ISO21434是一套网络安全流程标准,本章是Part12生产的总结。生产的范围包含了相关项或组件的制造和组装,包括整车层面。
活动目的:建立生产控制计划以确保后开发的网络安全要求执行,避免在生产过程引入漏洞。
活动输入:后开发发布报告、后开发网络安全要求。
活动输出:生产控制计划。
活动要求:
产品开发阶段会产生与生产有关的网络安全需求,须建立该类需求与生产部门传递的机制,通过生产控制计划保证实施(可放在整体生产计划中),须包括:
1)应用后开发网络安全要求的实施步骤;
2)生产设备工具;
3)网络安全控制措施,防止生产过程未经授权的更改,例如对软件的访问控制、加密技术;
4)确认满足后开发网络安全要求的方法,如检查、校验。为了制造一个项目或组件并安装硬件和软件,生产过程可以使用特权访问。如果在生产后以未经授权的方式使用,这种访问可能会在产品或组件中引入漏洞。
总结:生产阶段包括在整车层面的组装过程,通过生产控制计划确保后开发网络安全要求的实施。也可能要求通过TISAX或ISO27000认证,以保证生产环境的安全,确保在生产过程不引入漏洞。
本专栏全标准解读,请见专栏
版权归原作者 一维叶 所有, 如有侵权,请联系我们删除。