道路車輛信息安全工程

GB/TXXXXX—XXXX

道路車輛信息安全工程

1范圍

本文件規(guī)定了道路車輛中電子電氣(E/E)系統(tǒng)(包括其組件和接口)在概念、產(chǎn)品開發(fā)、生產(chǎn)、運(yùn)行、

維護(hù)和報(bào)廢階段的信息安全風(fēng)險(xiǎn)管理的工程要求。

本文件定義了一個(gè)框架，其中包括信息安全過程要求以及溝通和管理信息安全風(fēng)險(xiǎn)的通用語言。

本文件適用于在本文件發(fā)布后開發(fā)或修改的批量生產(chǎn)的道路車輛E/E系統(tǒng)，包括其組件和接口。

本文件未規(guī)定與信息安全有關(guān)的具體技術(shù)或解決方案。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T34590.3-2022，道路車輛功能安全第三部分：概念階段

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

架構(gòu)設(shè)計(jì)architecturaldesign

可以識別組件、邊界、接口和交互的表示方法。

3.2

資產(chǎn)asset

具有價(jià)值或?qū)r(jià)值做出貢獻(xiàn)的對象。

注：資產(chǎn)具有一個(gè)或多個(gè)信息安全屬性，未達(dá)到要求時(shí)可能導(dǎo)致一個(gè)或多個(gè)危害場景。

3.3

攻擊可行性attackfeasibility

攻擊路徑的屬性，描述成功執(zhí)行相應(yīng)攻擊活動(dòng)的難易度。

3.4

攻擊路徑attackpath

為實(shí)現(xiàn)威脅場景的一組攻擊活動(dòng)。

3.5

攻擊者attacker

執(zhí)行攻擊路徑的個(gè)人、團(tuán)體或組織。

3.6

審核audit

對過程進(jìn)行檢查，以確定過程目標(biāo)的實(shí)現(xiàn)程度。

2

GB/TXXXXX—XXXX

3.7

組件component

邏輯上和技術(shù)上可分離的組成部分。

3.8

客戶customer

接受服務(wù)或產(chǎn)品的個(gè)人或組織。

3.9

道路車輛信息安全cybersecurity

使資產(chǎn)受到充分保護(hù)，免受道路車輛相關(guān)項(xiàng)、其功能及其電氣或電子組件的威脅場景的危害。

注：為簡潔起見，本文件使用"信息安全"一詞代替道路車輛信息安全。

3.10

信息安全評估cybersecurityassessment

信息安全狀態(tài)的評價(jià)。

3.11

信息安全檔案cybersecuritycase

有證據(jù)支持的結(jié)構(gòu)化論證，表明風(fēng)險(xiǎn)的合理性。

3.12

信息安全聲明cybersecurityclaim

關(guān)于風(fēng)險(xiǎn)的信息安全索賠聲明。

注：信息安全聲明可包括保留或分擔(dān)風(fēng)險(xiǎn)的理由。

3.13

信息安全概念cybersecurityconcept

相關(guān)項(xiàng)的信息安全需求和對操作環(huán)境的要求以及有關(guān)信息安全控制的相關(guān)信息。

3.14

信息安全控制cybersecuritycontrol

改變風(fēng)險(xiǎn)的措施。

3.15

信息安全事態(tài)cybersecurityevent

與相關(guān)項(xiàng)或組件有關(guān)的信息安全信息。

3.16

信息安全目標(biāo)cybersecuritygoal

與一個(gè)或多個(gè)威脅情景相關(guān)的概念級信息安全需求。

3.17

信息安全事件cybersecurityincident

可能涉及漏洞利用的情況。

3

GB/TXXXXX—XXXX

3.18

信息安全信息cybersecurityinformation

與信息安全有關(guān)的信息,其相關(guān)性尚未確定。

3.19

信息安全接口協(xié)議cybersecurityinterfaceagreement

客戶和供應(yīng)商之間關(guān)于分布式信息安全活動(dòng)的協(xié)議。

3.20

信息安全屬性cybersecurityproperty

值得保護(hù)的屬性。

注：屬性包括保密性、完整性和/或可用性。

3.21

信息安全規(guī)范cybersecurityspecification

信息安全需求和相應(yīng)的架構(gòu)設(shè)計(jì)。

3.22

危害場景damagescenario

涉及車輛或車輛功能并影響道路使用者的不良后果。

3.23

分布式信息安全活動(dòng)distributedcybersecurityactivities

相關(guān)項(xiàng)或組件的信息安全活動(dòng)，其責(zé)任在客戶和供應(yīng)商之間分配。

3.24

影響impact

對危害場景下的損害程度或物理傷害程度的估計(jì)。

3.25

相關(guān)項(xiàng)item

在車輛層面實(shí)現(xiàn)一個(gè)功能的組件或組件集。

注：如果一個(gè)系統(tǒng)在車輛層面實(shí)現(xiàn)了一個(gè)功能，它就可以成為一個(gè)相關(guān)項(xiàng)，否則就是一個(gè)組件。

3.26

操作環(huán)境operationalenvironment

在操作使用中考慮到相互作用的環(huán)境。

注：相關(guān)項(xiàng)或組件的操作使用，包括在車輛功能，生產(chǎn)，和/或服務(wù)和修理中的使用。

3.27

獨(dú)立于環(huán)境out-of-context

未在特定相關(guān)項(xiàng)定義下的開發(fā)。

示例：基于假設(shè)信息安全需求的處理單元可集成到不同的相關(guān)項(xiàng)中。

3.28

滲透測試penetrationtesting

模擬實(shí)際攻擊的信息安全測試，用以識別破壞信息安全目標(biāo)的方法。

4

GB/TXXXXX—XXXX

3.29

風(fēng)險(xiǎn)risk

信息安全風(fēng)險(xiǎn)，道路車輛信息安全不確定性的影響，可用攻擊可行性和影響表示。

3.30

風(fēng)險(xiǎn)管理riskmanagement

指導(dǎo)和控制組織風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。

3.31

道路使用者roaduser

參與道路交通活動(dòng)的人員。

3.32

裁剪tailor

以與本文件描述不同的方式省略或執(zhí)行某項(xiàng)活動(dòng)。

3.33

威脅場景threatscenario

為實(shí)現(xiàn)危害場景，一個(gè)或多個(gè)資產(chǎn)的信息安全屬性遭到破壞的潛在原因。

3.34

分類triage

分析以確定信息安全信息與某一相關(guān)項(xiàng)或組件的相關(guān)性。

3.35

觸發(fā)器trigger

用于分類的準(zhǔn)則。

3.36

確認(rèn)validation

通過提供客觀證據(jù)以證明相關(guān)項(xiàng)的信息安全目標(biāo)是否充分并已實(shí)現(xiàn)。

3.37

驗(yàn)證verification

通過提供客觀證據(jù)確認(rèn)是否滿足特定要求。

3.38

脆弱性或漏洞vulnerability

能被利用的弱點(diǎn)，可作為攻擊路徑的一部分。

3.39

漏洞分析vulnerabilityanalysis

系統(tǒng)地識別和評估漏洞。

3.40

弱點(diǎn)weakness

可導(dǎo)致非預(yù)期行為的缺陷或特征。

5

GB/TXXXXX—XXXX

示例：如缺少需求或規(guī)范；架構(gòu)或設(shè)計(jì)缺陷、包括安全協(xié)議的不正確設(shè)計(jì)；實(shí)現(xiàn)的弱點(diǎn)，包括硬件和軟件的缺陷，

