道路車輛 信息安全工程 征求意見稿

2GB/TXXXXX—XXXX道路車輛信息安全工程本文件規(guī)定了道路車輛中電子電氣(E/E)系統(tǒng)(包括其組件和接口)在概念、產(chǎn)品開發(fā)、生產(chǎn)、運(yùn)行、維護(hù)和報廢階段的信息安全風(fēng)險管理的工程要求。本文件定義了一個框架，其中包括信息安全過程要求以及溝通和管理信息安全風(fēng)險的通用語言。本文件適用于在本文件發(fā)布后開發(fā)或修改的批量生產(chǎn)的道路車輛E/E系統(tǒng)，包括其組件和接口。本文件未規(guī)定與信息安全有關(guān)的具體技術(shù)或解決方案。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T34590.3-2022，道路車輛功能安全第三部分：概念階段3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1架構(gòu)設(shè)計architecturaldesign可以識別組件、邊界、接口和交互的表示方法。3.2資產(chǎn)asset具有價值或?qū)r值做出貢獻(xiàn)的對象。3.3攻擊可行性attackfeasibility攻擊路徑的屬性，描述成功執(zhí)行相應(yīng)攻擊活動的難易度。3.4攻擊路徑attackpath為實(shí)現(xiàn)威脅場景的一組攻擊活動。3.5攻擊者attacker執(zhí)行攻擊路徑的個人、團(tuán)體或組織。3.6審核audit對過程進(jìn)行檢查，以確定過程目標(biāo)的實(shí)現(xiàn)程度。3GB/TXXXXX—XXXX3.7組件component邏輯上和技術(shù)上可分離的組成部分。3.8客戶customer接受服務(wù)或產(chǎn)品的個人或組織。3.9道路車輛信息安全cybersecurity使資產(chǎn)受到充分保護(hù)，免受道路車輛相關(guān)項(xiàng)、其功能及其電氣或電子組件的威脅場景的危害。3.10信息安全評估cybersecurityassessment信息安全狀態(tài)的評價。3.11信息安全檔案cybersecuritycase有證據(jù)支持的結(jié)構(gòu)化論證，表明風(fēng)險的合理性。3.12信息安全聲明cybersecurityclaim關(guān)于風(fēng)險的信息安全索賠聲明。3.13信息安全概念cybersecurityconcept相關(guān)項(xiàng)的信息安全需求和對操作環(huán)境的要求以及有關(guān)信息安全控制的相關(guān)信息。3.14信息安全控制cybersecuritycontrol改變風(fēng)險的措施。3.15信息安全事態(tài)cybersecurityevent與相關(guān)項(xiàng)或組件有關(guān)的信息安全信息。3.16信息安全目標(biāo)cybersecuritygoal與一個或多個威脅情景相關(guān)的概念級信息安全需求。3.17信息安全事件cybersecurityincident可能涉及漏洞利用的情況。4GB/TXXXXX—XXXX3.18信息安全信息cybersecurityinformation與信息安全有關(guān)的信息,其相關(guān)性尚未確定。3.19信息安全接口協(xié)議cybersecurityinterfaceagreement客戶和供應(yīng)商之間關(guān)于分布式信息安全活動的協(xié)議。3.20信息安全屬性cybersecurityproperty值得保護(hù)的屬性。3.21信息安全規(guī)范cybersecurityspecification信息安全需求和相應(yīng)的架構(gòu)設(shè)計。3.22危害場景damagescenario涉及車輛或車輛功能并影響道路使用者的不良后果。3.23分布式信息安全活動distributedcybersecurityactivities相關(guān)項(xiàng)或組件的信息安全活動，其責(zé)任在客戶和供應(yīng)商之間分配。3.24對危害場景下的損害程度或物理傷害程度的估計。3.25在車輛層面實(shí)現(xiàn)一個功能的組件或組件集。注：如果一個系統(tǒng)在車輛層面實(shí)現(xiàn)了一個功能，3.26操作環(huán)境operationalenvironment在操作使用中考慮到相互作用的環(huán)境。注：相關(guān)項(xiàng)或組件的操作使用，包括在車輛3.27獨(dú)立于環(huán)境out-of-context未在特定相關(guān)項(xiàng)定義下的開發(fā)。3.28滲透測試penetrationtesting模擬實(shí)際攻擊的信息安全測試，用以識別破壞信息安全目標(biāo)的方法。5GB/TXXXXX—XXXX3.29風(fēng)險risk信息安全風(fēng)險，道路車輛信息安全不確定性的影響，可用攻擊可行性和影響表示。3.30風(fēng)險管理riskmanagement指導(dǎo)和控制組織風(fēng)險的協(xié)調(diào)活動。3.31道路使用者roaduser參與道路交通活動的人員。3.32裁剪tailor以與本文件描述不同的方式省略或執(zhí)行某項(xiàng)活動。3.33威脅場景threatscenario為實(shí)現(xiàn)危害場景，一個或多個資產(chǎn)的信息安全屬性遭到破壞的潛在原因。3.34分類triage分析以確定信息安全信息與某一相關(guān)項(xiàng)或組件的相關(guān)性。3.35觸發(fā)器trigger用于分類的準(zhǔn)則。3.36確認(rèn)validation通過提供客觀證據(jù)以證明相關(guān)項(xiàng)的信息安全目標(biāo)是否充分并已實(shí)現(xiàn)。3.37驗(yàn)證verification通過提供客觀證據(jù)確認(rèn)是否滿足特定要求。3.38脆弱性或漏洞vulnerability能被利用的弱點(diǎn)，可作為攻擊路徑的一部分。3.39漏洞分析vulnerabilityanalysis系統(tǒng)地識別和評估漏洞。3.40弱點(diǎn)weakness可導(dǎo)致非預(yù)期行為的缺陷或特征。6GB/TXXXXX—XXXX示例：如缺少需求或規(guī)范；架構(gòu)或設(shè)計缺陷、包括安全協(xié)議的不正確設(shè)計；實(shí)安全協(xié)議的不正確的實(shí)現(xiàn)；操作過程或程序有缺陷，包括操作不當(dāng)和用戶培訓(xùn)不足；使用過時或4縮略語CAL：E/E：ECU：OBD:PM：RC：RQ：WP：TARA：信息安全保障等級（CybersecurityAssuranceLevel）常見漏洞評分系統(tǒng)（CommonVulnerabilityScoringSystem）電子電氣（ElectricalandElectronic）電子控制單元（ElectronicControlUnit）車載診斷（On-BoardDiagnostic）原始設(shè)備制造商（OriginalEquipmentManufacturer）許可（Permission）建議（Recommendation）要求（Requirement）工作成果（WorkProduct）威脅分析和風(fēng)險評估（ThreatAnalysisandRiskAssessment）5整體考慮一個相關(guān)項(xiàng)包括車輛中實(shí)現(xiàn)整車級別特定功能（如制動）的所有電子設(shè)備和軟件（即其組件）。一個相關(guān)項(xiàng)或一個組件與各自的運(yùn)行環(huán)境相互作用。本文件僅適用于批量生產(chǎn)的道路車輛（即不是原型車）與信息安全相關(guān)的相關(guān)項(xiàng)和組件，包括售后件和服務(wù)件。車輛的外部系統(tǒng)（如后端服務(wù)器）出于信息安全的目的可以考慮，但不在本文件的范圍內(nèi)。本文件從單個相關(guān)項(xiàng)的角度來描述信息安全工程。本文件沒有規(guī)定如何進(jìn)行道路車輛E/E架構(gòu)中相關(guān)項(xiàng)功能的適當(dāng)分配。對于車輛整體而言，可以考慮構(gòu)建車輛E/E架構(gòu)或其信息安全相關(guān)的相關(guān)項(xiàng)和組件的信息安全檔案集。如果本文件中描述的信息安全活動是在相關(guān)項(xiàng)和組件上進(jìn)行的，那么將會解決不合理的車輛信息安全風(fēng)險。如圖1所示，本文件中描述的組織整體信息安全風(fēng)險管理適用于全生命周期。7風(fēng)險評估識別分析維護(hù)運(yùn)營生產(chǎn)圖1整體信息安全風(fēng)險管理信息安全風(fēng)險管理適用于整個供應(yīng)鏈，以支持信息安全工程。汽車供應(yīng)鏈表現(xiàn)出多樣化的合作模式。并非所有的信息安全活動都適用于與某個特定項(xiàng)目相關(guān)的所有組織。信息安全活動可以根據(jù)具體情況的需要進(jìn)行裁剪。某一特定相關(guān)項(xiàng)或部件的開發(fā)伙伴應(yīng)就工作分工達(dá)成一致，以便執(zhí)行適用的信息安全活動。圖2顯示了一個相關(guān)項(xiàng)、功能、組件和相關(guān)術(shù)語之間的關(guān)系。資產(chǎn)網(wǎng)絡(luò)安全目標(biāo)網(wǎng)絡(luò)安全要求威脅場景道路使用者危害場景相關(guān)項(xiàng)圖2相關(guān)項(xiàng)、功能、組件和相關(guān)術(shù)語之間的關(guān)系第16章描述了信息安全風(fēng)險評估的模塊化方法，這些方法會在其他章節(jié)所述的信息安全風(fēng)險活動中被引用。在信息安全工程背景下的分析活動，可識別和探索具有惡意意圖的抽象敵對行為者的潛在行為，以及車輛E/E系統(tǒng)的信息安全損害后可能產(chǎn)生的危害。信息安全工程和其他學(xué)科的專業(yè)知識之間的協(xié)調(diào)可以支持深入分析并減輕具體的信息安全風(fēng)險。