,方便OEM针对CSMS合规进行工作开展和落地。
     
  • UNECE WP.29 TF-CS/OTA工作组定义了联合国网络安全法规草案,该草案规定了OEM需要满足的信息安全/网络安全强制法律法规要求 (UNECE R155法规),并计划将该要求作为整车厂获得特定国家范围内,特定车型能够获得整车型式认证的前提条件。
     
  • 本课程基于UNECE WP.29 CS/OTA强制法规(UNECE R155法规)框架,主要面向汽车行业高级管理人员, 供应商管理人员,信息安全管理人员,工程研发&开发团队,测试验证团队,质量流程管理团队等专业人群,提供CSMS信息安全开发管理体系培训。

    课程介绍

    UNECE R155法规 CSMS培训 - 网络安全管理总体要求

    • CSMS与ISMS
    • CSMS网络安全管理团队要求
    • CSMS网络安全管理的管理机制
    • CSMS网络安全管理运作策略  
    • CSMS网络安全管理实施策略
    • 开发阶段中的CSMS网络安全管理
    • 生产阶段中的CSMS网络安全管理
    • 车辆运行中的CSMS网络安全管理

    UNECE R155法规 CSMS培训 - 网络安全风险识别

    • 网络安全的资产识别方法       
    • 网络安全的威胁识别方法                
    • 网络安全的风险确认方法和流程
    • 网络安全的风险识别方法和手段 (e.g. TARA)   
    • 网络安全管理的持续过程改进        
    • 网络安全管理的相关经验教训总结
    • 网络安全漏洞/网络安全威胁数据库管理
    • Cyber Security Recommendation范围外的其它风险识别

    UNECE R155法规 CSMS培训 - 风险的评估 / 分类 / 定级 / 接受原则

    • 网络安全风险评估流程       
    • 网络安全威胁潜在影响评估  
    • 网络安全潜在攻击途径确认        
    • 网络安全攻击可行性分析
    • 网络安全攻击实施概率分析
    • 网络安全攻击实施难易程度分析    
    • 网络安全风险分类和风险评分
    • 潜在网络安全攻击的防控和处理预案      
    • 网络安全残余风险的评估和接受原则
    • 网络安全防控手段和处理原则的有效性评估

    UNECE R155法规 CSMS培训 - 网络安全测试策略

    • 网络安全测试计划定义
    • 车辆研发阶段的网络安全测试策略
    • 系统设计阶段的网络安全测试
    • 硬件设计阶段的网络安全测试        
    • 软件设计阶段的网络安全测试         
    • 系统集成阶段的网络安全测试
    • 网络安全测试方法(渗透测试/模糊测试等)
    • 针对测试发现的网络安全漏洞的处理流程    
    • 车辆量产阶段的网络安全测试策略
    • 车辆研发和量产阶段的网络安全测试衔接与协同

    UNECE R155法规 CSMS培训 - 网络安全攻击的监控和应急响应

    • 网络安全信息评估流程
    • 网络安全风险研判
    • 网络安全风险确认方法     
    • 车辆实际运营阶段的网络安全监控
    • 网络安全事件的升级沟通机制
    • 网络安全事件响应机制 - 与Tier1的协同机制
    • 网络安全事件响应机制 - 媒体沟通策略
    • 网络安全事件响应机制 - 已注册/已运行车辆的处理程序
    • 网络安全事件响应机制 - 未注册/未运行车辆的处理程序
    • OEM与监管机构的网络安全事件的沟通和信息分享机制
    • 网络安全事件响应机制有效性的验证 (e.g. 攻防演习等)

    UNECE R155法规 CSMS培训 - 漏洞和威胁的持续识别和管控

    • 持续的网络安全监控
    • 对网络安全新漏洞的持续关注
    • 对网络安全新威胁的持续关注
    • 对网络安全新攻击路径的持续关注
    • 新威胁对特定车型的潜在网络安全影响评估
    • 新漏洞对特定车型的潜在网络安全影响评估
    • 新漏洞网络安全风险分析
    • 新漏洞网络安全风险确认
    • 新威胁网络安全风险分析
    • 新威胁网络安全风险确认

    UNECE R155法规 CSMS培训 - 网络安全分布式开发管理 (OEM & Tier1)