安全協(xié)議的不正確的實(shí)現(xiàn)；操作過程或程序有缺陷，包括操作不當(dāng)和用戶培訓(xùn)不足；使用過時(shí)或棄用的功能，包括加密

算法等。

4縮略語

CAL：信息安全保障等級（CybersecurityAssuranceLevel）

CVSS：常見漏洞評分系統(tǒng)（CommonVulnerabilityScoringSystem）

E/E：電子電氣（ElectricalandElectronic）

ECU：電子控制單元（ElectronicControlUnit）

OBD:車載診斷（On-BoardDiagnostic）

OEM：原始設(shè)備制造商（OriginalEquipmentManufacturer）

PM：許可（Permission）

RC：建議（Recommendation）

RQ：要求（Requirement）

WP：工作成果（WorkProduct）

RASIC：責(zé)任、批準(zhǔn)、支持、知情、咨詢（Responsible,Accountable,Supporting,Informed,Consulted）

TARA：威脅分析和風(fēng)險(xiǎn)評估（ThreatAnalysisandRiskAssessment）

5整體考慮

一個(gè)相關(guān)項(xiàng)包括車輛中實(shí)現(xiàn)整車級別特定功能（如制動(dòng)）的所有電子設(shè)備和軟件（即其組件）。一

個(gè)相關(guān)項(xiàng)或一個(gè)組件與各自的運(yùn)行環(huán)境相互作用。

本文件僅適用于批量生產(chǎn)的道路車輛（即不是原型車）與信息安全相關(guān)的相關(guān)項(xiàng)和組件，包括售后

件和服務(wù)件。車輛的外部系統(tǒng)（如后端服務(wù)器）出于信息安全的目的可以考慮，但不在本文件的范圍內(nèi)。

本文件從單個(gè)相關(guān)項(xiàng)的角度來描述信息安全工程。本文件沒有規(guī)定如何進(jìn)行道路車輛E/E架構(gòu)中相

關(guān)項(xiàng)功能的適當(dāng)分配。對于車輛整體而言，可以考慮構(gòu)建車輛E/E架構(gòu)或其信息安全相關(guān)的相關(guān)項(xiàng)和組

件的信息安全檔案集。如果本文件中描述的信息安全活動(dòng)是在相關(guān)項(xiàng)和組件上進(jìn)行的，那么將會(huì)解決不

合理的車輛信息安全風(fēng)險(xiǎn)。如圖1所示，本文件中描述的組織整體信息安全風(fēng)險(xiǎn)管理適用于全生命周期。

6

GB/TXXXXX—XXXX

圖1整體信息安全風(fēng)險(xiǎn)管理

信息安全風(fēng)險(xiǎn)管理適用于整個(gè)供應(yīng)鏈，以支持信息安全工程。汽車供應(yīng)鏈表現(xiàn)出多樣化的合作模式。

并非所有的信息安全活動(dòng)都適用于與某個(gè)特定項(xiàng)目相關(guān)的所有組織。信息安全活動(dòng)可以根據(jù)具體情況的

需要進(jìn)行裁剪。某一特定相關(guān)項(xiàng)或部件的開發(fā)伙伴應(yīng)就工作分工達(dá)成一致，以便執(zhí)行適用的信息安全活

動(dòng)。圖2顯示了一個(gè)相關(guān)項(xiàng)、功能、組件和相關(guān)術(shù)語之間的關(guān)系。

圖2相關(guān)項(xiàng)、功能、組件和相關(guān)術(shù)語之間的關(guān)系

第16章描述了信息安全風(fēng)險(xiǎn)評估的模塊化方法，這些方法會(huì)在其他章節(jié)所述的信息安全風(fēng)險(xiǎn)活動(dòng)中

被引用。

在信息安全工程背景下的分析活動(dòng)，可識別和探索具有惡意意圖的抽象敵對行為者的潛在行為，以

及車輛E/E系統(tǒng)的信息安全損害后可能產(chǎn)生的危害。信息安全工程和其他學(xué)科的專業(yè)知識之間的協(xié)調(diào)可

以支持深入分析并減輕具體的信息安全風(fēng)險(xiǎn)。信息安全監(jiān)測、補(bǔ)救和事件響應(yīng)活動(dòng)作為概念和產(chǎn)品開發(fā)

7

GB/TXXXXX—XXXX

活動(dòng)的補(bǔ)充，可以作為一種被動(dòng)的方法，確認(rèn)環(huán)境中不斷變化的條件（如新的攻擊技術(shù)），持續(xù)地識別

和管理道路車輛E/E系統(tǒng)的弱點(diǎn)和漏洞。

縱深防御的方法可用于減輕信息安全風(fēng)險(xiǎn)?？v深防御方法利用多層信息安全控制來提高車輛的信息

安全。如果攻擊能夠穿透或繞過一個(gè)層，另一個(gè)層可以幫助遏制攻擊并保持對資產(chǎn)的保護(hù)。

6組織的信息安全管理

6.1總則

為了實(shí)現(xiàn)信息安全工程，組織應(yīng)建立并維護(hù)包括信息安全意識管理、能力管理和持續(xù)改進(jìn)在內(nèi)的信

息安全治理和信息安全文化。這涉及到制定組織層面的規(guī)則和過程，并依據(jù)本文件中的目標(biāo)進(jìn)行獨(dú)立審

核。

為了支持信息安全工程，組織還應(yīng)為信息安全建立管理體系，包括工具的管理和質(zhì)量管理體系的應(yīng)

用。

6.2目標(biāo)

本章的目標(biāo)是：

a)定義信息安全方針和組織層面的信息安全規(guī)則和過程；

b)分配執(zhí)行信息安全活動(dòng)所需的職責(zé)和相應(yīng)的權(quán)限；

c)支持信息安全的實(shí)施，包括資源的提供和信息安全過程與其他相關(guān)過程之間相互作用的管理；

d)管理信息安全風(fēng)險(xiǎn)；

e)建立并維護(hù)信息安全文化，包括能力管理、意識管理和持續(xù)改進(jìn)；

f)支持并管理信息安全信息的共享；

g)建立并維護(hù)支撐信息安全維護(hù)的管理體系；

h)提供證據(jù)證明使用的工具不會(huì)對信息安全產(chǎn)生不利的影響；

i)執(zhí)行組織層面的信息安全審核。

6.3輸入

無。

6.3.1先決條件

無。

6.3.2更多支持信息

可以考慮以下信息：

-符合質(zhì)量管理標(biāo)準(zhǔn)的證據(jù)。

例如：IATF16949與其他標(biāo)準(zhǔn)的聯(lián)合，如：ISO9001，AutomotiveSPICE,ISO/IEC330XX系列標(biāo)

準(zhǔn),ISO/IEC/IEEE15288和ISO/IEC/IEEE12207。

6.4要求和建議

6.4.1信息安全治理

[RQ-05-01]組織應(yīng)定義信息安全方針，包含：

a)對道路車輛信息安全風(fēng)險(xiǎn)的確認(rèn)；

b)最高管理層對相應(yīng)信息安全風(fēng)險(xiǎn)進(jìn)行管理的承諾。

注1：信息安全方針可以與組織目標(biāo)及其他方針相關(guān)聯(lián)。

注2：在考慮內(nèi)部和外部環(huán)境的情況下，信息安全方針可以包括一項(xiàng)聲明，說明對組織的產(chǎn)品或服務(wù)組合的一般威

脅場景的風(fēng)險(xiǎn)處理。

[RQ-05-02]組織應(yīng)建立并維護(hù)組織層面的規(guī)則和過程，以滿足以下要求：

8

GB/TXXXXX—XXXX

a)能夠?qū)嵤┍疚募囊螅?/p>

b)支持相應(yīng)活動(dòng)的執(zhí)行。

示例1：如過程定義、技術(shù)規(guī)則、指南、方法和模板。

注3：信息安全風(fēng)險(xiǎn)管理能包括活動(dòng)的付出-收益的考慮。

注4：這些規(guī)則和過程覆蓋概念、產(chǎn)品開發(fā)、生產(chǎn)、運(yùn)營、維護(hù)和報(bào)廢，包括TARA的方法、信息共享、信息安全監(jiān)測、

