21434信息安全管理体系为CSMS合规认证提供理论框架指导 .pdfVIP

21434信息安全管理体系为CSMS合规认证提供理论框架指导--第1页

21434信息安全管理体系为CSMS合规认证提供理论框

架指导

1.网络安全治理（cybersecuritygovernance）

网络安全治理是最宏观的层面的安全治理方针，总共有5条要求，

可总结为以下几点：

领导层重视

公司最高层必须具备网络安全管理的概念，认可并且重视网络安

全的体系和能力建设，以保证安全工作的顺利实施。

流程保证

这里可以理解为CSMS体系的保证，流程包含了概念、开发、生

产、运维、退役、TARA方法论，安全监控，信息共享，应急响应等

21434中提及的所有环节的流程。每个模块的体系文件又可以分为程

序、指导手册，方法论和模板多级文件。

职责划分

CSMS体系建立好后，必须将各环节的职责分配给相应的部门/人

员，确保流程真正落地。

资源保证

必须保证相关能力的人员、技术和工具等资源。

与现有流程的结合

考虑如何将网络安全管理活动嵌入组织现有的流程中。

21434信息安全管理体系为CSMS合规认证提供理论框架指导--第1页

21434信息安全管理体系为CSMS合规认证提供理论框架指导--第2页

2.网络安全文化（cybersecurityculture)

这一节规定了组织实施网络安全管理需具备的“软实力”，可归

结为以下3点：

建立良好的网络安全文化

对于什么是“良好”的网络安全文化，可参考文件后的附录B，

内容和26262中提及的安全文化示例基本一致。

保证人员的能力和意识

能力涵盖了多个方面，如具备风险管理的流程和规定，具备功能

安全、隐私保护的相关流程规定，人员具备相关专业领域的知识以及

渗透、安全防护的知识等。

持续改进

持续改进需贯穿在网络安全工程的所有活动中，改进可以来源于

内/外部的监控获取的信息、lessonslearn,相似项目的经验，开发

过程中发现的问题、体系/流程审核中发现的问题等。

3.信息共享（InformationSharing)

信息共享要求组织必须考虑组织内外部哪些数据共享是必须的、

允许的，哪些是被禁止的，并根据这个准则去管理与第三方共享的数

据。

在具体实施层面，通常会对信息进行分级，制定相关的信息共享

流程，使用专门的信息传输工具，与第三方确定漏洞披露原则等。

21434信息安全管理体系为CSMS合规认证提供理论框架指导--第2页

21434信息安全管理体系为CSMS合规认证提供理论框架指导--第3页

4.管理体系（ManagementSystem)

组织应建立一个质量管理体系来支撑网络安全工程。主要支持网

络安全工程中的变更管理、文档管理、配置管理和需求管理。其中产

品的安全配置信息必须在产品终止维护前保持可用。此外，本节中还

建议组织制定生产制造环节的网络安全管理体系。

目前行业内绝大部分企业都通过了16949的认证，在实际实施中

需要考虑的是将网络安全开发活动纳入原有的变更、文档、配置和需

求管理流程中进行管理。

5.工具管理（ToolManagement)

组织应对能够影响相关项和组件网络安全的工具进行管理，这些

工具可能包括：

开发过程中的工具如模型开发，静态代码检查，