信息安全監(jiān)測、補(bǔ)救和事件響應(yīng)活動作為概念和產(chǎn)品開發(fā)8GB/TXXXXX—XXXX活動的補(bǔ)充，可以作為一種被動的方法，確認(rèn)環(huán)境中不斷變化的條件（如新的攻擊技術(shù)），持續(xù)地識別和管理道路車輛E/E系統(tǒng)的弱點(diǎn)和漏洞。縱深防御的方法可用于減輕信息安全風(fēng)險?？v深防御方法利用多層信息安全控制來提高車輛的信息安全。如果攻擊能夠穿透或繞過一個層，另一個層可以幫助遏制攻擊并保持對資產(chǎn)的保護(hù)。6組織的信息安全管理6.1總則為了實(shí)現(xiàn)信息安全工程，組織應(yīng)建立并維護(hù)包括信息安全意識管理、能力管理和持續(xù)改進(jìn)在內(nèi)的信息安全治理和信息安全文化。這涉及到制定組織層面的規(guī)則和過程，并依據(jù)本文件中的目標(biāo)進(jìn)行獨(dú)立審為了支持信息安全工程，組織還應(yīng)為信息安全建立管理體系，包括工具的管理和質(zhì)量管理體系的應(yīng)本章的目標(biāo)是：a)定義信息安全方針和組織層面的信息安全規(guī)則和過程；b)分配執(zhí)行信息安全活動所需的職責(zé)和相應(yīng)的權(quán)限；c)支持信息安全的實(shí)施，包括資源的提供和信息安全過程與其他相關(guān)過程之間相互作用的管理；d)管理信息安全風(fēng)險；e)建立并維護(hù)信息安全文化，包括能力管理、意識管理和持續(xù)改進(jìn)；f)支持并管理信息安全信息的共享；g)建立并維護(hù)支撐信息安全維護(hù)的管理體系；h)提供證據(jù)證明使用的工具不會對信息安全產(chǎn)生不利的影響；i)執(zhí)行組織層面的信息安全審核。6.3輸入6.3.1先決條件6.3.2更多支持信息可以考慮以下信息：-符合質(zhì)量管理標(biāo)準(zhǔn)的證據(jù)。例如：IATF16949與其他標(biāo)準(zhǔn)的聯(lián)合，如：ISO9001，AutomotiveSPICE,ISO/IEC330XX系列標(biāo)準(zhǔn),ISO/IEC/IEEE15288和ISO/IEC/IEEE12207。6.4要求和建議6.4.1信息安全治理[RQ-05-01]組織應(yīng)定義信息安全方針，包含：a)對道路車輛信息安全風(fēng)險的確認(rèn)；b)最高管理層對相應(yīng)信息安全風(fēng)險進(jìn)行管理的承諾。注2：在考慮內(nèi)部和外部環(huán)境的情況下，信息安全方針可以包括一項(xiàng)聲明，說明對組織的產(chǎn)品或服務(wù)組合的一般威[RQ-05-02]組織應(yīng)建立并維護(hù)組織層面的規(guī)則和過程，以滿足以下要求：9a)能夠?qū)嵤┍疚募囊螅籦)支持相應(yīng)活動的執(zhí)行。網(wǎng)絡(luò)安全方針網(wǎng)絡(luò)安全規(guī)則和流程網(wǎng)絡(luò)安全資源網(wǎng)絡(luò)安全責(zé)任圖3信息安全治理[RQ-05-03]組織應(yīng)分配實(shí)現(xiàn)與維護(hù)信息安全的職責(zé)，并給予相應(yīng)的組織權(quán)力。[RQ-05-04]組織應(yīng)提供解決信息安全問題所需的資源。[RQ-05-05]組織應(yīng)識別與信息安全有關(guān)或相互作用的專業(yè)領(lǐng)域，并在這些專業(yè)領(lǐng)域之間建立和維護(hù)溝通的渠道，以滿足以下要求：a)確定是否要將信息安全融入到現(xiàn)有過程中，以及如何融合；b)協(xié)調(diào)相關(guān)信息的交換。6.4.2信息安全文化[RQ-05-06]組織應(yīng)培養(yǎng)并維護(hù)強(qiáng)大的信息安全文化。[RQ-05-07]組織應(yīng)確保被分配了信息安全角色和職責(zé)的人員具有履行這些角色和職責(zé)的能力和意[RQ-05-08]組織應(yīng)建立并維護(hù)持續(xù)改進(jìn)過程。GB/TXXXXX—XXXX6.4.3信息共享[RQ-05-09]組織應(yīng)界定在哪些情況下，要求、允許或者被禁止組織內(nèi)部和外部共享信息安全相關(guān)的信息。[RC-05-10]組織應(yīng)根據(jù)[RQ-05-09]的規(guī)定，將共享數(shù)據(jù)的信息安全管理與其他各方保持一致。6.4.4管理體系[RQ-05-11]組織應(yīng)按國際標(biāo)準(zhǔn)或者同等標(biāo)準(zhǔn)建立和維護(hù)一個質(zhì)量管理體系來支撐信息安全工程，包含：a)變更管理；根據(jù)生產(chǎn)控制計劃評審生產(chǎn)過程的變更，以防止此類b)文檔管理；c)配置管理；d)需求管理。[RQ-05-12]用于維護(hù)該領(lǐng)域內(nèi)產(chǎn)品信息安全的配置信息應(yīng)保持可用，直至產(chǎn)品的網(wǎng)絡(luò)安全支持結(jié)束，以便能采取補(bǔ)救措施。[RC-05-13]應(yīng)建立生產(chǎn)過程的信息安全管理體系，以便支持12章的活動。6.4.5工具管理[RQ-05-14]應(yīng)管理能夠影響相關(guān)項(xiàng)或組件信息安全的工具。[RC-05-15]支持信息安全事件補(bǔ)救措施的合適環(huán)境應(yīng)該是可復(fù)現(xiàn)的，直至產(chǎn)品的信息安全支持結(jié)束。GB/TXXXXX—XXXX6.4.6信息安全管理[RC-05-16]工作成果應(yīng)按照信息安全管理體系進(jìn)行管理。例：可以將工作成果存儲在文件服務(wù)器上，以防止未經(jīng)授權(quán)6.4.7信息安全審核[RQ-05-17]應(yīng)獨(dú)立進(jìn)行信息安全審核以判斷組織的過程是否達(dá)到了本文件的目標(biāo)。6.5工作成果[WP-05-01]信息安全方針、規(guī)則和過程，依據(jù)6.4.1至6.4.3的要求。[WP-05-02]能力管理和意識管理的證據(jù)，依據(jù)[RQ-05-07]的要求；持續(xù)改進(jìn)的證據(jù)，依據(jù)[RQ-05-08]的要求。[WP-05-03]組織管理體系的證據(jù)，依據(jù)6.4.4和6.4.6的要求。[WP-05-04]工具管理的證據(jù)，依據(jù)6.4.5的要求。[WP-05-05]組織層面的信息安全審核報告，依據(jù)6.4.7的要求。7項(xiàng)目相關(guān)的信息安全管理7.1總則本章描述了有關(guān)特定項(xiàng)目的信息安全開發(fā)活動的管理要求。項(xiàng)目相關(guān)的信息安全管理包括職責(zé)分配和信息安全活動的計劃。本文件以通用方式定義要求，以便可以將其應(yīng)用于各種相關(guān)項(xiàng)和組件。另外，可以基于原理在信息安全計劃中進(jìn)行裁剪?？梢允褂貌眉舻氖纠ǎ?復(fù)用；-獨(dú)立于環(huán)境的組件；-更新。無論相關(guān)項(xiàng)、組件或其操作環(huán)境是否發(fā)生變更，相關(guān)項(xiàng)和組件的復(fù)用是可以應(yīng)用的開發(fā)策略。但是，變更可能會引入原始相關(guān)項(xiàng)或組件尚未考慮的漏洞。此外，已知攻擊可能發(fā)生了變化，例如：攻擊技術(shù)的發(fā)展；新出現(xiàn)的漏洞，例如從信息安全監(jiān)測或信息安全事件評估中得知的漏洞；自初始開發(fā)以來資產(chǎn)的變化。如果原始相關(guān)項(xiàng)或組件是根據(jù)本文件開發(fā)的，則可基于現(xiàn)有的工作成果復(fù)用該相關(guān)項(xiàng)或組件。如果相關(guān)項(xiàng)或組件最初不是根據(jù)本文件開發(fā)的，則可以基于現(xiàn)有文件復(fù)用，并說明理由。一個組件可以獨(dú)立于環(huán)境開發(fā)，例如基于假設(shè)的環(huán)境。在與客戶接觸或達(dá)成商業(yè)協(xié)議之前，組織可以為不同的應(yīng)用和不同的客戶開發(fā)通用組件。供應(yīng)商可以對環(huán)境和預(yù)期用途進(jìn)行假設(shè)?；诖耍?yīng)商可以得出獨(dú)立于環(huán)境的開發(fā)需求。例如，獨(dú)立于環(huán)境開發(fā)微控制器?，F(xiàn)成的組件是指不為特定客戶開發(fā)的組件，可以在不變更其設(shè)計或?qū)嵤┑那闆r下使用。例如，第三方軟件庫、開源軟件組件。現(xiàn)成的組件不被認(rèn)為是按照本文件要求開發(fā)的。按照本文件，現(xiàn)成的組件和獨(dú)立于環(huán)境開發(fā)的組件可以被集成到一個相關(guān)項(xiàng)或組件中(見圖4)。本文件范圍環(huán)境下相關(guān)項(xiàng)環(huán)境下相關(guān)項(xiàng)獨(dú)立于環(huán)境現(xiàn)成的組件現(xiàn)成的注：后開發(fā)階段通常包括生產(chǎn)、運(yùn)維、報廢階段。注：信息安全活動的責(zé)任可以轉(zhuǎn)移，前提是要進(jìn)行交流并移交相關(guān)信息。GB/TXXXXX—XXXXa）該模塊或組件是否與信息安全相關(guān)；注2：如果確定該相關(guān)項(xiàng)或組件與信息安全無關(guān)，則沒有相關(guān)的信息安b)如果該相關(guān)項(xiàng)或組件與信息安全有關(guān)，該相關(guān)項(xiàng)或部件是新開發(fā)還是復(fù)用；c)是否按照7.4.3進(jìn)行裁剪。[RQ-06-03]信息安全計劃應(yīng)包括：a)活動的目標(biāo)；b)對其他活動或信息的依賴；c)負(fù)責(zé)執(zhí)行活動的人員；d)執(zhí)行活動所需的資源；e)開始節(jié)點(diǎn)或終止節(jié)點(diǎn)以及預(yù)期持續(xù)時間；f)工作成果的標(biāo)識。[RQ-06-04]應(yīng)根據(jù)[RQ-05-03]和[RQ-05-04]分配開發(fā)和維護(hù)信息安全計劃以及根據(jù)信息安全計劃跟蹤信息安全活動進(jìn)度的職責(zé)。[RQ-06-05]信息安全計劃應(yīng)：a）在開發(fā)項(xiàng)目計劃中提及；b）包括在項(xiàng)目計劃中，以使信息安全活動具有可區(qū)分性。