信息安全事件響應(yīng)和觸發(fā)。

注5：有關(guān)漏洞披露的規(guī)則和過程，例如信息共享的一部分，可以依據(jù)ISO29147定義。

注6：圖3概述了總體的信息安全方針（見[RQ-05-01]）與具體組織的信息安全規(guī)則和過程（見[RQ-05-02]）、職責(zé)

（見[RQ-05-03]）和資源（見[RQ-05-04]）之間的關(guān)系。

圖3信息安全治理

[RQ-05-03]組織應(yīng)分配實(shí)現(xiàn)與維護(hù)信息安全的職責(zé)，并給予相應(yīng)的組織權(quán)力。

注7：這既關(guān)系到項(xiàng)目層面的活動(dòng)也關(guān)系到組織層面的活動(dòng)。

[RQ-05-04]組織應(yīng)提供解決信息安全問題所需的資源。

注8：資源包括負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理、開發(fā)、事件管理的人員。

示例2：熟練的人員和合適的工具來完成信息安全活動(dòng)。

[RQ-05-05]組織應(yīng)識別與信息安全有關(guān)或相互作用的專業(yè)領(lǐng)域，并在這些專業(yè)領(lǐng)域之間建立和維護(hù)

溝通的渠道，以滿足以下要求：

a）確定是否要將信息安全融入到現(xiàn)有過程中，以及如何融合；

b）協(xié)調(diào)相關(guān)信息的交換。

注9：協(xié)調(diào)各學(xué)科之間共享過程，以及策略和工具的使用。

注10：學(xué)科包含信息技術(shù)安全、功能安全和隱私保護(hù)。

示例3：跨學(xué)科的交換：

-威脅場景和危害信息；

-信息安全目標(biāo)和功能安全目標(biāo)的沖突或?qū)梗?/p>

-信息安全要求與功能安全要求的沖突或?qū)埂?/p>

6.4.2信息安全文化

[RQ-05-06]組織應(yīng)培養(yǎng)并維護(hù)強(qiáng)大的信息安全文化。

注1：示例見附錄B。

[RQ-05-07]組織應(yīng)確保被分配了信息安全角色和職責(zé)的人員具有履行這些角色和職責(zé)的能力和意

識。

注2：能力、意識和培訓(xùn)項(xiàng)目考慮以下范圍：

-與信息安全相關(guān)的組織規(guī)則和過程，包括信息安全風(fēng)險(xiǎn)管理；

-與信息安全學(xué)科相關(guān)的信息安全規(guī)則和過程，例如功能安全和隱私保護(hù)；

-領(lǐng)域知識；

-系統(tǒng)工程；

-信息安全有關(guān)的方法、工具、指南；

-已知的攻擊手段和信息安全控制。

[RQ-05-08]組織應(yīng)建立并維護(hù)持續(xù)改進(jìn)過程。

示例：持續(xù)改進(jìn)過程包括：

-從以前的經(jīng)驗(yàn)中學(xué)習(xí)，包括通過信息安全監(jiān)測和內(nèi)外部信息安全相關(guān)信息觀察而收集的信息安全信息；

9

GB/TXXXXX—XXXX

-從領(lǐng)域中類似的應(yīng)用產(chǎn)品的信息安全信息中學(xué)習(xí)；

-在后續(xù)的信息安全活動(dòng)中進(jìn)行改進(jìn)；

-將信息安全經(jīng)驗(yàn)教訓(xùn)傳達(dá)給適當(dāng)?shù)娜藛T；

-根據(jù)[RQ-05-02]檢查組織規(guī)則和過程的充分性。

注3：持續(xù)改進(jìn)適用于本文件中的所有信息安全活動(dòng)。

6.4.3信息共享

[RQ-05-09]組織應(yīng)界定在哪些情況下，要求、允許或者被禁止組織內(nèi)部和外部共享信息安全相關(guān)

的信息。

注：共享信息的情況可以基于：

-共享的信息類型；

-共享的審批過程；

-信息的編輯要求；

-源頭歸屬的規(guī)則；

-為特定方提供的通訊類型；

-漏洞披露程序（見5.4.1的注5）

-面向接收方的處理高度敏感信息的要求

[RC-05-10]組織應(yīng)根據(jù)[RQ-05-09]的規(guī)定，將共享數(shù)據(jù)的信息安全管理與其他各方保持一致。

示例：公共、內(nèi)部、機(jī)密和第三方機(jī)密的安全分類級別的一致。

6.4.4管理體系

[RQ-05-11]組織應(yīng)按國際標(biāo)準(zhǔn)或者同等標(biāo)準(zhǔn)建立和維護(hù)一個(gè)質(zhì)量管理體系來支撐信息安全工程，

包含：

示例1：IATF16949與ISO9001相結(jié)合。

a)變更管理；

注1：信息安全變更管理的范圍是管理相關(guān)項(xiàng)及其組件的變更，以便繼續(xù)滿足適用的信息安全目標(biāo)和要求。例如，

根據(jù)生產(chǎn)控制計(jì)劃評審生產(chǎn)過程的變更，以防止此類變更引入新的漏洞。

b)文檔管理；

注2：一項(xiàng)工作成果可以被合并或映射到不同的文檔庫。

c)配置管理；

d)需求管理。

[RQ-05-12]用于維護(hù)該領(lǐng)域內(nèi)產(chǎn)品信息安全的配置信息應(yīng)保持可用，直至產(chǎn)品的網(wǎng)絡(luò)安全支持結(jié)

束，以便能采取補(bǔ)救措施。

注3：歸檔構(gòu)建環(huán)境有助于確保配置信息的后續(xù)使用。

例2：物料清單、軟件配置。

[RC-05-13]應(yīng)建立生產(chǎn)過程的信息安全管理體系，以便支持12章的活動(dòng)。

例3：IEC624432-1。

6.4.5工具管理

[RQ-05-14]應(yīng)管理能夠影響相關(guān)項(xiàng)或組件信息安全的工具。

示例1：用于概念或產(chǎn)品開發(fā)的工具，如：基于模型的開發(fā)工具、靜態(tài)檢查工具、驗(yàn)證工具。

示例2：用于生產(chǎn)的工具，如Flash寫入、EOL測試工具。

示例3：用于售后維修的工具，如OBD工具或者重新編程工具。

注：這類管理可以通過以下方式確立：

-用戶手冊及勘誤表的使用；

-對非預(yù)期的使用和操作進(jìn)行防護(hù)；

-對工具使用者進(jìn)行訪問控制；

-對工具進(jìn)行認(rèn)證。

[RC-05-15]支持信息安全事件補(bǔ)救措施的合適環(huán)境應(yīng)該是可復(fù)現(xiàn)的，直至產(chǎn)品的信息安全支持結(jié)束。