    •  CSMS针对工程服务商/供应商的网络安全要求
    •  CSMS针对互联网服务供应商的网络安全要求
    •  CIAD 分布式开发协议和责任分工
    •  CSMS针对敏感信息传递过程的保密策略
    •  CSMS对于供应商获得其它认证的要求
    •  CSMS与ISMS(信息安全管理体系)的联系与融合
    •  CSMS 针对网络安全事件响应的多方联动要求

  • 基于ISO/SAE 21434标准,协助企业创建CSMS信息安全工程研发管理体系

    ISO/SAE 21434 CSMS咨询

    信息安全工程 - 公司级开发管理要求

    • Cybersecurity Governance /公司级网络安全管理策略
    • Cybersecurity Culture /公司级网络安全文化要求
    • Cybersecurity Risk Management /网络安全风险管理
    • Organizational Cybersecurity Audit /公司级网络安全流程审核
    • Information Sharing /涉密和敏感信息分享管理
    • Management Systems /信息安全管理体系/网络安全管理体系
    • Tool Management /网络安全相关的软件工具应用管理
    • Information Security Management /开发文档的基本信息安全管理

    ISO/SAE 21434 CSMS咨询

    信息安全工程 - 项目级开发管理要求

    • Responsibilities & Assignment /设计开发中的职责&分工
    • Cybersecurity Planning /网络安全管理规划
    • Tailoring of the Cybersecurity Activities /网络安全管理活动裁剪
    • Reuse /网络安全设计开发中的组件复用管理
    • Component Out of Context /基于SEooC的网络安全开发管理
    • Off-the-Shelf Component /商用COTS组件的网络安全开发管理
    • Cybersecurity Case /开发中的网络安全档案拟定与维护
    • Cybersecurity Assessment /网络安全开发中的技术评估
    • Release for Post-Development /SOP转产过程中的网络安全管理

    ISO/SAE 21434 CSMS咨询

    信息安全工程 - 开发管理的持续改进

    • Cybersecurity Monitoring /网络安全风险持续监控
    • Cybersecurity Event Assessment /网络安全事件监控
    • Vulnerability Analysis /网络安全漏洞分析
    • Vulnerability Management /网络安全漏洞管理

    ISO/SAE 21434 CSMS咨询

    信息安全工程 - 风险评估方法

    • Asset Identification /网络安全资产定义和属性识别(C.I.A.)
    • Threat Scenario Identification /网络安全威胁场景识别
    • Impact Rating /网络安全威胁影响量化分析(S.F.O.P.)
    • Attack Path Analysis /网络安全攻击路径分析
    • Attack Feasibility Rating /网络安全攻击可行性分析
    • Risk Determination /网络安全风险定级
    • Risk Treatment Decision /网络安全风险应对决策

    ISO/SAE 21434 CSMS咨询

    信息安全工程 - 概念设计阶段

    • Cybersecurity Item Definition /相关项定义
    • Cybersecurity Goals /网络安全目标
    • Cybersecurity Concept /网络安全概念

    ISO/SAE 21434 CSMS咨询

    信息安全工程 - 详细设计与验证确认阶段

    • Requirements & Architectural Design /网络安全需求和架构设计
    • Cybersecurity Integration & Verification /网络安全设计的集成和验证
    • Requirements for SW Development /网络安全对软件的特定设计要求
    • Cybersecurity Validation /整车层面的网络安全设计合规确认

    ISO/SAE 21434 CSMS咨询

    信息安全工程 - 生产和运维阶段

    • Productions /生产过程中的网络安全管理
    • Calibration /标定过程中的网络安全管理
    • Operation & Maintenance /运维过程中的网络安全管理
    • Cybersecurity Updates /网络安全漏洞补丁更新管理
    • Cybersecurity Incident Response /网络安全事件响应机制
    • Decommisioning /车辆报废过程中的网络安全管理

    ISO/SAE 21434 CSMS咨询

    信息安全工程 - 开发中的供应商管理

    • CIAD /网络安全开发中的分布式开发接口协议
    • Supplier Capability /供应商网络安全能力和体系的评估
    • RFQ /网络安全分布式开发中的RFQ要求
    • Alignment of Responsibilities /开发中的责任分工与协同