注3：信息安全計劃可以在配置管理下包含與其他計劃（如項(xiàng)目計劃）[RQ-06-06]信息安全計劃應(yīng)根據(jù)第9、10、11和15章的相關(guān)要求，指定與概念階段和產(chǎn)品開發(fā)階段所需要的信息安全活動。[RQ-06-07]當(dāng)進(jìn)行的活動確定要發(fā)生更改或細(xì)化時，應(yīng)更新信息安全計劃。注4：信息安全計劃可以在開發(fā)過程中逐步完善。例如，信息安全計劃可以根據(jù)信[PM-06-08]對于根據(jù)本文件16.8的分析確定的風(fēng)險值為1的威脅場景，可以省略與10.5、11和12章的符合性。注5：威脅情況可能會對信息安全產(chǎn)生影響，如果產(chǎn)生注6：可以根據(jù)信息安全檔案中定義的基本原理來論證對此類風(fēng)險的處理[RQ-06-09]信息安全計劃中確定的工作成果應(yīng)在后開發(fā)階段發(fā)布之前和發(fā)布時進(jìn)行更新并保持準(zhǔn)確性。[RQ-06-10]對于分布式信息安全活動，客戶和供應(yīng)商均應(yīng)根據(jù)第16章為其各自的信息安全活動和接口定義信息安全計劃。[RQ-06-11]信息安全計劃應(yīng)按照6.4.4的規(guī)定，接收配置管理和文件管理。[RQ-06-12]按照6.4.6的規(guī)定，信息安全計劃中確定的工作成果，應(yīng)接受配置管理、變更管理、需求管理和文件管理。7.4.3裁剪[PM-06-13]信息安全活動可以被裁剪。[RQ-06-14]如果信息安全活動被裁剪了，應(yīng)提供并審查基本原理，用來證明可以通過裁剪充分實(shí)現(xiàn)本文件的相關(guān)目標(biāo)。注：因供應(yīng)鏈中的另一實(shí)體執(zhí)行而未執(zhí)行的活動不被視為裁剪，被視為分布式信息安全活[RQ-06-15]如果一個相關(guān)項(xiàng)或組件完成開發(fā)，應(yīng)開展復(fù)用分析：b)計劃在另一個操作環(huán)境中復(fù)用；車輛車輛B相關(guān)項(xiàng)或組件B組件Xa相關(guān)項(xiàng)X組件X圖5復(fù)用分析示例c)計劃在不變更的情況下復(fù)用，并且有關(guān)模塊或組件的信息也有相應(yīng)的變化，[RQ-06-16]相關(guān)項(xiàng)或組件的復(fù)用分析應(yīng)：a)識別相關(guān)項(xiàng)或組件的變更和操作環(huán)境的變更；b)分析變更后的信息安全影響，包括對信息安全聲明和先前假設(shè)的有效性的影響；c)識別受影響或缺少的工作成果；d)在信息安全計劃中指定符合本文件所需的信息安全活動。[RQ-06-17]組件的復(fù)用分析應(yīng)評估：a)該組件能夠滿足其要集成的相關(guān)項(xiàng)或組件所分配的信息安全要求；b)現(xiàn)有文檔是否足以支持該組件集成到一個相關(guān)項(xiàng)或另一個組件中。7.4.5獨(dú)立于環(huán)境的組件[RQ-06-18]應(yīng)在相應(yīng)的工作成果中記錄獨(dú)立于環(huán)境開發(fā)的組件對預(yù)期用途和環(huán)境的假設(shè)，包括外[RQ-06-19]對于獨(dú)立于環(huán)境的組件的開發(fā)，信息安全需求應(yīng)基于[RQ-06-18]的假設(shè)。[RQ-06-20]對于獨(dú)立于環(huán)境開發(fā)的組件的集成，應(yīng)驗(yàn)證[RQ-06-18]的信息安全聲明和假設(shè)。[RQ-06-21]當(dāng)集成現(xiàn)成組件時，應(yīng)收集和分析與信息安全相關(guān)的文件，以確定：a)滿足分配的信息安全需求；注1:證據(jù)可以隱含的(例如，如果從已編譯的工作成果集中可以看出該證據(jù)，則可以省略這部分證注3:信息安全檔案需考慮后開發(fā)的信息安全需求[WP-10-02]。注3:獨(dú)立方案可基于GB/T34590系列標(biāo)準(zhǔn)。注4:現(xiàn)有證據(jù)由信息安全活動的記錄結(jié)果提供，如工作成果(見附錄A)。注5:圖6說明了組織信息安全審核、項(xiàng)目級信息安全評估和其他信息安全活動之間的關(guān)系。GB/TXXXXX—XXXX[RQ-06-27]應(yīng)根據(jù)[RQ-06-01]，任命負(fù)責(zé)計劃和獨(dú)立進(jìn)行信息安全評估的人員。注8：獨(dú)立方案可基于GB/T34590系列標(biāo)準(zhǔn)。例：來自于組織內(nèi)不同團(tuán)隊(duì)或部門的人員，如質(zhì)量保證部門，來自獨(dú)立組織的人員。[RQ-06-28]進(jìn)行信息安全評估的人員應(yīng)：a)有權(quán)獲得相關(guān)信息和工具；b)獲得執(zhí)行信息安全活動的人員的合作。[PM-06-29]可基于對是否達(dá)到本文件目標(biāo)的判斷進(jìn)行信息安全評估。[RQ-06-30]信息安全評估的范圍應(yīng)包括：a信息安全計劃和信息安全計劃要求的所有工作成果；b)對信息安全風(fēng)險的處理；c項(xiàng)目實(shí)施的信息安全控制和信息安全活動的適當(dāng)性和有效性；注9：合理性和有效性可以通過使用先前為驗(yàn)證目的而進(jìn)行的評審來判斷。d）證明已達(dá)到本文件目標(biāo)的基本原理（如果提供）；注10：考慮到[PM-06-13]，工作成果的創(chuàng)建負(fù)責(zé)人可以提供一個基本原理，解釋為什么要實(shí)現(xiàn)本文件的相應(yīng)目標(biāo)以促進(jìn)信息安全評估。注11：符合所有相應(yīng)要求是實(shí)現(xiàn)本文件目的的充分基本原理。[RQ-06-31]信息安全評估報告應(yīng)包括接受，帶條件接受或拒絕該相關(guān)項(xiàng)或組件的信息安全建議。注12：評估報告也可以包括持續(xù)改進(jìn)建議。[RQ-06-32]如果提出了根據(jù)[PM-06-31]的帶條件接受建議，則信息安全評估報告應(yīng)包括接受條件。7.4.9后開發(fā)的發(fā)布[RQ-06-33]下列工作成果應(yīng)在后開發(fā)階段的發(fā)布之前可用：-信息安全檔案[WP-06-02]；-如果適用，信息安全評估報告[WP-06-03]；-后開發(fā)階段的信息安全需求[WP-10-02]。[RQ-06-34]相關(guān)項(xiàng)或組件在后開發(fā)的發(fā)布應(yīng)滿足以下條件：a）信息安全檔案提供了充分的證據(jù)證明信息安全；b）通過信息安全評估確認(rèn)信息安全檔案，如果適用；b）后開發(fā)階段的信息安全需求被接受。7.5工作成果[WP-06-01]根據(jù)7.4.1至7.4.6的要求制定的信息安全計劃。[WP-06-02]根據(jù)7.4.7的要求制定的信息安全檔案。[WP-06-03]根據(jù)7.4.8的要求得出的信息安全評估報告（如適用）。[WP-06-04]根據(jù)7.4.9的要求得出的用于后開發(fā)階段的發(fā)布報告。8分布式信息安全活動8.1總則如果相關(guān)項(xiàng)或組件信息安全活動的責(zé)任是分布式的，本條適用。本章描述了分布式信息安全活動的管理，并且適用于以下情況：a)在分布式信息安全活動中開發(fā)的相關(guān)項(xiàng)和組件；b)客戶-供應(yīng)商間的交互；c)客戶-供應(yīng)商接口協(xié)議適用的所有階段。內(nèi)部供應(yīng)商和外部供應(yīng)商可以采用同樣的方式進(jìn)行管理。示例：一個1級供應(yīng)商是某OEM開發(fā)過程中的供應(yīng)商，在另一個組件供應(yīng)的合同關(guān)系中它是某2級供應(yīng)商的客戶。這在圖7中進(jìn)行了說明。[RQ-07-01]應(yīng)按本文評價潛在供應(yīng)商在開發(fā)(如果適用)以及后開發(fā)活動方面的能力。-組織關(guān)于信息安全能力的證據(jù)(例如：在開發(fā)、后開發(fā)、治理、質(zhì)量和傳統(tǒng)信息安全等方面的信息安全最佳實(shí)踐);-開展可持續(xù)的信息安全活動(見第9章)和信息安全事件響應(yīng)(見第14章)的證據(jù)；例1:客戶執(zhí)行整車層面的信息安全確認(rèn)。例2:后開發(fā)階段的信息安全活動的分布。例3:供應(yīng)商、客戶或者第三方可以就供應(yīng)商開發(fā)的組件或工作成果進(jìn)行信息安全評估。注1:共享的信息可以包含：GB/TXXXXX—XXXX-漏洞和其他信息安全相關(guān)發(fā)現(xiàn)的信息交換流程，例如，關(guān)于風(fēng)險；-接口相關(guān)的過程、方法和工具，用來確?？蛻艉凸?yīng)商對接的兼容性，例如對于數(shù)據(jù)的恰當(dāng)處理和對傳輸數(shù)據(jù)的通訊網(wǎng)絡(luò)的安全防護(hù)；-角色的定義；-溝通和記錄相關(guān)項(xiàng)或組件變更的方法，包含TARA潛在重復(fù)使用；-需求管理工具的統(tǒng)一；-信息安全評估的結(jié)果。e)分布式信息安全活動的里程碑；f)相關(guān)項(xiàng)或組件的信息安全支持終止的定義。[RC-07-05]信息安全接口協(xié)議應(yīng)在客戶和供應(yīng)商開始分布式活動前共同商定。[RQ-07-06]如果根據(jù)[RQ-08-07]識別的漏洞需要管理，則客戶和供應(yīng)商應(yīng)對采取的行動及行動的職責(zé)達(dá)成共識。[RQ-07-07]如果需求不清楚、不可行、或與其他信息安全需求或相關(guān)領(lǐng)域的需求相沖突，則客戶和供應(yīng)商應(yīng)互相通知對方，以便做出適當(dāng)?shù)臎Q定并采取行動。[RC-07-08]在職責(zé)分配矩陣中規(guī)定職責(zé)。注2：可以使用RASIC表，參見附錄C。8.5工作成果[WP-07-01]由8.4.3的要求產(chǎn)生的信息安全接口協(xié)議。9持續(xù)的信息安全活動9.1總則持續(xù)的信息安全活動可以在全生命周期的每一個階段進(jìn)行，也可以在項(xiàng)目之外進(jìn)行。