例4：用于復(fù)現(xiàn)和管理漏洞的測試、軟件構(gòu)建和開發(fā)環(huán)境。

10

GB/TXXXXX—XXXX

例5：用于構(gòu)建產(chǎn)品軟件的工具鏈和編譯器。

6.4.6信息安全管理

[RC-05-16]工作成果應(yīng)按照信息安全管理體系進(jìn)行管理。

例：可以將工作成果存儲在文件服務(wù)器上，以防止未經(jīng)授權(quán)的變更或刪除。

6.4.7信息安全審核

[RQ-05-17]應(yīng)獨(dú)立進(jìn)行信息安全審核以判斷組織的過程是否達(dá)到了本文件的目標(biāo)。

注1：信息安全審核可以納入質(zhì)量管理體系標(biāo)準(zhǔn)的審核中，或者與之相結(jié)合。例如，IATF16949與ISO9001相結(jié)合。

注2：獨(dú)立性可以基于，例如，GB/T34590系列標(biāo)準(zhǔn)。

注3：執(zhí)行審核的人員可以來自組織內(nèi)部或者外部。

注4：為了確保組織的過程始終適用于信息安全，審核可以周期性執(zhí)行。

注5：圖7展示了組織的信息安全審核和其他信息安全活動(dòng)間的關(guān)系。

6.5工作成果

[WP-05-01]信息安全方針、規(guī)則和過程，依據(jù)6.4.1至6.4.3的要求。

[WP-05-02]能力管理和意識管理的證據(jù)，依據(jù)[RQ-05-07]的要求；持續(xù)改進(jìn)的證據(jù)，依據(jù)

[RQ-05-08]的要求。

[WP-05-03]組織管理體系的證據(jù)，依據(jù)6.4.4和6.4.6的要求。

[WP-05-04]工具管理的證據(jù)，依據(jù)6.4.5的要求。

[WP-05-05]組織層面的信息安全審核報(bào)告，依據(jù)6.4.7的要求。

7項(xiàng)目相關(guān)的信息安全管理

7.1總則

本章描述了有關(guān)特定項(xiàng)目的信息安全開發(fā)活動(dòng)的管理要求。

項(xiàng)目相關(guān)的信息安全管理包括職責(zé)分配和信息安全活動(dòng)的計(jì)劃。本文件以通用方式定義要求，以便

可以將其應(yīng)用于各種相關(guān)項(xiàng)和組件。另外，可以基于原理在信息安全計(jì)劃中進(jìn)行裁剪?？梢允褂貌眉舻?/p>

示例包括：

-復(fù)用；

-獨(dú)立于環(huán)境的組件；

-使用現(xiàn)成組件；

-更新。

無論相關(guān)項(xiàng)、組件或其操作環(huán)境是否發(fā)生變更，相關(guān)項(xiàng)和組件的復(fù)用是可以應(yīng)用的開發(fā)策略。但

是，變更可能會(huì)引入原始相關(guān)項(xiàng)或組件尚未考慮的漏洞。此外，已知攻擊可能發(fā)生了變化，例如：

攻擊技術(shù)的發(fā)展；

新出現(xiàn)的漏洞，例如從信息安全監(jiān)測或信息安全事件評估中得知的漏洞；

自初始開發(fā)以來資產(chǎn)的變化。

如果原始相關(guān)項(xiàng)或組件是根據(jù)本文件開發(fā)的，則可基于現(xiàn)有的工作成果復(fù)用該相關(guān)項(xiàng)或組件。如

果相關(guān)項(xiàng)或組件最初不是根據(jù)本文件開發(fā)的，則可以基于現(xiàn)有文件復(fù)用，并說明理由。

一個(gè)組件可以獨(dú)立于環(huán)境開發(fā)，例如基于假設(shè)的環(huán)境。在與客戶接觸或達(dá)成商業(yè)協(xié)議之前，組織可

以為不同的應(yīng)用和不同的客戶開發(fā)通用組件。供應(yīng)商可以對環(huán)境和預(yù)期用途進(jìn)行假設(shè)?；诖?，供應(yīng)

商可以得出獨(dú)立于環(huán)境的開發(fā)需求。例如，獨(dú)立于環(huán)境開發(fā)微控制器。

現(xiàn)成的組件是指不為特定客戶開發(fā)的組件，可以在不變更其設(shè)計(jì)或?qū)嵤┑那闆r下使用。例如，第三

方軟件庫、開源軟件組件?，F(xiàn)成的組件不被認(rèn)為是按照本文件要求開發(fā)的。

11

GB/TXXXXX—XXXX

按照本文件，現(xiàn)成的組件和獨(dú)立于環(huán)境開發(fā)的組件可以被集成到一個(gè)相關(guān)項(xiàng)或組件中（見圖4）。

集成可包含與7.4.4中復(fù)用分析類似的活動(dòng)，如果為了解決無效的假設(shè)而進(jìn)行變更，則適用于變更管理。

可對準(zhǔn)備集成的組件或以集成為目標(biāo)的組件或相關(guān)項(xiàng)進(jìn)行變更。

圖4現(xiàn)成和獨(dú)立于環(huán)境的組件的集成

信息安全檔案是信息安全評估和后開發(fā)階段發(fā)布的輸入。

注：后開發(fā)階段通常包括生產(chǎn)、運(yùn)維、報(bào)廢階段。

信息安全評估可獨(dú)立判斷一個(gè)相關(guān)項(xiàng)或組件的信息安全，是決策后開發(fā)階段發(fā)布的輸入。

7.2目標(biāo)

本章的目標(biāo)是：

a）分配項(xiàng)目的信息安全活動(dòng)職責(zé)；

b）規(guī)劃信息安全活動(dòng)，包括定義裁剪的信息安全活動(dòng)；

c）創(chuàng)建一個(gè)信息安全檔案；

d）執(zhí)行信息安全評估，如果適用；

e）從信息安全的角度決定是否發(fā)布相關(guān)項(xiàng)或組件以用于后開發(fā)階段。

7.3輸入

7.3.1先決條件

無。

7.3.2更多支持信息

可以考慮以下信息：

-組織的信息安全審核報(bào)告[WP-05-03]；

-項(xiàng)目計(jì)劃。

7.4要求和建議

7.4.1信息安全職責(zé)及其分配

[RQ-06-01]與項(xiàng)目信息安全活動(dòng)有關(guān)的職責(zé)應(yīng)根據(jù)[RQ-05-03]進(jìn)行溝通和分配。

注：信息安全活動(dòng)的責(zé)任可以轉(zhuǎn)移，前提是要進(jìn)行交流并移交相關(guān)信息。

7.4.2信息安全計(jì)劃

[RQ-06-02]為了決定相關(guān)項(xiàng)或組件的信息安全活動(dòng)，應(yīng)分析相關(guān)項(xiàng)或組件以確定：

12

GB/TXXXXX—XXXX

a）該模塊或組件是否與信息安全相關(guān)；

注1：附錄D提供了可用于評估信息安全相關(guān)性的方法和標(biāo)準(zhǔn)。

注2：如果確定該相關(guān)項(xiàng)或組件與信息安全無關(guān)，則沒有相關(guān)的信息安全活動(dòng)，因此不會(huì)啟動(dòng)信息安全計(jì)劃。

b)如果該相關(guān)項(xiàng)或組件與信息安全有關(guān)，該相關(guān)項(xiàng)或部件是新開發(fā)還是復(fù)用；

c)是否按照7.4.3進(jìn)行裁剪。

[RQ-06-03]信息安全計(jì)劃應(yīng)包括：

a)活動(dòng)的目標(biāo)；

b)對其他活動(dòng)或信息的依賴；

c)負(fù)責(zé)執(zhí)行活動(dòng)的人員；

d)執(zhí)行活動(dòng)所需的資源；

e)開始節(jié)點(diǎn)或終止節(jié)點(diǎn)以及預(yù)期持續(xù)時(shí)間；

f)工作成果的標(biāo)識。

[RQ-06-04]應(yīng)根據(jù)[RQ-05-03]和[RQ-05-04]分配開發(fā)和維護(hù)信息安全計(jì)劃以及根據(jù)信息安全計(jì)劃

