信息安全 | TISAX信息安全评估和交换机制培训

本课程主要面向汽车行业供应商高级管理人员,质量体系管理人员,信息安全管理人员,开发团队核心人员,以及OEM沟通团队核心负责人及相关支持部分等人员,提供德国VDA TISAX标准的解读和讲解,协助企业快速理解TISAX / ISO27001信息安全管理要求,并应对未来可能的TISAX信息安全管理审核。

课程大纲:

VDA TISAX标准概述

• VDA TISAX信息安全评估流程概述
• VDA TISAX关键定义及词汇
• VDA TISAX汽车信息安全形式概述
• VDA TISAX汽车信息安全实例
• 常见信息安全漏洞
• VDA TISAX信息安全重点要求
• 公司级信息安全管理
• 信息安全管理能力
• 信息安全资产管理
• 信息访问权限控制
• 信息安全加密管理
• 信息安全的物理隔绝
• 日常运营中的信息安全保护
• 信息通讯/交互中的信息安全保护
• 供应商管理
• 信息安全事件应急管理机制
• 信息安全合规要求和原则

VDA TISAX标准详解

• VDA TISAX与ISO 27001的联系和区别
• VDA TISAX第三方联络信息安全要求
• VDA TISAX数据保护信息安全要求
• VDA TISAX原型保护信息安全要求
• VDA TISAX信息安全KPI设定和监督
• VDA TISAX审核流程概述
• VDA TISAX审核要点概述
• VDA TISAX审核应对策略
• VDA TISAX ISMS体系建立要点与核心要求
• VDA TISAX运营及完善阶段要点概述
• 信息安全案例分析

信息安全 | ISO 27001管理体系培训

本课程主要面向企业高级管理人员及信息安全相关人员,致力于协助相关人员理解ISO 27001对信息安全管理方面的要求,熟悉ISMS信息安全管理体系的建立过程和方法,掌握ISMS信息安全管理体系的核心要求和技能,并加深对信息安全技术的了解。

课程大纲:

信息安全管理基础

• 信息安全-资产风险评估与管理
• 信息安全-管理体系的基本架构
• 信息安全-体系标准讲解
• 信息安全-体系关键定义
• 信息安全管理体系的规划
• 信息安全管理体系的优化
• 信息安全管理体系的评估
• 信息安全管理体系的改进
• 信息加密技术应用
• 信息系统保护等级
• 信息安全相关法规要求
• 信息安全-合规&评审

信息安全管理运行实践

• 信息安全-总体安全方针
• 信息安全-公司级信息安全管理
• 信息安全-人力资源管理
• 信息安全-资产管理与控制
• 信息安全-访问权限控制
• 信息安全-密码学&社会工程学
• 信息安全-环境与物理接触防护
• 信息安全-运行与维护
• 信息安全-通讯保护与安全防护
• 信息安全-供应商管理
• 信息安全-应急响应制度
• 信息安全-业务连续性管理

 

网络安全 | ISO/SAE 21434网络安全标准培训

ISO/SAE 21434标准培训:主要面向汽车行业OEM与供应商的高级管理人员,ISO/SAE 21434网络安全管理人员,ISO/SAE 21434网络安全开发团队,CSMS网络安全管理流程体系人员,ISO/SAE 21434网络安全测试验证团队等专业人员,提供ISO/SAE 21434标准,以及其它关联标准或Cyber Security Best Practices的解读。

本ISO/SAE 21434培训将明确:汽车电子网络安全开发项目的合规要求,明确在ISO/SAE 21434概念设计阶段,ISO/SAE 21434系统设计阶段,ISO/SAE 21434硬件设计阶段和ISO/SAE 21434软件设计阶段的网络安全技术开发和测试验证要求。

………………………………………………………………………………………………………………………………………………………….
关联培训: UNECE R155法规 | CSMS网络安全管理体系培训
………………………………………………………………………………………………………………………………………………………….