信息安全監(jiān)測收集信息安全情報并根據(jù)已定義的觸發(fā)器進(jìn)行分類。信息安全事態(tài)評估幫助確定信息安全事件是否展現(xiàn)了相關(guān)項(xiàng)和組件的脆弱性。漏洞分析檢查弱點(diǎn)，并評估該弱點(diǎn)是否可被用于發(fā)動攻擊。漏洞管理跟蹤并監(jiān)督相關(guān)項(xiàng)和組件中的漏洞處理，直至信息安全支持結(jié)束。本章節(jié)的目的包括：a)監(jiān)控信息安全情報從而識別信息安全事態(tài)；b)評估信息安全事態(tài)從而識別弱點(diǎn)；c)識別來自脆弱性的漏洞；d)管理已識別的漏洞。9.3信息安全監(jiān)測9.3.1輸入9.3.1.1先決條件應(yīng)提供以下信息：在[WP-05-01]中用于開發(fā)觸發(fā)器的規(guī)則和過程。9.3.1.2附加支持資料可以考慮以下信息：-相關(guān)項(xiàng)定義[WP-09-01]；GB/TXXXXX—XXXX-信息安全聲明[WP-09-04]；-信息安全規(guī)范[WP-10-01]；-威脅場景[WP-15-03]；-過去的漏洞分析結(jié)果[WP-08-05]；-現(xiàn)場收集的信息；9.3.2要求和建議[RQ-08-01]應(yīng)選擇信息安全情報收集的來源。[RQ-08-02]應(yīng)該定義和維護(hù)觸發(fā)器，以便進(jìn)行信息安全情報分類。注4:觸發(fā)器可以包括關(guān)鍵字、配置信息的[RQ-08-03]應(yīng)收集和分類信息安全情報，并確定是否成為一個或多個信息安全事態(tài)。9.3.3工作成果[WP-08-01]來自[RQ-08-01]的信息安全情報來源。[WP-08-01]來自[RQ-08-02]的觸發(fā)器。[WP-08-03]來自[RQ-08-03]的信息安全事態(tài)。9.4信息安全事態(tài)評估9.4.1輸入9.4.1.1先決條件應(yīng)提供以下信息：-信息安全事態(tài)[WP-08-03];-（如有）后開發(fā)階段的信息安全需求；-對應(yīng)[RQ-05-12]的配置信息。9.4.1.2附加支持資料可以考慮以下信息：-相關(guān)項(xiàng)定義[WP-09-01]；-信息安全規(guī)范[WP-10-01]；-過去的漏洞分析結(jié)果[WP-08-05]；9.4.2要求和建議[RQ-08-04]應(yīng)評估信息安全事態(tài)，以識別相關(guān)項(xiàng)和/或組件中的弱點(diǎn)。注2：如果存在弱點(diǎn)并且有對應(yīng)的補(bǔ)救措施（），GB/TXXXXX—XXXX9.4.3工作成果[WP-08-04]由[RQ-08-04]產(chǎn)生的信息安全事態(tài)的弱點(diǎn)。9.5漏洞分析9.5.1輸入9.5.1.1先決條件應(yīng)提供以下信息：-相關(guān)項(xiàng)定義[WP-09-01]或信息安全規(guī)范[WP-10-01]；注：如果對相關(guān)項(xiàng)進(jìn)行漏洞分析，則使用相關(guān)項(xiàng)的定義;如果對組件進(jìn)行漏洞分9.5.1.2附加支持資料可以考慮以下信息：—[WP-08-04]信息安全事態(tài)中的弱點(diǎn)?！a(chǎn)品開發(fā)[WP-10-05]過程中發(fā)現(xiàn)的弱點(diǎn)?！^去的漏洞分析結(jié)果[WP-08-05]；—攻擊路徑[WP-15-05];—驗(yàn)證報告[WP-10-04]和[WP-10-07]；—以往的信息安全事件。9.5.2要求和建議[RQ-08-05]應(yīng)分析弱點(diǎn)以識別漏洞。注2：可以通過執(zhí)行根本原因分析，來確定可[RQ-08-06]如果弱點(diǎn)未被確定為漏洞，應(yīng)提供理由。9.5.3工作成果[WP-08-05]由[RQ-08-05]和[RQ-08-06]產(chǎn)生的漏洞分析結(jié)果。9.6漏洞管理9.6.1輸入9.6.1.1先決條件應(yīng)提供以下信息：-漏洞分析結(jié)果[WP-08-05]；注：如果對相關(guān)項(xiàng)執(zhí)行脆弱性分析，則使用相關(guān)項(xiàng)的定義;如果對組件執(zhí)行脆弱性分9.6.1.2附加支持資料9.6.2要求和建議[RQ-08-07]應(yīng)對漏洞進(jìn)行管理，以便針對每個漏洞開展以下工作：GB/TXXXXX—XXXXa)相應(yīng)的信息安全風(fēng)險按照16.9進(jìn)行評估和處理，以便消除不合理的風(fēng)險；b)通過應(yīng)用獨(dú)立于TARA的補(bǔ)救措施來消除漏洞，如開源軟件的補(bǔ)丁。[RQ-08-08]如果根據(jù)16.9的風(fēng)險處置決策需要進(jìn)行信息安全事件響應(yīng)，則應(yīng)參照14.3。9.6.3工作成果[WP-08-06]由[RQ-08-07]產(chǎn)生的漏洞管理證據(jù)。10概念階段10.1總則概念階段涉及到整車級別功能在相關(guān)項(xiàng)中實(shí)施的考慮。在本章節(jié)中，相關(guān)項(xiàng)及其操作環(huán)境被識別為“相關(guān)項(xiàng)定義”，相關(guān)項(xiàng)定義構(gòu)成了后續(xù)活動的基礎(chǔ)。本章還規(guī)定了相關(guān)項(xiàng)的信息安全目標(biāo)，這是最高級別的要求。為此，通過第16章（見附錄H，圖H.1）的方法完成信息安全風(fēng)險評估。此外，10.4規(guī)定了信息安全聲明，用于解釋風(fēng)險保留和分擔(dān)的充分性。信息安全概念由信息安全需求和對操作環(huán)境的要求組成，基于信息安全目標(biāo)以及相關(guān)項(xiàng)而形成。本章節(jié)的目的是：a)定義相關(guān)項(xiàng)、操作環(huán)境和在信息安全上下文中的相互影響；b)明確信息安全目標(biāo)和信息安全聲明；c)明確實(shí)現(xiàn)信息安全目標(biāo)的信息安全概念。10.3相關(guān)項(xiàng)定義10.3.1輸入10.3.1.1先決條件10.3.1.2進(jìn)一步的支持信息考慮信息如下：-有關(guān)該相關(guān)項(xiàng)和操作環(huán)境的現(xiàn)有信息：10.3.2要求和建議[RQ-09-01]在相關(guān)項(xiàng)中應(yīng)確定以下信息：a)相關(guān)項(xiàng)邊界；b)相關(guān)項(xiàng)功能；c)初步架構(gòu)：注3：初步架構(gòu)的描述包括識別相關(guān)項(xiàng)的組GB/TXXXXX—XXXX注6：開發(fā)一個獨(dú)立于環(huán)境的組件可以基于對一個假定的（通用）相關(guān)項(xiàng)[RQ-09-02]應(yīng)描述與信息安全有關(guān)的相關(guān)項(xiàng)的操作環(huán)境信息。注7：通過描述操作環(huán)境及其與相關(guān)項(xiàng)之間的交互，注8：相關(guān)信息包括假設(shè)，如假設(shè)該相關(guān)項(xiàng)所依賴的每個公鑰基10.3.3工作成果[WP-09-01]相關(guān)項(xiàng)定義，由10.3.2的要求得出。10.4信息安全目標(biāo)10.4.1輸入10.4.1.1先決條件應(yīng)提供以下信息：-相關(guān)項(xiàng)定義[WP-09-01]。10.4.1.2進(jìn)一步的支持信息可考慮以下信息：-信息安全事態(tài)[WP-08-03]。10.4.2要求和建議[RQ-09-03]應(yīng)根據(jù)相關(guān)項(xiàng)定義進(jìn)行分析，其中包括：根據(jù)16.3的規(guī)定進(jìn)行資產(chǎn)識別；a）根據(jù)16.4的規(guī)定進(jìn)行威脅場景識別；b）根據(jù)16.5的規(guī)定，影響評級；c）根據(jù)16.6的規(guī)定，進(jìn)行攻擊路徑分析；d）根據(jù)16.7的規(guī)定，對攻擊可行性進(jìn)行評級；e）根據(jù)16.8的規(guī)定，確定風(fēng)險值；[RQ-09-04]根據(jù)[RQ-09-03]的結(jié)果，應(yīng)按照15.9的規(guī)定為每種威脅場景確定風(fēng)險處理方案。注2：通過消除風(fēng)險源來避免風(fēng)險，可能導(dǎo)[RQ-09-05]如果一個威脅場景的風(fēng)險處置決策包括減少風(fēng)險，那么應(yīng)指定一個或多個相應(yīng)的信息安全目標(biāo)。[RQ-09-06]如果一個威脅場景的風(fēng)險處置決策包括：a）分擔(dān)風(fēng)險；b）保留由于[RQ-09-03]分析過程中使用的一個或多個假設(shè)而產(chǎn)生的風(fēng)險，則應(yīng)指定一個或多個相應(yīng)的信息安全聲明；[RQ-09-07]應(yīng)進(jìn)行驗(yàn)證以確認(rèn)滿足下列要求：a）[RQ-09-03]的結(jié)果在相關(guān)項(xiàng)定義方面的正確性和完整性；b）[RQ-09-04]的風(fēng)險處置決策與[RQ-09-03]的結(jié)果的完整性、正確性和一致性；GB/TXXXXX—XXXXc）[RQ-09-05]的信息安全目標(biāo)和[RQ-09-06]的信息安全聲明與[RQ-09-04]風(fēng)險處置決策之間的完整性、正確性和一致性；d）該相關(guān)項(xiàng)[RQ-09-05]的所有信息安全目標(biāo)和[RQ-09-06]的信息安全聲明的一致性。10.4.3工作成果[WP-09-02]由[RQ-09-03]和[RQ-09-04]的要求得出TARA。[WP-09-03]由[RQ-09-05]的要求得出信息安全目標(biāo)。[WP-09-04]由[RQ-09-06]的要求得出信息安全聲明。[WP-09-05]由[RQ-09-07]的要求得出信息安全目標(biāo)的驗(yàn)證報告。10.5信息安全概念10.5.1輸入10.5.1.1先決條件應(yīng)獲得下列信息：-相關(guān)項(xiàng)定義[WP-09-01]；-信息安全目標(biāo)[WP-09-03]；-信息安全聲明[WP-09-04]。