跟蹤信息安全活動(dòng)進(jìn)度的職責(zé)。

[RQ-06-05]信息安全計(jì)劃應(yīng)：

a）在開發(fā)項(xiàng)目計(jì)劃中提及；

b）包括在項(xiàng)目計(jì)劃中，以使信息安全活動(dòng)具有可區(qū)分性。

注3：信息安全計(jì)劃可以在配置管理下包含與其他計(jì)劃（如項(xiàng)目計(jì)劃）的交叉引用（見[RQ-06-09]）。

[RQ-06-06]信息安全計(jì)劃應(yīng)根據(jù)第9、10、11和15章的相關(guān)要求，指定與概念階段和產(chǎn)品開發(fā)階

段所需要的信息安全活動(dòng)。

[RQ-06-07]當(dāng)進(jìn)行的活動(dòng)確定要發(fā)生更改或細(xì)化時(shí)，應(yīng)更新信息安全計(jì)劃。

注4：信息安全計(jì)劃可以在開發(fā)過程中逐步完善。例如，信息安全計(jì)劃可以根據(jù)信息安全活動(dòng)的結(jié)果進(jìn)行更新，如

TARA（見第16章）。

[PM-06-08]對于根據(jù)本文件16.8的分析確定的風(fēng)險(xiǎn)值為1的威脅場景，可以省略與10.5、11和12

章的符合性。

注5：威脅情況可能會(huì)對信息安全產(chǎn)生影響，如果產(chǎn)生影響，則對相應(yīng)的風(fēng)險(xiǎn)進(jìn)行處理。

注6：可以根據(jù)信息安全檔案中定義的基本原理來論證對此類風(fēng)險(xiǎn)的處理是否充分，基本原理可以基于質(zhì)量管理標(biāo)

準(zhǔn)的符合性，如IATF16949與ISO9001相結(jié)合，并結(jié)合其他措施，例如：

—信息安全意識保證；

—質(zhì)量人員的信息安全培訓(xùn)；

—組織的質(zhì)量管理體系中規(guī)定的信息安全具體措施。

[RQ-06-09]信息安全計(jì)劃中確定的工作成果應(yīng)在后開發(fā)階段發(fā)布之前和發(fā)布時(shí)進(jìn)行更新并保持準(zhǔn)

確性。

[RQ-06-10]對于分布式信息安全活動(dòng)，客戶和供應(yīng)商均應(yīng)根據(jù)第16章為其各自的信息安全活動(dòng)和

接口定義信息安全計(jì)劃。

[RQ-06-11]信息安全計(jì)劃應(yīng)按照6.4.4的規(guī)定，接收配置管理和文件管理。

[RQ-06-12]按照6.4.6的規(guī)定，信息安全計(jì)劃中確定的工作成果，應(yīng)接受配置管理、變更管理、需

求管理和文件管理。

7.4.3裁剪

[PM-06-13]信息安全活動(dòng)可以被裁剪。

[RQ-06-14]如果信息安全活動(dòng)被裁剪了，應(yīng)提供并審查基本原理，用來證明可以通過裁剪充分實(shí)現(xiàn)

本文件的相關(guān)目標(biāo)。

注：因供應(yīng)鏈中的另一實(shí)體執(zhí)行而未執(zhí)行的活動(dòng)不被視為裁剪，被視為分布式信息安全活動(dòng)。然而，信息安全活動(dòng)

的分布可以導(dǎo)致聯(lián)合裁剪。

13

GB/TXXXXX—XXXX

7.4.4復(fù)用

[RQ-06-15]如果一個(gè)相關(guān)項(xiàng)或組件完成開發(fā)，應(yīng)開展復(fù)用分析：

a)計(jì)劃進(jìn)行變更；

b)計(jì)劃在另一個(gè)操作環(huán)境中復(fù)用；

示例1：由于在新的操作環(huán)境中安裝了現(xiàn)有的相關(guān)項(xiàng)或組件，或者由于與之交互的其他相關(guān)項(xiàng)或組件的升級而使環(huán)

境發(fā)生了變更（見圖5），A可作為復(fù)用分析的結(jié)果而改變。

圖5復(fù)用分析示例

c）計(jì)劃在不變更的情況下復(fù)用，并且有關(guān)模塊或組件的信息也有相應(yīng)的變化，

示例2已知攻擊和漏洞的變化，或威脅場景的變化。

注1：在確定是否復(fù)用時(shí)，需考慮現(xiàn)有的工作成果；

注2：變更可以包括設(shè)計(jì)變更和/或?qū)嵤┳兏?/p>

-設(shè)計(jì)變更可以來自需求變更，例如，功能或性能增強(qiáng)。

-軟件修正或使用新的生產(chǎn)或維護(hù)工具（例如，基于模型的開發(fā)），可能會(huì)導(dǎo)致實(shí)施變更。

注3：配置數(shù)據(jù)或校準(zhǔn)數(shù)據(jù)的變更，如果影響現(xiàn)有相關(guān)項(xiàng)或組件的功能行為和資產(chǎn)或信息安全屬性，則視為發(fā)生變

更。

[RQ-06-16]相關(guān)項(xiàng)或組件的復(fù)用分析應(yīng)：

a）識別相關(guān)項(xiàng)或組件的變更和操作環(huán)境的變更；

b）分析變更后的信息安全影響，包括對信息安全聲明和先前假設(shè)的有效性的影響；

示例3：對信息安全需求、設(shè)計(jì)和實(shí)施、操作環(huán)境、假設(shè)和操作模式的有效性、維護(hù)、對已知攻擊的敏感性和已知

漏洞或資產(chǎn)的暴露的影響。

c）識別受影響或缺少的工作成果；

示例4：TARA考慮新的或變更的資產(chǎn)、威脅場景或風(fēng)險(xiǎn)值。

d）在信息安全計(jì)劃中指定符合本文件所需的信息安全活動(dòng)。

注4：可能產(chǎn)生裁剪。

[RQ-06-17]組件的復(fù)用分析應(yīng)評估：

a）該組件能夠滿足其要集成的相關(guān)項(xiàng)或組件所分配的信息安全要求；

b）現(xiàn)有文檔是否足以支持該組件集成到一個(gè)相關(guān)項(xiàng)或另一個(gè)組件中。

7.4.5獨(dú)立于環(huán)境的組件

[RQ-06-18]應(yīng)在相應(yīng)的工作成果中記錄獨(dú)立于環(huán)境開發(fā)的組件對預(yù)期用途和環(huán)境的假設(shè)，包括外

