基于ISO/SAE 21434标准,协助企业创建CSMS信息安全工程研发管理体系
ISO/SAE 21434 CSMS咨询
信息安全工程 - 公司级开发管理要求
• Cybersecurity Governance /公司级网络安全管理策略
• Cybersecurity Culture /公司级网络安全文化要求
• Cybersecurity Risk Management /网络安全风险管理
• Organizational Cybersecurity Audit /公司级网络安全流程审核
• Information Sharing /涉密和敏感信息分享管理
• Management Systems /信息安全管理体系/网络安全管理体系
• Tool Management /网络安全相关的软件工具应用管理
• Information Security Management /开发文档的基本信息安全管理
ISO/SAE 21434 CSMS咨询
信息安全工程 - 项目级开发管理要求
• Responsibilities & Assignment /设计开发中的职责&分工
• Cybersecurity Planning /网络安全管理规划
• Tailoring of the Cybersecurity Activities /网络安全管理活动裁剪
• Reuse /网络安全设计开发中的组件复用管理
• Component Out of Context /基于SEooC的网络安全开发管理
• Off-the-Shelf Component /商用COTS组件的网络安全开发管理
• Cybersecurity Case /开发中的网络安全档案拟定与维护
• Cybersecurity Assessment /网络安全开发中的技术评估
• Release for Post-Development /SOP转产过程中的网络安全管理
ISO/SAE 21434 CSMS咨询
信息安全工程 - 开发管理的持续改进
• Cybersecurity Monitoring /网络安全风险持续监控
• Cybersecurity Event Assessment /网络安全事件监控
• Vulnerability Analysis /网络安全漏洞分析
• Vulnerability Management /网络安全漏洞管理
ISO/SAE 21434 CSMS咨询
信息安全工程 - 风险评估方法
• Asset Identification /网络安全资产定义和属性识别(C.I.A.)
• Threat Scenario Identification /网络安全威胁场景识别
• Impact Rating /网络安全威胁影响量化分析(S.F.O.P.)
• Attack Path Analysis /网络安全攻击路径分析
• Attack Feasibility Rating /网络安全攻击可行性分析
• Risk Determination /网络安全风险定级
• Risk Treatment Decision /网络安全风险应对决策
ISO/SAE 21434 CSMS咨询
信息安全工程 - 概念设计阶段
• Cybersecurity Item Definition /相关项定义
• Cybersecurity Goals /网络安全目标
• Cybersecurity Concept /网络安全概念
ISO/SAE 21434 CSMS咨询
信息安全工程 - 详细设计与验证确认阶段
• Requirements & Architectural Design /网络安全需求和架构设计
• Cybersecurity Integration & Verification /网络安全设计的集成和验证
• Requirements for SW Development /网络安全对软件的特定设计要求
• Cybersecurity Validation /整车层面的网络安全设计合规确认
ISO/SAE 21434 CSMS咨询
信息安全工程 - 生产和运维阶段
• Productions /生产过程中的网络安全管理
• Calibration /标定过程中的网络安全管理
• Operation & Maintenance /运维过程中的网络安全管理
• Cybersecurity Updates /网络安全漏洞补丁更新管理
• Cybersecurity Incident Response /网络安全事件响应机制
• Decommisioning /车辆报废过程中的网络安全管理
ISO/SAE 21434 CSMS咨询
信息安全工程 - 开发中的供应商管理
• CIAD /网络安全开发中的分布式开发接口协议
• Supplier Capability /供应商网络安全能力和体系的评估
• RFQ /网络安全分布式开发中的RFQ要求
• Alignment of Responsibilities /开发中的责任分工与协同