10.5.1.2進(jìn)一步的支持信息可考慮下列信息：-威脅分析和風(fēng)險評估[WP-09-02]。10.5.2要求及推薦[RQ-09-08]應(yīng)考慮以下因素，描述達(dá)成信息安全目標(biāo)而采取的信息安全控制和/或運(yùn)行控制措施，及其相互關(guān)系:a）相關(guān)項(xiàng)功能的依賴性;b)信息安全聲明。[RQ-09-09]相關(guān)項(xiàng)的信息安全需求及操作環(huán)境需求，應(yīng)按照[RQ-09-08]的描述，為實(shí)現(xiàn)信息安全目標(biāo)而進(jìn)行定義。注3：信息安全需求取決于并包括：相關(guān)項(xiàng)的特定功能，例如：升注4：對操作環(huán)境的需求，是在相關(guān)項(xiàng)以外實(shí)現(xiàn)的，但是被包括在相關(guān)項(xiàng)的信息安注5：對于作為操作環(huán)境一部分的其它相關(guān)項(xiàng)的需求，可[RQ-09-10]信息安全需求應(yīng)被分配到相關(guān)項(xiàng)，如果適用，分配到其一個或者多個組件。[RQ-09-11]應(yīng)驗(yàn)證[RQ-09-08],[RQ-09-09]and[RQ-09-10]的結(jié)果，以確定：a)完整性、正確性、及其與信息安全目標(biāo)的一致性;b)與信息安全聲明的一致性。10.5.3工作成果[WP-09-06]來自[RQ-09-08],[RQ-09-09]和[RQ-09-10]的信息安全概念。[WP-09-07]由[RQ-09-11]產(chǎn)生的信息安全概念驗(yàn)證報告。11產(chǎn)品研發(fā)11.1總則本章描述了信息安全需求和架構(gòu)設(shè)計的規(guī)范，以及集成與驗(yàn)證活動。迭代執(zhí)行這些信息安全活動，直到信息安全控制不需要進(jìn)一步細(xì)化。通過驗(yàn)證活動定義并確認(rèn)信息安全規(guī)范，以實(shí)現(xiàn)信息安全概念。圖8闡明了基于V模型的工作流程中，如何進(jìn)行產(chǎn)品研發(fā)活動的示例。10.4.1對應(yīng)V模型的左側(cè)，10.4.2對應(yīng)V模型的右側(cè)。在此示例中，相關(guān)項(xiàng)層面下，假定了兩個抽象層，即組件級和子組件級。本工作流程可被擴(kuò)展以覆蓋所有抽象層。VV模型左側(cè)第12章信息安全確認(rèn)(相關(guān)項(xiàng))11.4.1設(shè)計(組件)11.4.1設(shè)計(子組件)11.4.2集成與驗(yàn)證(子組件)(相關(guān)項(xiàng))11.4.2集成與驗(yàn)證(組件)V模型右側(cè)圖8V模型中的產(chǎn)品開發(fā)示例縱向雙向箭頭指明，按照11.4.1的描述，在設(shè)計過程中，對于更高層級的抽象架構(gòu)，針對信息安全規(guī)范進(jìn)行的驗(yàn)證。橫向雙向箭頭指明，按照11.4.2的描述，對于已執(zhí)行并已集成的組件，針對信息安全規(guī)范進(jìn)行的驗(yàn)證，也可應(yīng)用不同于V模型的開發(fā)方法，如：敏捷軟件開發(fā)?？砂凑誄AL調(diào)節(jié)本章內(nèi)活動的深度和嚴(yán)格程度，以及使用的方法(見附錄E)。本章目標(biāo)如下：a)定義信息安全規(guī)范；GB/TXXXXX—XXXX注:這些可以包括現(xiàn)有架構(gòu)設(shè)計中不存在的信b)驗(yàn)證定義的信息安全規(guī)范是否符合更高級別的抽象架構(gòu)的信息安全規(guī)范；c)識別組件的弱點(diǎn)；d)提供證據(jù)證明組件的實(shí)施和集成結(jié)果符合信息安全規(guī)范。11.3輸入11.3.1先決條件應(yīng)提供以下信息：—更高層級抽象架構(gòu)的信息安全規(guī)范[WP-10-01]11.3.2更多支持信息可以考慮以下信息：—相關(guān)項(xiàng)定義[WP-09-01]；—信息安全概念[WP-09-06]；—現(xiàn)有架構(gòu)設(shè)計；—已建立的信息安全控制；—復(fù)用件中已知的弱點(diǎn)和漏洞。11.4要求和建議11.4.1設(shè)計[RQ-10-01]定義信息安全規(guī)范應(yīng)基于：a）更高層級抽象架構(gòu)的信息安全規(guī)范；b）選擇實(shí)施的信息安全控制（如果適用）；C）現(xiàn)有的架構(gòu)設(shè)計，如果適用。注4：信息安全規(guī)范可以包括識別滿足信息安全需求相關(guān)的配置和校準(zhǔn)參數(shù)，以及注5：可以考慮實(shí)施信息安全控制所需組件的能[RQ-10-02]定義的信息安全需求應(yīng)分配給架構(gòu)設(shè)計的組件。[RQ-10-03]如果適用，應(yīng)指定組件開發(fā)后確保信息安全的程序。示例2：正確集成和啟動信息安全控制的程序，以及在整個生產(chǎn)過程中維護(hù)信息安全的程序。[RQ-10-04]如果信息安全規(guī)范或其實(shí)施使用設(shè)計、建?；蚓幊谭柣蛘Z言，則在選擇此類符號或語言時應(yīng)考慮以下內(nèi)容：a)一個在語法和語義上都清晰易懂的定義；b)支持實(shí)現(xiàn)模塊化、抽象和封裝；c)支持使用結(jié)構(gòu)化構(gòu)造；GB/TXXXXX—XXXXd)支持使用安全的設(shè)計和實(shí)現(xiàn)技術(shù)；e)能夠集成現(xiàn)有組件，以及f)針對由于語言使用不當(dāng)而導(dǎo)致的漏洞，語言的恢復(fù)能力。[RQ-10-05]適用于信息安全的設(shè)計、建?；蚓幊陶Z言的標(biāo)準(zhǔn)（見[RQ-10-04]），語言本身并未涉及，應(yīng)包含在設(shè)計、建模和編碼指南或開發(fā)環(huán)境中。[RC-10-06]應(yīng)采用已確立且可信的設(shè)計和實(shí)施原則，以避免或盡量減少引入弱點(diǎn)。[RQ-10-07]應(yīng)分析[RQ-10-01]中定義的架構(gòu)設(shè)計以識別弱點(diǎn)。注8：可以考慮來自復(fù)用件的已知弱點(diǎn)和漏洞。[RQ-10-08]應(yīng)驗(yàn)證定義的信息安全規(guī)范以確保完整性、正確性以及與更高層級抽象架構(gòu)的信息安全規(guī)范的一致性。11.4.2集成和驗(yàn)證[RQ-10-09]集成和驗(yàn)證活動應(yīng)驗(yàn)證組件的執(zhí)行和集成符合定義的信息安全規(guī)范。[RQ-10-10]指定[RQ-10-09]的集成和驗(yàn)證活動應(yīng)考慮：a)定義的信息安全規(guī)范；b)用于批量生產(chǎn)的配置，如果適用；c)足夠的能力來支持定義的信息安全規(guī)范中指定的功能；d)符合[RQ-10-05]的建模、設(shè)計和編碼指南，如果適用?！谥R或經(jīng)驗(yàn)的錯誤猜測。GB/TXXXXX—XXXX[RQ-10-11]如果采用測試進(jìn)行驗(yàn)證，應(yīng)使用定義的測試覆蓋率度量標(biāo)準(zhǔn)來評估測試覆蓋率，以確定測試活動的充分性。注5：標(biāo)準(zhǔn)測試覆蓋率度量可能不足以應(yīng)對信息[RC-10-12]應(yīng)執(zhí)行測試以確認(rèn)組件中剩余的未識別弱點(diǎn)和漏洞已最小化。注8：對已識別的弱點(diǎn)進(jìn)行漏洞分析（見8.5）并管理已識別的漏洞（見8[RQ-10-13]如果沒有按照[RC-10-12]進(jìn)行測試，則應(yīng)提供理由?！軌颍ㄖ苯踊蜷g接）訪問組件并結(jié)合其他組件11.5工作成果[WP-10-01]由[RQ-10-01]到[RQ-10-02]產(chǎn)生的信息安全規(guī)范。[WP-10-02]由[RQ-10-03]產(chǎn)生的后開發(fā)階段的信息安全需求。[WP-10-03]由[RQ-10-04]和[RQ-10-05]產(chǎn)生的建模、設(shè)計或編程語言和編碼指南的文件，如適用。[WP-10-04]由[RQ-10-08]產(chǎn)生信息安全規(guī)范的驗(yàn)證報告。[WP-10-05]由[RQ-10-07]到[RC-10-12]產(chǎn)生的產(chǎn)品開發(fā)過程中發(fā)現(xiàn)的弱點(diǎn)，如適用。[WP-10-06]由[RQ-10-10]產(chǎn)生的集成和驗(yàn)證規(guī)范。[WP-10-07]由[RQ-10-09]、[RQ-10-11]、[RC-10-12]產(chǎn)生的集成和驗(yàn)證報告。12信息安全確認(rèn)12.1概述本章描述了在整車級別對該相關(guān)項(xiàng)進(jìn)行信息安全確認(rèn)的活動。應(yīng)考慮該相關(guān)項(xiàng)在整車級別中的操作環(huán)境以及用于批量生產(chǎn)的配置。本章的目的是：a)確認(rèn)信息安全目標(biāo)和信息安全聲明；b)確定該相關(guān)項(xiàng)實(shí)現(xiàn)的信息安全目標(biāo)；c)確定不存在不合理的風(fēng)險。12.3輸入12.3.1先決條件應(yīng)提供下列信息:—相關(guān)項(xiàng)定義(參閱[WP-09-01])；—信息安全目標(biāo)(參閱[WP-09-03])；—信息安全聲明(參閱[WP-09-04])，如果適用。GB/TXXXXX—XXXX12.3.2進(jìn)一步的支持信息應(yīng)提供下列信息：—信息安全概念(參閱[WP-09-06])；—產(chǎn)品開發(fā)的工作成果（見10.5）。12.4要求和建議[RQ-11-01]考慮批量生產(chǎn)配置狀態(tài)下，相關(guān)項(xiàng)在整車級別的確認(rèn)活動中應(yīng)確認(rèn)：a)在威脅場景和相關(guān)風(fēng)險方面的信息安全目標(biāo)充分性；b)實(shí)現(xiàn)該相關(guān)項(xiàng)的信息安全目標(biāo)；c)信息安全聲明的有效性；d)操作環(huán)境要求的有效性，如果適用。