AutomotiveSPICE 家族的王老三 - Automotive Cyber Security SPICE
一、 Automotive Cyber Security SPICE的意义 Ø 涵盖车辆研发和运行维护的整体生命周期活动; Ø 支撑相关开发活动(e.g.功能安全/OTA)与CyberSecurity开发方面的接口和集成; Ø 弥补TISAX(主要包含:基本的信息安全要求、第三方联络、原型保护和数据保护方面)在信息安全活动方面要求的不足; Ø 支撑ISO/SAE 21434在信息安全设计和Cyber Security管理方面的具体落地执行; Ø 支撑相关网络安全强制法规(制定中)在网络安全管理方面的具体落地执行; Ø 与已经发布的HWE SPICE和Mechanical SPICE的思路一样,将作为新增补充流程,尽量降低对现有AutomotiveSPICE流程模型架构的冲击和影响;
二、 Cyber Security SPICE对现有AutomotiveSPICE相关条款的补充
Ø 针对SYS.3.BP1的新增网络安全NOTE-Sec1要求
Ø 针对SWE2.BP的新增网络安全Sec1要求 Reduce likelihood of propagation of attacks. The software security architectural design has to reduce the likelihood that compro-mise of assets within one architectural element would result in propagation of the attack to other architectural elements.
Ø 新增网络安全计划要求
Cyber Security SPICE的新增SEC过程域要求 Ø Security SPICE SEC.1 Cyber Security Culture网络安全文化 SEC.1 基本实践:
•创建公司级的网络安全管理策略/网络安全管理策略 Ø Security SPICE SEC.2 Cyber Security Risk Management 网络安全风险管理 SEC.2 基本实践: •制定网络安全风险管理策略
•识别网络安全潜在威胁 Ø Security SPICE SEC.3 Cyber Security Risk Analysis and Security Concept on System Architectural Design 系统架构层面的网络安全风险分析和网络安全概念 Security SPICE SEC.3 基本实践:
•针对系统架构设计进行网络安全威胁分析 Ø Security SPICE SEC.4 Cyber Security Risk Analysis and Security Concept on Software Architectural Design 软件架构层面的网络安全风险分析和网络安全概念 Security SPICE SEC.4 基本实践:
•针对软件架构设计进行网络安全威胁分析 Ø Security SPICE SEC.5 Proof of Cybersecurity网络安全合规证据收集 Security SPICE SEC.5 基本实践:
•执行针对网络安全管理的独立审核 Ø Security SPICE SEC.6 Ensure Cybersecure Operation 运维阶段的网络安全管理
Security
SPICE SEC.6 基本实践:
|
