21434信息安全管理体系为CSMS合规认证提供理论框架指导 .pdf

21434信息安全管理体系为CSMS合规认证提供理论框

架指导

1.网络安全治理（cybersecuritygovernance）

网络安全治理是最宏观的层面的安全治理方针，总共有5条要求，

可总结为以下几点：

领导层重视

公司最高层必须具备网络安全管理的概念，认可并且重视网络安

全的体系和能力建设，以保证安全工作的顺利实施。

流程保证

这里可以理解为CSMS体系的保证，流程包含了概念、开发、生

产、运维、退役、TARA方法论，安全监控，信息共享，应急响应等

21434中提及的所有环节的流程。每个模块的体系文件又可以分为程

序、指导手册，方法论和模板多级文件。

职责划分

CSMS体系建立好后，必须将各环节的职责分配给相应的部门/人

员，确保流程真正落地。

资源保证

必须保证相关能力的人员、技术和工具等资源。

与现有流程的结合

考虑如何将网络安全管理活动嵌入组织现有的流程中。

2.网络安全文化（cybersecurityculture)

这一节规定了组织实施网络安全管理需具备的“软实力”，可归

结为以下3点：

建立良好的网络安全文化

对于什么是“良好”的网络安全文化，可参考文件后的附录B，

内容和26262中提及的安全文化示例基本一致。

保证人员的能力和意识

能力涵盖了多个方面，如具备风险管理的流程和规定，具备功能

安全、隐私保护的相关流程规定，人员具备相关专业领域的知识以及

渗透、安全防护的知识等。

持续改进

持续改进需贯穿在网络安全工程的所有活动中，改进可以来源于

内/外部的监控获取的信息、lessonslearn,相似项目的经验，开发

过程中发现的问题、体系/流程审核中发现的问题等。

3.信息共享（InformationSharing)

信息共享要求组织必须考虑组织内外部哪些数据共享是必须的、

允许的，哪些是被禁止的，并根据这个准则去管理与第三方共享的数

据。

在具体实施层面，通常会对信息进行分级，制定相关的信息共享

流程，使用专门的信息传输工具，与第三方确定漏洞披露原则等。

4.管理体系（ManagementSystem)

组织应建立一个质量管理体系来支撑网络安全工程。主要支持网

络安全工程中的变更管理、文档管理、配置管理和需求管理。其中产

品的安全配置信息必须在产品终止维护前保持可用。此外，本节中还

建议组织制定生产制造环节的网络安全管理体系。

目前行业内绝大部分企业都通过了16949的认证，在实际实施中

需要考虑的是将网络安全开发活动纳入原有的变更、文档、配置和需

求管理流程中进行管理。

5.工具管理（ToolManagement)

组织应对能够影响相关项和组件网络安全的工具进行管理，这些

工具可能包括：

开发过程中的工具如模型开发，静态代码检查，验证工具。

生产中的工具如软件刷写工具、产线检测仪。

运维阶段的工具如在线诊断工具等。

工具可以通过以下的方法进行管理：使用用户手册和勘误表，访

问控制，权限控制，预防非预期行为和操作等。

此外，本节还建议在产品退役前，应保持相关环境（如软件编译、

开发环境、测试环境）可复制，以便在后续发生网络安全事件时，可

对漏洞进行复现和管理。

6.信息安全管理（Informationsecuritymanagement)

建议：相关的工作产品应该由一个信息安全管理系统来管理

7.网络安全审计（organizationcybersecurityaudit）

组织应进行网络安全审计，以判断组织的流程是否达到了本标准

的要求。需要注意几点：

审计人可以来自组织内部或外部，但必须保证审计的独立性，关

于独立性的要求可以参考26262中的相关描述。

网络安全审计可以包含在质量体系的审计中（如IATF16949）。

审计可以分阶段进行

最后在总结一下本章节要求输出的工作产品：

[WP-05-01]网络安全方针、规则和流程

[WP-05-02]能力管理、意识管