[RQ-11-02]應(yīng)提供選擇確認(rèn)活動的理由。12.5工作成果[WP-11-01]由[RQ-11-01]和[RQ-11-02]產(chǎn)生的確認(rèn)報告。13生產(chǎn)13.1總則生產(chǎn)包括了相關(guān)項(xiàng)或組件在整車級的制造、裝配。制定生產(chǎn)控制計劃是為了確保針對相關(guān)項(xiàng)或組件在后開發(fā)階段的信息安全需求能夠被落實(shí)，并確保生產(chǎn)過程不會引入漏洞。本章的目的是：a）落實(shí)后開發(fā)階段的信息安全需求；b）防止在生產(chǎn)過程中引入新的漏洞。13.3輸入13.3.1先決條件應(yīng)提供以下信息：—已發(fā)布的后開發(fā)階段報告(見[WP-06-04])；—后開發(fā)階段的信息安全需求(見[WP-10-02])。13.3.2進(jìn)一步的支持信息13.4要求和建議[RQ-12-01]應(yīng)制定生產(chǎn)控制計劃，以滿足后開發(fā)階段的信息安全需求。GB/TXXXXX—XXXX[RQ-12-02]生產(chǎn)控制計劃應(yīng)包括：a）應(yīng)用后開發(fā)階段信息安全需求的一系列步驟；b）生產(chǎn)工具和裝備；c）在生產(chǎn)階段防止未授權(quán)改動的信息安全控制；d）確認(rèn)滿足后開發(fā)階段信息安全需求的方法。注3：制造相關(guān)項(xiàng)或組件和安裝軟件或硬件時，生產(chǎn)過程可以使用特權(quán)[RQ-12-03]應(yīng)實(shí)施生產(chǎn)控制計劃。13.5工作成果[WP-12-01]由[RQ-12-01]和[RQ-12-02]產(chǎn)生的生產(chǎn)控制計劃。14運(yùn)行和維護(hù)14.1總則本章描述了信息安全事件響應(yīng)和對既定領(lǐng)域的相關(guān)項(xiàng)或組件的更新。當(dāng)一個組織將信息安全事件響應(yīng)作為漏洞管理的一部分來調(diào)用時，就會發(fā)生信息安全事件響應(yīng)。更新是在開發(fā)后對一個相關(guān)項(xiàng)或組件所做的改變，可以包括額外的信息，如技術(shù)規(guī)范、集成手冊、用戶手冊。組織可以出于各種原因發(fā)布更新信息，例如解決漏洞或安全問題，提供功能改進(jìn)。有關(guān)更新的工作成果被記錄為其他章的工作成果。處于概念、產(chǎn)品開發(fā)或生產(chǎn)階段的相關(guān)項(xiàng)或組件的修改，由變更管理進(jìn)行規(guī)定而不是本章涵蓋。本章的目標(biāo)是：a）確定并實(shí)施信息安全事件的補(bǔ)救措施；b）在生產(chǎn)后的相關(guān)項(xiàng)或組件的更新期間和更新后保持信息安全，直到其信息安全支持結(jié)束。14.3信息安全事件響應(yīng)14.3.1輸入14.3.1.1先決條件14.3.1.2進(jìn)一步的支持信息可考慮以下信息：—與引起信息安全事件響應(yīng)的漏洞有關(guān)的信息安全情報；—漏洞分析報告[WP-08-05]。14.3.2要求和建議[RQ-13-01]對于每個信息安全事件，應(yīng)制定信息安全事件響應(yīng)計劃，包括：a）補(bǔ)救措施；b）溝通計劃；GB/TXXXXX—XXXX），c）為補(bǔ)救措施分配的責(zé)任；——與受影響的相關(guān)項(xiàng)或組件相關(guān)的專業(yè)知識，包括遺留的相關(guān)項(xiàng)和組——組織知識（如業(yè)務(wù)流程、溝通、采購、法律）；d）記錄與信息安全事件有關(guān)的新信息安全情報的程序；——受影響的組件；——相關(guān)的事件和漏洞；——佐證數(shù)據(jù)，如數(shù)據(jù)日志、碰撞傳感器數(shù)據(jù)；——終端用戶投訴；e）確定進(jìn)度的方法；f）關(guān)閉信息安全事件響應(yīng)的標(biāo)準(zhǔn)；g）關(guān)閉操作。[RQ-13-02]應(yīng)執(zhí)行信息安全事件響應(yīng)計劃。14.3.3工作成果[WP-13-01]由[RQ-13-01]產(chǎn)生的信息安全事件響應(yīng)計劃。14.4更新14.4.1輸入14.4.1.1先決條件應(yīng)提供以下信息：—發(fā)布的后開發(fā)階段報告[WP-06-04]。14.4.1.2進(jìn)一步的支持信息可以考慮以下信息：—信息安全事件響應(yīng)計劃[WP-13-01]；—與更新相關(guān)的后開發(fā)階段的信息安全需求[WP-10-02]。14.4.2要求和建議[RQ-13-03]車輛內(nèi)的更新和與更新有關(guān)的能力應(yīng)按照本文件的規(guī)定開發(fā)。GB/TXXXXX—XXXX14.4.3工作成果15信息安全支持終止和報廢15.1綜述報廢與信息安全支持終止是不同的。組織可以終止對一個相關(guān)項(xiàng)或組件的信息安全支持，但該相關(guān)項(xiàng)或組件仍然可以在既定領(lǐng)域按設(shè)計運(yùn)行。報廢和信息安全支持終止都會帶來信息安全方面的影響，但這些影響要分開考慮。報廢可以在組織不知情的情況下發(fā)生，而且報廢程序無法執(zhí)行，因此報廢行為不屬于本文件的范圍。信息安全支持終止和報廢應(yīng)在概念和產(chǎn)品開發(fā)階段中考慮。本章的目的是：a)信息安全支持終止的溝通；b)使與信息安全相關(guān)的相關(guān)項(xiàng)和組件能夠報廢。15.3信息安全支持終止15.3.1輸入15.3.2要求和建議［RQ-14-01］應(yīng)建立一個程序，以便在組織決定對某一相關(guān)項(xiàng)或組件終止信息安全支持時與客戶溝通。注1：這些溝通可以根據(jù)供應(yīng)商和客戶之間的合同要求進(jìn)行處理。注2：可以通過公告的方式向客戶傳達(dá)信息。15.3.3工作成果［WP-14-01］由［RQ-14-01］產(chǎn)生的信息安全支持終止溝通程序。15.4報廢15.4.1輸入應(yīng)提供以下信息:—后開發(fā)階段的信息安全需求［WP-10-02］。15.4.1.1進(jìn)一步的支持信息15.4.2要求和建議［RQ-14-02］應(yīng)提供后開發(fā)階段有關(guān)報廢的信息安全需求。注：與此類需求相關(guān)的適當(dāng)文件(如操作說明、用戶手冊)，可以使信息15.4.3工作成果GB/TXXXXX—XXXX16威脅分析和風(fēng)險評估方法16.1總則本章描述了判定威脅場景對道路使用者影響程度的方法。本章中描述的方法和工作成果統(tǒng)稱為威脅分析和風(fēng)險評估(TARA)，從受影響的道路使用者角度執(zhí)行。本章中定義的方法是通用模塊，可以從相關(guān)項(xiàng)或組件生命周期中的任何節(jié)點(diǎn)系統(tǒng)地調(diào)用：—資產(chǎn)識別；—威脅場景識別；—影響評級；—攻擊路徑分析；—攻擊可行性評級；—風(fēng)險值計算；—風(fēng)險處置決策。由于這些是通用模塊，本章中定義的工作成果被記錄在由其他章產(chǎn)生的工作成果中的一部分。參見附錄H提供了這些方法的實(shí)例說明。組織用于影響評級、攻擊可行性評級和風(fēng)險值計算的特定等級可以應(yīng)用并映射到本文件中定義的相應(yīng)等級。本章的目標(biāo)：a)識別資產(chǎn)、資產(chǎn)的信息安全屬性和資產(chǎn)的危害場景;b)識別威脅場景；c)計算危害場景的影響等級;d)識別實(shí)現(xiàn)威脅場景的攻擊路徑;e)確定攻擊路徑可以被利用的容易程度；f)計算威脅場景的風(fēng)險值；g)對威脅場景選擇合適的風(fēng)險處置方案；16.3資產(chǎn)識別16.3.1輸入16.3.1.1先決條件應(yīng)提供以下信息：—相關(guān)項(xiàng)定義[WP09-01]。16.3.1.2附加支持資料參考以下信息：—信息安全規(guī)范[WP-10-01]。16.3.2要求和建議[RQ-15-01]識別危害場景[RQ-15-02]識別具有信息安全屬性的資產(chǎn)，資產(chǎn)的信息安全屬性達(dá)不到標(biāo)準(zhǔn)將導(dǎo)致危害場景。GB/TXXXXX—XXXX），示例2：資產(chǎn)是制動功能的通信數(shù)據(jù)，資產(chǎn)的信息安全屬性是完16.3.3工作成果[WP-15-01]由[RQ-15-01]產(chǎn)生的危害場景；[WP-15-02]由[RQ-15-02]產(chǎn)生的具有信息安全屬性的資產(chǎn)。16.4威脅場景識別16.4.1輸入16.4.1.1先決條件應(yīng)提供以下信息：—相關(guān)項(xiàng)定義[WP-09-01]。16.4.1.2附加支持資料參考以下信息：—信息安全規(guī)范[WP-10-01]:—危害場景[WP-15-01]:—具有信息安全屬性的資產(chǎn)[WP-15-02]。16.4.2要求和建議[RQ-15-03]識別威脅場景，威脅場景包含：—資產(chǎn)受損害的信息安全屬性；—信息安全屬性受損害缺失的原因；注1：附加信息可以包含或與威脅場景相關(guān)聯(lián)，例16.4.3工作成果[WP-15-03]由[RQ-15-03]產(chǎn)生的威脅場景。16.5影響評級16.5.1輸入16.5.1.1先決條件應(yīng)提供以下信息：—危害場景[WP-15-01]。GB/TXXXXX—XXXX16.5.1.2附加支持資料：參考以下信息：—相關(guān)項(xiàng)定義[WP-09-01]:—具有信息安全屬性的資產(chǎn)[WP-15-02]。16.5.2要求和建議[RQ-15-04]根據(jù)對道路使用者的潛在不利影響，分別從安全、財務(wù)、運(yùn)營和隱私（S,F,0,P）等方面對危害場景進(jìn)行評估。[RQ-15-05]危害場景的影響等級應(yīng)確定為以下影響等級之一：—嚴(yán)重；—重大；—忽略。[RQ-15-06]安全相關(guān)影響評級來自GB/T34590.3-2022，6.4.3[PM-15-07]若一個危害場景導(dǎo)致了一個影響等級，并且可以認(rèn)為另一個影響不重要，則可以省略對其他影響類別的進(jìn)一步分析。