课程大纲

ISO/SAE 21434培训 - 标准背景和体系结构

• 网络安全核心概念
• 网络安全事件回顾
• 网络安全入侵等级分类
• 网络安全与功能安全融合
• 网络安全与其它流程管理体系融合

ISO/SAE 21434培训 - 网络安全管理体系

• 网络安全文化
• 网络安全观念和理念建设
• 网络安全人员培训体系
• 网络安全沟通渠道管理
• 网络安全网络安全事件响应
• 网络安全运营和维护管理
• 网络安全监控

ISO/SAE 21434培训 - 概念层网络安全设计

• 信息安全/网络安全 - 功能定义
• 信息安全/网络安全 - TRAR风险分析
• 信息安全/网络安全 - 风险和威胁分析
• 信息安全/网络安全 - 威胁识别
• 信息安全/网络安全 - 目标定义
• 信息安全/网络安全 - 设计需求
• 信息安全/网络安全 - 安全概念
• 信息安全/网络安全 - 安全评估
• 概念阶段阶段评审

ISO/SAE 21434培训 - 系统层网络安全设计

• 信息安全/网络安全 - 系统层漏洞分析
• 信息安全/网络安全 - 技术安全需求
• 信息安全/网络安全 - 技术安全概念
• 信息安全/网络安全 - 技术系统层设计
• 信息安全/网络安全 - 集成与测试验证
• 信息安全/网络安全 - 技术安全需求验证与确认
• 信息安全/网络安全 - 安全评估
• 信息安全/网络安全 - 安全文档证据集
• 信息安全/网络安全 - SOP量产要求

ISO/SAE 21434培训 - 硬件层网络安全设计

• 信息安全/网络安全 - 硬件网络安全开发要求
• 信息安全/网络安全 - 硬件层漏洞分析
• 信息安全/网络安全 - 硬件安全需求
• 信息安全/网络安全 - 硬件层架构设计
• 信息安全/网络安全 - 硬件层HSM设计要求
• 信息安全/网络安全 - 硬件层漏洞测试
• 信息安全/网络安全 - 硬件层模糊测试
• 信息安全/网络安全 - 硬件层渗透性测试
• 信息安全/网络安全 - 硬件安全需求验证
• 信息安全/网络安全 - 硬件安全需求确认

ISO/SAE 21434培训 - 软件层网络安全设计

• 信息安全/网络安全 - 软件基本开发要求
• 信息安全/网络安全 - 软件开发模型
• 信息安全/网络安全 - 软件层安全需求
• 信息安全/网络安全 - 软件架构开发要求
• 信息安全/网络安全 - 软件单元开发要求
• 信息安全/网络安全 - 软件代码实现
• 信息安全/网络安全 - 软件单元测试
• 信息安全/网络安全 - 软件集成测试
• 信息安全/网络安全 - 软件层漏洞测试
• 信息安全/网络安全 - 软件层渗透性测试

ISO/SAE 21434培训 - 网络安全支持过程

• 信息安全/网络安全 - 分布式开发要求
• 信息安全/网络安全 - 需求管理
• 信息安全/网络安全 - 配置管理要求
• 信息安全/网络安全 - 变更管理要求
• 信息安全/网络安全 - 文档管理要求
• 信息安全/网络安全 - 文档质量管理

ISO/SAE 21434培训 - 网络安全生产过程要求

• 信息安全/网络安全 - 生产要求
• 信息安全/网络安全 - 运营与车辆维护要求
• 信息安全/网络安全 - 应急事件响应机制
• 信息安全/网络安全 - 维护与支持改进要求

UNECE R155法规 | CSMS网络安全管理体系培训

本课程基于UNECE WP.29 CS/OTA强制法规(UNECE R155法规)框架,主要面向汽车行业高级管理人员, 供应商管理人员,信息安全管理人员,工程研发&开发团队,测试验证团队,质量流程管理团队等专业人群,提供CSMS信息安全开发管理体系培训。