部接口。

[RQ-06-19]對于獨(dú)立于環(huán)境的組件的開發(fā)，信息安全需求應(yīng)基于[RQ-06-18]的假設(shè)。

[RQ-06-20]對于獨(dú)立于環(huán)境開發(fā)的組件的集成，應(yīng)驗(yàn)證[RQ-06-18]的信息安全聲明和假設(shè)。

7.4.6現(xiàn)成組件

[RQ-06-21]當(dāng)集成現(xiàn)成組件時(shí)，應(yīng)收集和分析與信息安全相關(guān)的文件，以確定：

a）滿足分配的信息安全需求；

14

GB/TXXXXX—XXXX

b）適合于預(yù)期用途的特定應(yīng)用環(huán)境；

c）現(xiàn)有的證明文件是否足以支持信息安全活動(dòng)。

[RQ-06-22]如果現(xiàn)有的證明文件不足以支持現(xiàn)成組件的集成，那么應(yīng)識別并執(zhí)行符合本文件的信

息安全活動(dòng)。

示例：有關(guān)漏洞的文件不充分。

注：這可能意味著裁剪。

7.4.7信息安全檔案

[RQ-06-23]應(yīng)創(chuàng)建一個(gè)信息安全檔案，為相關(guān)項(xiàng)或組件的信息安全提供論據(jù)，并有工作成果加以支

持。

注1：證據(jù)可以隱含的（例如，如果從已編譯的工作成果集中可以看出該證據(jù)，則可以省略這部分證

據(jù)）。

注2：在分布式開發(fā)中，相關(guān)項(xiàng)的信息安全檔案可以是客戶和供應(yīng)商的信息安全檔案的組合，其中引

用各方產(chǎn)生的工作成果的證據(jù)。相關(guān)項(xiàng)的整體論據(jù)由各方的論據(jù)共同支持。

注3：信息安全檔案需考慮后開發(fā)的信息安全需求[WP-10-02]。

7.4.8信息安全評估

[RQ-06-24]應(yīng)采用基于風(fēng)險(xiǎn)的基本原理決定是否對相關(guān)項(xiàng)或組件進(jìn)行信息安全評估。

注1：基本原理可基于：

TARA分析結(jié)果；

待開發(fā)相關(guān)項(xiàng)或組件的復(fù)雜性；

組織規(guī)則和過程所規(guī)定的標(biāo)準(zhǔn)；

注2：如果不進(jìn)行信息安全評估，可將基本原理記錄在信息安全檔案中。

[RQ-06-25][RQ-06-24]的基本原理應(yīng)獨(dú)立評審。

注3：獨(dú)立方案可基于GB/T34590系列標(biāo)準(zhǔn)。

[RQ-06-26]信息安全評估應(yīng)判斷相關(guān)項(xiàng)或組件的信息安全。

注4：現(xiàn)有證據(jù)由信息安全活動(dòng)的記錄結(jié)果提供，如工作成果（見附錄A）。

注5：圖6說明了組織信息安全審核、項(xiàng)目級信息安全評估和其他信息安全活動(dòng)之間的關(guān)系。

圖6與其他信息安全活動(dòng)有關(guān)的信息安全評估

注6：信息安全評估可以逐步進(jìn)行，以盡早解決已發(fā)現(xiàn)的問題。

注7：信息安全評估可以重復(fù)或補(bǔ)充；例如，由于變更，之前的信息安全評估提供了否定建議或發(fā)現(xiàn)

了漏洞。

15

GB/TXXXXX—XXXX

[RQ-06-27]應(yīng)根據(jù)[RQ-06-01]，任命負(fù)責(zé)計(jì)劃和獨(dú)立進(jìn)行信息安全評估的人員。

注8：獨(dú)立方案可基于GB/T34590系列標(biāo)準(zhǔn)。

例：來自于組織內(nèi)不同團(tuán)隊(duì)或部門的人員，如質(zhì)量保證部門，來自獨(dú)立組織的人員。

[RQ-06-28]進(jìn)行信息安全評估的人員應(yīng)：

a)有權(quán)獲得相關(guān)信息和工具；

b)獲得執(zhí)行信息安全活動(dòng)的人員的合作。

[PM-06-29]可基于對是否達(dá)到本文件目標(biāo)的判斷進(jìn)行信息安全評估。

[RQ-06-30]信息安全評估的范圍應(yīng)包括：

a信息安全計(jì)劃和信息安全計(jì)劃要求的所有工作成果；

b)對信息安全風(fēng)險(xiǎn)的處理；

c項(xiàng)目實(shí)施的信息安全控制和信息安全活動(dòng)的適當(dāng)性和有效性；

注9：合理性和有效性可以通過使用先前為驗(yàn)證目的而進(jìn)行的評審來判斷。

d）證明已達(dá)到本文件目標(biāo)的基本原理（如果提供）；

注10：考慮到[PM-06-13]，工作成果的創(chuàng)建負(fù)責(zé)人可以提供一個(gè)基本原理，解釋為什么要實(shí)現(xiàn)本文

件的相應(yīng)目標(biāo)以促進(jìn)信息安全評估。

注11：符合所有相應(yīng)要求是實(shí)現(xiàn)本文件目的的充分基本原理。

[RQ-06-31]信息安全評估報(bào)告應(yīng)包括接受，帶條件接受或拒絕該相關(guān)項(xiàng)或組件的信息安全建議。

注12：評估報(bào)告也可以包括持續(xù)改進(jìn)建議。

[RQ-06-32]如果提出了根據(jù)[PM-06-31]的帶條件接受建議，則信息安全評估報(bào)告應(yīng)包括接受條件。

7.4.9后開發(fā)的發(fā)布

[RQ-06-33]下列工作成果應(yīng)在后開發(fā)階段的發(fā)布之前可用：

-信息安全檔案[WP-06-02]；

-如果適用，信息安全評估報(bào)告[WP-06-03]；

-后開發(fā)階段的信息安全需求[WP-10-02]。

[RQ-06-34]相關(guān)項(xiàng)或組件在后開發(fā)的發(fā)布應(yīng)滿足以下條件：

a）信息安全檔案提供了充分的證據(jù)證明信息安全；

b）通過信息安全評估確認(rèn)信息安全檔案，如果適用；

b）后開發(fā)階段的信息安全需求被接受。

7.5工作成果

[WP-06-01]根據(jù)7.4.1至7.4.6的要求制定的信息安全計(jì)劃。

[WP-06-02]根據(jù)7.4.7的要求制定的信息安全檔案。

[WP-06-03]根據(jù)7.4.8的要求得出的信息安全評估報(bào)告（如適用）。

[WP-06-04]根據(jù)7.4.9的要求得出的用于后開發(fā)階段的發(fā)布報(bào)告。

8分布式信息安全活動(dòng)

8.1總則

如果相關(guān)項(xiàng)或組件信息安全活動(dòng)的責(zé)任是分布式的，本條適用。本章描述了分布式信息安全活動(dòng)的

管理，并且適用于以下情況：

a)在分布式信息安全活動(dòng)中開發(fā)的相關(guān)項(xiàng)和組件；

b)客戶-供應(yīng)商間的交互；

c)客戶-供應(yīng)商接口協(xié)議適用的所有階段。

內(nèi)部供應(yīng)商和外部供應(yīng)商可以采用同樣的方式進(jìn)行管理。

16

GB/TXXXXX—XXXX

示例：一個(gè)1級供應(yīng)商是某OEM開發(fā)過程中的供應(yīng)商，在另一個(gè)組件供應(yīng)的合同關(guān)系中它是某2級供應(yīng)商的客戶。

這在圖7中進(jìn)行了說明。

圖7供應(yīng)鏈中客戶/供應(yīng)商關(guān)系的用例

8.2目標(biāo)