16.5.3工作成果[WP-15-04]由[RQ-15-04]至[RQ-15-06]產(chǎn)生的具有相關(guān)影響類別的影響評級。16.6攻擊路徑分析16.6.1輸入16.6.1.1先決條件提供以下信息：—相關(guān)項(xiàng)定義[WP-09-01]或者信息安全規(guī)范[WP-10-01];注：如果對相關(guān)項(xiàng)執(zhí)行攻擊路徑分析，則使用相關(guān)項(xiàng)定義；如果對組件執(zhí)行攻擊路徑分析，則使用信息安全規(guī)范?！{場景[WP-15-03]；16.6.1.2附加支持資料：參考以下信息：—信息安全事態(tài)的弱點(diǎn)[WP-08-04]:—產(chǎn)品開發(fā)過程中發(fā)現(xiàn)的弱點(diǎn)[WP-10-05]:—架構(gòu)設(shè)計;—前期已識別的攻擊路徑[WP-15-05]，如果可用；—漏洞分析[WP-08-05]16.6.2要求和建議[RQ-15-08]分析威脅場景，確定攻擊路徑。GB/TXXXXX—XXXX注2：如果部分攻擊路徑不會導(dǎo)致威脅場景的實(shí)現(xiàn)，[RQ-15-09]攻擊路徑與可實(shí)現(xiàn)攻擊路徑的威脅場景相關(guān)聯(lián)。注3：在產(chǎn)品開發(fā)的早期階段，由于具體的實(shí)施細(xì)節(jié)尚不清楚，攻擊路洞。在產(chǎn)品開發(fā)的早期階段，還無法識別特定的漏洞，攻擊路徑通常是不完整或不精確的，因?yàn)榫叱?。在產(chǎn)品開發(fā)過程中，攻擊路徑可以隨著更多信息的可用而更新，i.利用蜂窩接口損害遠(yuǎn)程通信ECU：ii.利用遠(yuǎn)程通信ECU的CAN通信損害網(wǎng)關(guān)ECU；iii.網(wǎng)關(guān)ECU轉(zhuǎn)發(fā)惡意制動請求信號（不必要的快速減速）。16.6.3工作成果[WP-15-05]由[RQ-15-08]和[RQ-15-09]產(chǎn)生的攻擊路徑。16.7攻擊可行性評級16.7.1輸入16.7.1.1先決條件提供以下信息：—攻擊路徑[WP-15-05].16.7.1.2附加支持資料參考以下信息：—架構(gòu)設(shè)計；—漏洞分析[WP-08-05]；16.7.2要求和建議[RQ-15-10]對于每條攻擊路徑，攻擊可行性等級應(yīng)按表1所述確定。表1-攻擊可行性評級和相應(yīng)描述攻擊可行性評級描述高攻擊路徑可以用低工作量完成。中攻擊路徑可以通過中等工作量完成。低攻擊路徑可以用高工作量完成非常低攻擊路徑可以用非常高的工作量來完成[RC-15-11]攻擊可行性評級方法應(yīng)根據(jù)以下方法之一確定：a）基于攻擊潛力的方法；b)基于CVSS方法；C）基于攻擊向量方法；[RC-15-12]如果使用基于攻擊潛力的方法，則應(yīng)根據(jù)核心要素確定攻擊可行性等級，包括：a)運(yùn)行時間；b)專業(yè)知識；c)相關(guān)項(xiàng)或組件的知識；GB/TXXXXX—XXXXd)機(jī)會窗口；e)設(shè)備。[RC-15-13]如果使用基于CVSS的方法，則應(yīng)根據(jù)基本度量組的可利用性度量確定攻擊可行性等級，包括：a）攻擊矢量；b)攻擊復(fù)雜性；c)所需特權(quán)；d）用戶交互。[RC-15-14]如果使用基于攻擊向量的方法，則應(yīng)根據(jù)評估攻擊路徑的主要攻擊向量確定攻擊可行性等級。），16.7.3工作成果[WP-15-06]由[RQ-15-10]產(chǎn)生的攻擊可行性評級。16.8風(fēng)險值確定16.8.1輸入16.8.1.1先決條件提供以下信息—威脅場景[WP-15-03]；—具有相關(guān)影響類別的影響評級[WP-15-04]；—攻擊可行性評級[WP-15-06]。16.8.1.2附加支持資料16.8.2要求和建議[RQ-15-15]對于每個威脅場景，應(yīng)根據(jù)相關(guān)危害場景的影響和相關(guān)攻擊路徑的攻擊可行性計算風(fēng)注1：如果威脅場景對應(yīng)于多個危害場景或相關(guān)危害場景具有多個影響類別的影響，則可以為每個影響等級分別確定單獨(dú)的風(fēng)險值。注2：如果威脅場景對應(yīng)于多條攻擊路徑，則可以適當(dāng)聚合相關(guān)的攻擊可行性評級，例如，威脅場景被分配了相應(yīng)攻擊路徑的最大攻擊可行性評級。[RQ-15-16]威脅場景的風(fēng)險值應(yīng)介于（包括）1和5之間。其中，值1表示最小風(fēng)險。示例：風(fēng)險值計算方法—風(fēng)險矩陣；—風(fēng)險計算公式。16.8.3工作成果[WP-15-07]由[RQ-15-15]和[RQ-15-16]產(chǎn)生的風(fēng)險值。GB/TXXXXX—XXXX16.9風(fēng)險處置決策16.9.1輸入16.9.1.1先決條件提供以下信息：—相關(guān)項(xiàng)定義[WP-09-01]；—威脅場景[WP-15-03]；—風(fēng)險值[WP-15-07]。16.9.1.2附加支持資料參考以下信息：—信息安全規(guī)范[WP-10-01]；—相關(guān)項(xiàng)或組件或類似相關(guān)項(xiàng)或組件的先前風(fēng)險處置決策；—具有影響類別的影響評級[WP-15-04]；—攻擊路徑[WP-15-05]；—攻擊可行性等級[WP-15-06]。16.9.2要求和建議[RQ-15-17]對于每個威脅場景，考慮到威脅場景的風(fēng)險值，確定一個或多個風(fēng)險處置決策：a)避免風(fēng)險；b)降低風(fēng)險；c)分擔(dān)風(fēng)險；d)保留風(fēng)險。注：保留風(fēng)險和分擔(dān)風(fēng)險的理由記錄為信息安16.9.3工作成果[WP-15-08]由[RQ-15-17]產(chǎn)生的風(fēng)險處置決策。GB/TXXXXX—XXXX信息安全活動和工作成果摘要A.1綜述表A.1提供了信息安全活動及其相應(yīng)工作產(chǎn)品的摘要。這可以幫助組織管理這些活動，確保信息安全活動的覆蓋面，并了解項(xiàng)目的潛在工作量。概念和產(chǎn)品開發(fā)階段的活動是在信息安全計劃中確定的。因此，這些活動的工作產(chǎn)品都在信息安全評估的范圍內(nèi)。第15章列出的所有工作產(chǎn)品在其他章節(jié)中被記錄為工作產(chǎn)品。A.2信息安全活動和工作產(chǎn)品概述表A.1-本文件的信息安全活動和工作成果子章工作成果組織信息安全管理6.4.1信息安全治理[WP-05-01]信息安全政策、規(guī)則和程序6.4.2信息安全文化[WP-05-01]信息安全政策、規(guī)則和程序[WP-05-02]能力管理、意識管理和持續(xù)改進(jìn)的證據(jù)6.4.3信息共享[WP-05-01]信息安全政策、規(guī)則和程序6.4.4管理系統(tǒng)[WP-05-03]組織管理制度的證據(jù)6.4.5工具管理[WP-05-04]工具管理的證據(jù)6.4.6信息安全管理[WP-05-03]組織管理制度的證據(jù)6.4.7組織信息安全審計[WP-05-05]組織信息安全審計報告依靠項(xiàng)目的信息安全管理7.4.1信息安全責(zé)任[WP-06-01]信息安全計劃7.4.2信息安全規(guī)劃[WP-06-01]信息安全計劃7.4.3裁剪[WP-06-01]信息安全計劃7.4.4再利用[WP-06-01]信息安全計劃7.4.5超出背景的組件[WP-06-01]信息安全計劃7.4.6現(xiàn)有組件[WP-06-01]信息安全計劃7.4.7信息安全案例[WP-06-02]信息安全案例7.4.8信息安全評估[WP-06-03]信息安全評估報告7.4.9后續(xù)開發(fā)的發(fā)布[WP-06-04]開發(fā)后報告的發(fā)布分布式信息安全活動8.4.1供應(yīng)商能力無8.4.2報價要求無8.4.3責(zé)任的統(tǒng)一[WP-07-01]信息安全接口協(xié)議持續(xù)的信息安全活動9.3信息安全監(jiān)測[WP-08-01]信息安全信息的來源[WP-08-02]觸發(fā)器[WP-08-03]信息安全事態(tài)9.4信息安全事件評估[WP-08-04]來自信息安全事態(tài)的弱點(diǎn)9.5脆弱性分析[WP-08-05]漏洞分析9.6脆弱性管理[WP-08-06]管理漏洞的證據(jù)概念階段10.3項(xiàng)目定義[WP-09-01]相關(guān)項(xiàng)定義10.4信息安全目標(biāo)[WP-09-02]TARAGB/TXXXXX—XXXX[WP-09-03]信息安全目標(biāo)[WP-09-04]信息安全要求[WP-09-05]信息安全目標(biāo)的驗(yàn)證報告10.5信息安全概念［WP-09-06］信息安全概念［WP-09-07］信息安全概念的驗(yàn)證報告產(chǎn)品開發(fā)階段11.4.1設(shè)計［WP-10-01］信息安全規(guī)范［WP-10-02］開發(fā)后的信息安全要求［WP-10-03］建模、設(shè)計或編程語言和編碼準(zhǔn)則的文件化［WP-10-04］信息安全規(guī)范的驗(yàn)證報告［WP-10-05］產(chǎn)品開發(fā)過程中發(fā)現(xiàn)的弱點(diǎn)11.4.2集成和驗(yàn)證［WP-10-05］產(chǎn)品開發(fā)過程中發(fā)現(xiàn)的弱點(diǎn)［WP-10-06］集成和驗(yàn)證規(guī)范［WP-10-07］集成和驗(yàn)證報告12信息安全的確認(rèn)［WP-11-01］確認(rèn)報告開發(fā)后階段［WP-12-01］生產(chǎn)控制計劃14.3信息安全事件應(yīng)對［WP-13-01］信息安全事件響應(yīng)計劃14.4更新無15.3結(jié)束信息安全支持［WP-14-01］信息安全支持終止溝通程序15.4停用無威脅分析和風(fēng)險評估方法16.3資產(chǎn)識別［WP-15-01］危害場景［WP-15-02］具有信息安全屬性的資產(chǎn)16.4威脅情景識別［WP-15-03］威脅場景16.5沖擊等級［WP-15-04］具有影響類別的影響評級16.6攻擊路徑分析［WP-15-05］攻擊路徑16.7攻擊可行性評級[WP-15-06]攻擊可行性等級16.8風(fēng)險值的確定[WP-15-07]風(fēng)險值16.9風(fēng)險處置決策[WP-15-08]風(fēng)險處置決策GB/TXXXXX—XXXX（資料性附錄）信息安全文化示例表B.1-信息安全文化薄弱和強(qiáng)大的示例表明信息安全文化薄弱的示例表明信息安全文化強(qiáng)大的示例與信息安全相關(guān)的決策責(zé)任不可追溯。