课程介绍

UNECE R155法规 CSMS培训 - 网络安全管理总体要求

• CSMS与ISMS
• CSMS网络安全管理团队要求
• CSMS网络安全管理的管理机制
• CSMS网络安全管理运作策略  
• CSMS网络安全管理实施策略
• 开发阶段中的CSMS网络安全管理
• 生产阶段中的CSMS网络安全管理
• 车辆运行中的CSMS网络安全管理

UNECE R155法规 CSMS培训 - 网络安全风险识别

• 网络安全的资产识别方法       
• 网络安全的威胁识别方法                
• 网络安全的风险确认方法和流程
• 网络安全的风险识别方法和手段 (e.g. TARA)   
• 网络安全管理的持续过程改进        
• 网络安全管理的相关经验教训总结
• 网络安全漏洞/网络安全威胁数据库管理
• Cyber Security Recommendation范围外的其它风险识别

UNECE R155法规 CSMS培训 - 风险的评估 / 分类 / 定级 / 接受原则

• 网络安全风险评估流程       
• 网络安全威胁潜在影响评估  
• 网络安全潜在攻击途径确认        
• 网络安全攻击可行性分析
• 网络安全攻击实施概率分析
• 网络安全攻击实施难易程度分析    
• 网络安全风险分类和风险评分
• 潜在网络安全攻击的防控和处理预案      
• 网络安全残余风险的评估和接受原则
• 网络安全防控手段和处理原则的有效性评估

UNECE R155法规 CSMS培训 - 网络安全测试策略

• 网络安全测试计划定义
• 车辆研发阶段的网络安全测试策略
• 系统设计阶段的网络安全测试
• 硬件设计阶段的网络安全测试        
• 软件设计阶段的网络安全测试         
• 系统集成阶段的网络安全测试
• 网络安全测试方法(渗透测试/模糊测试等)
• 针对测试发现的网络安全漏洞的处理流程    
• 车辆量产阶段的网络安全测试策略
• 车辆研发和量产阶段的网络安全测试衔接与协同

UNECE R155法规 CSMS培训 - 网络安全攻击的监控和应急响应

• 网络安全信息评估流程
• 网络安全风险研判
• 网络安全风险确认方法     
• 车辆实际运营阶段的网络安全监控
• 网络安全事件的升级沟通机制
• 网络安全事件响应机制 - 与Tier1的协同机制
• 网络安全事件响应机制 - 媒体沟通策略
• 网络安全事件响应机制 - 已注册/已运行车辆的处理程序
• 网络安全事件响应机制 - 未注册/未运行车辆的处理程序
• OEM与监管机构的网络安全事件的沟通和信息分享机制
• 网络安全事件响应机制有效性的验证 (e.g. 攻防演习等)

UNECE R155法规 CSMS培训 - 漏洞和威胁的持续识别和管控

• 持续的网络安全监控
• 对网络安全新漏洞的持续关注
• 对网络安全新威胁的持续关注
• 对网络安全新攻击路径的持续关注
• 新威胁对特定车型的潜在网络安全影响评估
• 新漏洞对特定车型的潜在网络安全影响评估
• 新漏洞网络安全风险分析
• 新漏洞网络安全风险确认
• 新威胁网络安全风险分析
• 新威胁网络安全风险确认

UNECE R155法规 CSMS培训 - 网络安全分布式开发管理 (OEM & Tier1)

•  CSMS针对工程服务商/供应商的网络安全要求
•  CSMS针对互联网服务供应商的网络安全要求
•  CIAD 分布式开发协议和责任分工
•  CSMS针对敏感信息传递过程的保密策略
•  CSMS对于供应商获得其它认证的要求
•  CSMS与ISMS(信息安全管理体系)的联系与融合
•  CSMS 针对网络安全事件响应的多方联动要求