本章的目標(biāo)是定義客戶和供應(yīng)商在信息安全活動(dòng)中的交互、依賴和職責(zé)。

8.3輸入

無。

8.4要求和建議

8.4.1供應(yīng)商的能力

[RQ-07-01]應(yīng)按本文評價(jià)潛在供應(yīng)商在開發(fā)（如果適用）以及后開發(fā)活動(dòng)方面的能力。

注1：該評價(jià)可用來支持供應(yīng)商的選擇，可以依據(jù)本文要求的能力，也可以依據(jù)其他國家或國際的信

息安全工程標(biāo)準(zhǔn)的實(shí)施情況進(jìn)行評價(jià)。

[RC-07-02]供應(yīng)商應(yīng)提供信息安全能力記錄，來支持客戶對供應(yīng)商能力的評價(jià)。

注2：信息安全能力記錄包含：

-組織關(guān)于信息安全能力的證據(jù)（例如：在開發(fā)、后開發(fā)、治理、質(zhì)量和傳統(tǒng)信息安全等方面的信

息安全最佳實(shí)踐）；

-開展可持續(xù)的信息安全活動(dòng)（見第9章）和信息安全事件響應(yīng)（見第14章）的證據(jù)；

-以往信息安全評估報(bào)告的總結(jié)。

8.4.2詢價(jià)

[RQ-07-03]客戶向潛在供應(yīng)商發(fā)出的報(bào)價(jià)請求應(yīng)包含：

a)符合本文件的正式要求；

b)7.4.3中對供應(yīng)商履行信息安全職責(zé)的預(yù)期；

c)與供應(yīng)商報(bào)價(jià)的相關(guān)項(xiàng)或組件有關(guān)的信息安全目標(biāo)或信息安全需求集。

例：關(guān)于消息認(rèn)證的信息安全需求。

8.4.3職責(zé)的協(xié)調(diào)

[RQ-07-04]客戶和供應(yīng)商應(yīng)在信息安全接口協(xié)議中規(guī)定分布式信息安全活動(dòng)，包含：

a)任命信息安全相關(guān)的的客戶和供應(yīng)商的聯(lián)絡(luò)人；

b)識別需要由客戶和供應(yīng)商各自實(shí)施的信息安全活動(dòng)；

例1：客戶執(zhí)行整車層面的信息安全確認(rèn)。

例2：后開發(fā)階段的信息安全活動(dòng)的分布。

例3：供應(yīng)商、客戶或者第三方可以就供應(yīng)商開發(fā)的組件或工作成果進(jìn)行信息安全評估。

c)如果適用，按照6.4.3共同對信息安全活動(dòng)進(jìn)行裁剪；

d)應(yīng)共享信息和工作成果；

注1：共享的信息可以包含：

-分發(fā)、評審和發(fā)生信息安全問題時(shí)的反饋機(jī)制；

-信息共享策略；

17

GB/TXXXXX—XXXX

-漏洞和其他信息安全相關(guān)發(fā)現(xiàn)的信息交換流程，例如，關(guān)于風(fēng)險(xiǎn)；

-接口相關(guān)的過程、方法和工具，用來確?？蛻艉凸?yīng)商對接的兼容性，例如對于數(shù)據(jù)的恰當(dāng)處理

和對傳輸數(shù)據(jù)的通訊網(wǎng)絡(luò)的安全防護(hù)；

-角色的定義；

-溝通和記錄相關(guān)項(xiàng)或組件變更的方法，包含TARA潛在重復(fù)使用；

-需求管理工具的統(tǒng)一；

-信息安全評估的結(jié)果。

e)分布式信息安全活動(dòng)的里程碑；

f)相關(guān)項(xiàng)或組件的信息安全支持終止的定義。

[RC-07-05]信息安全接口協(xié)議應(yīng)在客戶和供應(yīng)商開始分布式活動(dòng)前共同商定。

[RQ-07-06]如果根據(jù)[RQ-08-07]識別的漏洞需要管理，則客戶和供應(yīng)商應(yīng)對采取的行動(dòng)及行動(dòng)的職

責(zé)達(dá)成共識。

[RQ-07-07]如果需求不清楚、不可行、或與其他信息安全需求或相關(guān)領(lǐng)域的需求相沖突，則客戶和

供應(yīng)商應(yīng)互相通知對方，以便做出適當(dāng)?shù)臎Q定并采取行動(dòng)。

[RC-07-08]在職責(zé)分配矩陣中規(guī)定職責(zé)。

注2：可以使用RASIC表，參見附錄C。

8.5工作成果

[WP-07-01]由8.4.3的要求產(chǎn)生的信息安全接口協(xié)議。

9持續(xù)的信息安全活動(dòng)

9.1總則

持續(xù)的信息安全活動(dòng)可以在全生命周期的每一個(gè)階段進(jìn)行，也可以在項(xiàng)目之外進(jìn)行。

信息安全監(jiān)測收集信息安全情報(bào)并根據(jù)已定義的觸發(fā)器進(jìn)行分類。

信息安全事態(tài)評估幫助確定信息安全事件是否展現(xiàn)了相關(guān)項(xiàng)和組件的脆弱性。

漏洞分析檢查弱點(diǎn)，并評估該弱點(diǎn)是否可被用于發(fā)動(dòng)攻擊。

漏洞管理跟蹤并監(jiān)督相關(guān)項(xiàng)和組件中的漏洞處理，直至信息安全支持結(jié)束。

9.2目的

本章節(jié)的目的包括：

a)監(jiān)控信息安全情報(bào)從而識別信息安全事態(tài)；

b)評估信息安全事態(tài)從而識別弱點(diǎn)；

c)識別來自脆弱性的漏洞；

d)管理已識別的漏洞。

9.3信息安全監(jiān)測

9.3.1輸入

9.3.1.1先決條件

應(yīng)提供以下信息：

在[WP-05-01]中用于開發(fā)觸發(fā)器的規(guī)則和過程。

9.3.1.2附加支持資料

可以考慮以下信息：

-相關(guān)項(xiàng)定義[WP-09-01]；

18

GB/TXXXXX—XXXX

-信息安全聲明[WP-09-04]；

-信息安全規(guī)范[WP-10-01]；

-威脅場景[WP-15-03]；

-過去的漏洞分析結(jié)果[WP-08-05]；

-現(xiàn)場收集的信息；

示例：漏洞掃描報(bào)告、修復(fù)信息、顧客使用信息。

9.3.2要求和建議

[RQ-08-01]應(yīng)選擇信息安全情報(bào)收集的來源。

注1:可以選擇外部和/或內(nèi)部的來源；

注2:內(nèi)部來源可以包括列在9.3.1.2的來源；

注3:外部來源可以包括：

-信息安全研究員；

-商業(yè)或非商業(yè)的來源；

-組織的供應(yīng)鏈；

-組織的客戶；

-政府來源。

示例：最先進(jìn)的攻擊方法的來源。

[RQ-08-02]應(yīng)該定義和維護(hù)觸發(fā)器，以便進(jìn)行信息安全情報(bào)分類。

注4:觸發(fā)器可以包括關(guān)鍵字、配置信息的參考文件、組件或供應(yīng)商的名稱。

[RQ-08-03]應(yīng)收集和分類信息安全情報(bào)，并確定是否成為一個(gè)或多個(gè)信息安全事態(tài)。

9.3.3工作成果

[WP-08-01]來自[RQ-08-01]的信息安全情報(bào)來源。

[WP-08-01]來自[RQ-08-02]的觸發(fā)器。

[WP-08-03]來自[RQ-08-03]的信息安全事態(tài)。

9.4信息安全事態(tài)評估

9.4.1輸入

9.4.1.1先決條件

應(yīng)提供以下信息：

-信息安全事態(tài)[WP-08-03];