有過程確保信息安全的決策責(zé)任是可追溯的。性能（所實(shí)施的功能或特性）、成本或進(jìn)度優(yōu)先于信息安全。信息安全和功能安全具有最高優(yōu)先權(quán)。相較于信息安全，獎勵制度更偏向于成本和進(jìn)度。獎勵制度支持和鼓勵有效實(shí)現(xiàn)信息安全，并處罰走因捷徑而危害信息安全的人。信息安全人員強(qiáng)制對信息安全進(jìn)行不適當(dāng)?shù)亍⒎浅?yán)格的遵守，而不考慮項(xiàng)目/活動的特殊需求。信息安全人員以身作則，以良好的適當(dāng)性和實(shí)際執(zhí)行力獲取整個組織對其行為的信任。評估信息安全及其管理過程受到執(zhí)行過程人員的不當(dāng)影響。過程提供了適當(dāng)?shù)闹坪?，例如：信息安全評估中適度的獨(dú)立性。應(yīng)對信息安全的消極態(tài)度，例如：嚴(yán)重依賴研發(fā)結(jié)束時的測試；沒有為在用車市場上潛在的弱點(diǎn)或事件做好準(zhǔn)只有當(dāng)生產(chǎn)中、在用車市場上發(fā)生信息安全事件，或當(dāng)媒體對競爭對手的產(chǎn)品給與大量關(guān)注時，管理層才會做出反應(yīng)應(yīng)對信息安全的積極態(tài)度，例如：在產(chǎn)品生命周期的最初階段就能發(fā)現(xiàn)和解決信息安全問題（設(shè)計中的信息安全）；組織已準(zhǔn)備好對在用車市場上的漏洞和事件做出快速反應(yīng)信息安全所需的資源未進(jìn)行分配。信息安全所需的資源已分配。技術(shù)資源擁有與指定活動相對應(yīng)的能力。“群體思維”確認(rèn)偏差（即不加批判的接受或遵從主流觀點(diǎn)）。組建審查小組時“暗中布局”（即選擇成員以確保預(yù)期結(jié)果），以防止可能出現(xiàn)的異議。排斥提出異議的人或?qū)①N上“沒有團(tuán)隊(duì)精神”的標(biāo)簽（例如：不合作、不妥協(xié)、有害的人）。提出異議會對績效評估產(chǎn)生負(fù)面影響。少數(shù)提出異議的人被視作或被貼上“麻煩制造者”，“沒有團(tuán)隊(duì)精神”或“內(nèi)部舉報者”（即煽動者、不受歡迎者或告密者）的標(biāo)簽。員工害怕因?yàn)楸磉_(dá)擔(dān)憂而受到影響。過程利用了多樣性優(yōu)勢：在所有過程中尋求、重視和整合知識多樣性；反對使用多樣性的行為是被阻止和懲罰的。存在相應(yīng)的溝通和決策渠道，并且管理層鼓勵使鼓勵自我披露；鼓勵任何人（內(nèi)部或外部）負(fù)責(zé)任的披露潛在的漏洞；在在用車市場、制造和開發(fā)其他產(chǎn)品中持續(xù)進(jìn)行發(fā)現(xiàn)和解決過程。沒有成體系的持續(xù)改進(jìn)過程、學(xué)習(xí)周期或者其他形式的經(jīng)驗(yàn)總結(jié)。持續(xù)改進(jìn)是所有過程的必要條件。過程是臨時的或含蓄的。遵循明確的、可追蹤的和可控的過程。GB/TXXXXX—XXXX（資料性附錄）信息安全接口協(xié)議模板示例不同組織在參與分布式信息安全活動時，各組織對相互之間的責(zé)任、信息披露程度和每個里程碑的實(shí)現(xiàn)程度達(dá)成一致很重要。本附件按照[RQ-07-04]提供了一個信息安全接口協(xié)議模板的示例。模板對如何定義在客戶和供應(yīng)商之間的分布式信息安全活動的角色和責(zé)任給出了指導(dǎo)。模板還加入了其他信息，如聯(lián)系人、目標(biāo)里程碑、協(xié)作方法和工具等。C.2示例模板本示例模板中的列項(xiàng)包括:a)階段：本文件的階段；b)工作成果：本文檔與分布式活動接口相關(guān)的工作成果物；c)參考章：在本文檔中的相關(guān)章；d)供應(yīng)商：供應(yīng)商按照責(zé)任矩陣（RASIC）所承擔(dān)的責(zé)任；e)客戶：客戶按照RASIC所承擔(dān)的責(zé)任；）：）：）：）：）：f)保密等級：供應(yīng)商和客戶就每個工作成果的保密性達(dá)成一致；g)備注：關(guān)于各組織之間談判和討論結(jié)果的補(bǔ)充信息。階段工作成果參考章供應(yīng)商客戶保密等級備注負(fù)責(zé)批準(zhǔn)支持通知咨詢負(fù)責(zé)批準(zhǔn)支持通知咨詢概念項(xiàng)目定義威脅分析和風(fēng)險評估信息安全概念信息安全概念的驗(yàn)證報告產(chǎn)品開發(fā)信息安全規(guī)范圖C.1信息安全接口協(xié)議模版示例(資料性附錄)信息安全的相關(guān)性一判定方法和準(zhǔn)則示例通過圖D.1中的決策圖可以確定候選相關(guān)項(xiàng)或組件的信息安全相關(guān)性，該圖給出了示例的判定準(zhǔn)則。1香彎準(zhǔn)則示例如下：a)運(yùn)動控制模塊和具有汽車安全完整性等級(ASIL)的模塊。b)與駕駛員或乘客有關(guān)，或與潛在敏感信息(如位置數(shù)據(jù))有關(guān)的數(shù)據(jù)。c)內(nèi)部連接—CAN、以太網(wǎng)、面向媒體的系統(tǒng)傳輸(MOST)、傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)。d)外部連接—與后端服務(wù)器的功能接口；蜂窩通信網(wǎng)絡(luò)，車載自動診斷系統(tǒng)(OBD-II)接口。e)無線連接的傳感器或執(zhí)行器一遠(yuǎn)程無鑰匙進(jìn)入(RKE)、近場通信(NFC)、胎壓監(jiān)測系統(tǒng)(TPMS)。信息安全的相關(guān)性也可以根據(jù)經(jīng)驗(yàn)和多領(lǐng)域?qū)＜业呐袛鄟泶_定，例如功能安全專家和信息安全專家。(資料性附錄)信息安全保障等級E.1總則本附件描述了一個信息安全保障級別(CAL)的分類方案，該方案可用于規(guī)定和傳達(dá)一套保障要求，其嚴(yán)格程度可確保相關(guān)項(xiàng)或組件的資產(chǎn)得到充分保護(hù)。這個CAL分類方案沒有規(guī)定信息安全控制的技術(shù)要求，但是它可以用來推動信息安全工程，為相關(guān)組織之間交流信息安全保證要求提供一種共同語言。CAL可以由開發(fā)項(xiàng)目的組織確定，也可以由開發(fā)組件的組織另行假設(shè)。一旦確定，CAL將指定后續(xù)產(chǎn)品開發(fā)活動中所需的嚴(yán)格程度，以處理涉及風(fēng)險的威脅場景。這可以通過將CAL作為信息安全目標(biāo)的一個屬性來實(shí)現(xiàn)，這種屬性可以被細(xì)化的信息安全需求所繼承。E.2確定一個CALCAL與風(fēng)險間接相關(guān)；但是，它不能直接從風(fēng)險值中確定。這是因?yàn)轱L(fēng)險值是動態(tài)的，隨著時間的推移而變化，取決于相關(guān)項(xiàng)或組件不斷變化的規(guī)格、設(shè)計、實(shí)施和操作環(huán)境，而CAL表達(dá)的是一種保證水平，將在一段時間內(nèi)保持固定。因此，在考慮實(shí)施信息安全控制之前，可以在概念階段的開發(fā)之初使用預(yù)計在信息安全支持結(jié)束之前保持穩(wěn)定的參數(shù)來確定CAL,例如基于項(xiàng)目資產(chǎn)及其相關(guān)風(fēng)險的參數(shù)。圖E.1說明了CAL和相關(guān)風(fēng)險之間的關(guān)系。riskvaluea圖E.1CAL和風(fēng)險之間的關(guān)系關(guān)鍵要素E1事件1:信息安全要求被明確。E2事件2:信息安全控制得到實(shí)施。E3事件3:測試表明信息安全控制是有效的。E4事件4:在現(xiàn)場發(fā)現(xiàn)漏洞。E5事件5:漏洞被修復(fù)。CAL被確定和分配。CAL被應(yīng)用于信息安全活動中。a風(fēng)險值是動態(tài)的，可以根據(jù)當(dāng)前的規(guī)格、設(shè)計或?qū)嵤┒兓鑒于需要保護(hù)的資產(chǎn)的關(guān)鍵性，在E1確定的預(yù)期保證水平規(guī)定了E2、E3的后續(xù)信息安全活動的嚴(yán)格程度?？梢愿鶕?jù)對已確定的威脅場景的考慮來確定CAL(見16.4)。表E.1給出了一個基于四個CAL的例子，每個CAL都對應(yīng)著基于所使用的信息安全工程方法的遞增的保證水平。該例子顯示了根據(jù)相關(guān)威脅情景的最大影響和攻擊矢量分配的CAL。GB/TXXXXX—XXXX表E.1--基于影響和攻擊矢量參數(shù)的CAL確定示例AttackvectorbPhysicalLocalAdjacentNetworkImpactSevereCAL2CAL3CAL4CAL4MajorCAL1CAL2CAL3CAL4ModerateCAL1CAL1CAL2CAL3NegligibleabSee[PM-06-08].Attackvectorisastaticparameterofattackfeasibility.在客戶和供應(yīng)商之間分享確定CAL的書面理由可以增進(jìn)相互理解。CAL分類方案和確定的CAL也可以成為客戶和供應(yīng)商之間信息安全接口協(xié)議的一部分?？梢詾橐粋€項(xiàng)目的所有信息安全目標(biāo)分配一個CAL,也可以為每個信息安全目標(biāo)分配不同的CAL。如果信息安全目標(biāo)被合并，單個CAL中的最高值將被分配給合并的信息安全目標(biāo)。E.3使用CALE.3.1一般考慮CAL分類方案可用于確定信息安全活動的嚴(yán)格程度，即提供所需保證的必要要素?？梢杂肅AL來選擇：a）用于開發(fā)和驗(yàn)證的方法；b）確定弱點(diǎn)和分析脆弱性的方法；c）信息安全評估的方法。表E.2提供了一些CAL的例子，以及它