-（如有）后開發(fā)階段的信息安全需求；

-對應(yīng)[RQ-05-12]的配置信息。

9.4.1.2附加支持資料

可以考慮以下信息：

-相關(guān)項(xiàng)定義[WP-09-01]；

-信息安全規(guī)范[WP-10-01]；

-過去的漏洞分析結(jié)果[WP-08-05]；

9.4.2要求和建議

[RQ-08-04]應(yīng)評估信息安全事態(tài)，以識別相關(guān)項(xiàng)和/或組件中的弱點(diǎn)。

注1：此活動(dòng)可與[RQ-08-03]中的觸發(fā)器相結(jié)合使用；

注2：如果存在弱點(diǎn)并且有對應(yīng)的補(bǔ)救措施（例如，供應(yīng)商為組件中的漏洞提供了修補(bǔ)程序），則組織可以將該補(bǔ)

救措施作為無需任何其他活動(dòng)的漏洞來處理。

注3:可根據(jù)此評估結(jié)果更新威脅場景[WP-15-03]。

19

GB/TXXXXX—XXXX

9.4.3工作成果

[WP-08-04]由[RQ-08-04]產(chǎn)生的信息安全事態(tài)的弱點(diǎn)。

9.5漏洞分析

9.5.1輸入

9.5.1.1先決條件

應(yīng)提供以下信息：

-相關(guān)項(xiàng)定義[WP-09-01]或信息安全規(guī)范[WP-10-01]；

注：如果對相關(guān)項(xiàng)進(jìn)行漏洞分析，則使用相關(guān)項(xiàng)的定義;如果對組件進(jìn)行漏洞分析，則使用信息安全規(guī)范。

9.5.1.2附加支持資料

可以考慮以下信息：

—[WP-08-04]信息安全事態(tài)中的弱點(diǎn)。

—產(chǎn)品開發(fā)[WP-10-05]過程中發(fā)現(xiàn)的弱點(diǎn)。

—過去的漏洞分析結(jié)果[WP-08-05]；

—攻擊路徑[WP-15-05];

—驗(yàn)證報(bào)告[WP-10-04]和[WP-10-07]；

—以往的信息安全事件。

9.5.2要求和建議

[RQ-08-05]應(yīng)分析弱點(diǎn)以識別漏洞。

注1：該分析可包括：

—架構(gòu)分析；

—根據(jù)16.6進(jìn)行的攻擊路徑分析

—根據(jù)16.7進(jìn)行的攻擊可行性定級

注2：可以通過執(zhí)行根本原因分析，來確定可能導(dǎo)致弱點(diǎn)成為漏洞的任何潛在因素。

例1:攻擊路徑分析顯示不存在攻擊路徑，則該弱點(diǎn)不被視為漏洞。

例2:利用弱點(diǎn)的攻擊可行性評級非常低，則該弱點(diǎn)不被視為漏洞。

[RQ-08-06]如果弱點(diǎn)未被確定為漏洞，應(yīng)提供理由。

9.5.3工作成果

[WP-08-05]由[RQ-08-05]和[RQ-08-06]產(chǎn)生的漏洞分析結(jié)果。

9.6漏洞管理

9.6.1輸入

9.6.1.1先決條件

應(yīng)提供以下信息：

-漏洞分析結(jié)果[WP-08-05]；

注：如果對相關(guān)項(xiàng)執(zhí)行脆弱性分析，則使用相關(guān)項(xiàng)的定義;如果對組件執(zhí)行脆弱性分析，則使用網(wǎng)絡(luò)安全規(guī)范。

9.6.1.2附加支持資料

無。

9.6.2要求和建議

[RQ-08-07]應(yīng)對漏洞進(jìn)行管理，以便針對每個(gè)漏洞開展以下工作：

20

GB/TXXXXX—XXXX

a)相應(yīng)的信息安全風(fēng)險(xiǎn)按照16.9進(jìn)行評估和處理，以便消除不合理的風(fēng)險(xiǎn)；

b)通過應(yīng)用獨(dú)立于TARA的補(bǔ)救措施來消除漏洞，如開源軟件的補(bǔ)丁。

注1:如果漏洞管理導(dǎo)致相關(guān)項(xiàng)和組件變更，則根據(jù)[RQ-05-11]進(jìn)行變更管理。

注2:有關(guān)漏洞的信息可以在分布式信息安全活動(dòng)的相關(guān)環(huán)境中共享（例如攻擊路徑信息的分享），也可以分享給其

他相關(guān)方。

[RQ-08-08]如果根據(jù)16.9的風(fēng)險(xiǎn)處置決策需要進(jìn)行信息安全事件響應(yīng)，則應(yīng)參照14.3。

注3:信息安全事件響應(yīng)流程可以獨(dú)立于TARA。

9.6.3工作成果

[WP-08-06]由[RQ-08-07]產(chǎn)生的漏洞管理證據(jù)。

10概念階段

10.1總則

概念階段涉及到整車級別功能在相關(guān)項(xiàng)中實(shí)施的考慮。在本章節(jié)中，相關(guān)項(xiàng)及其操作環(huán)境被識別為

“相關(guān)項(xiàng)定義”，相關(guān)項(xiàng)定義構(gòu)成了后續(xù)活動(dòng)的基礎(chǔ)。

本章還規(guī)定了相關(guān)項(xiàng)的信息安全目標(biāo)，這是最高級別的要求。為此，通過第16章（見附錄H，圖

H.1）的方法完成信息安全風(fēng)險(xiǎn)評估。此外，10.4規(guī)定了信息安全聲明，用于解釋風(fēng)險(xiǎn)保留和分擔(dān)的充

分性。

信息安全概念由信息安全需求和對操作環(huán)境的要求組成，基于信息安全目標(biāo)以及相關(guān)項(xiàng)而形成。

10.2目的

本章節(jié)的目的是：

a)定義相關(guān)項(xiàng)、操作環(huán)境和在信息安全上下文中的相互影響；

b)明確信息安全目標(biāo)和信息安全聲明；

c)明確實(shí)現(xiàn)信息安全目標(biāo)的信息安全概念。

10.3相關(guān)項(xiàng)定義

10.3.1輸入

10.3.1.1先決條件

無。

10.3.1.2進(jìn)一步的支持信息

考慮信息如下：

-有關(guān)該相關(guān)項(xiàng)和操作環(huán)境的現(xiàn)有信息：

例：車內(nèi)E/E系統(tǒng)結(jié)構(gòu)，包括車內(nèi)網(wǎng)絡(luò)，車外網(wǎng)絡(luò)，參考模型和前期開發(fā)文檔。

10.3.2要求和建議

[RQ-09-01]在相關(guān)項(xiàng)中應(yīng)確定以下信息：

a)相關(guān)項(xiàng)邊界；

注1：相關(guān)項(xiàng)邊界將項(xiàng)目與其操作環(huán)境區(qū)分開來。相關(guān)項(xiàng)邊界的描述可包括與車輛內(nèi)部其他相關(guān)和/或與車輛外部E/E

系統(tǒng)的接口。

b)相關(guān)項(xiàng)功能；

注2：相關(guān)項(xiàng)功能描述了相關(guān)項(xiàng)在生命周期各階段[如產(chǎn)品研發(fā)（測試）、生產(chǎn)、運(yùn)營和維護(hù)、報(bào)廢]的預(yù)期行為，

包括相關(guān)項(xiàng)實(shí)現(xiàn)的車輛功能。

c)初步架構(gòu)：

注3：初步架構(gòu)的描述包括識別相關(guān)項(xiàng)的組成部分及其連接，以及相關(guān)項(xiàng)的外部接口。

21

GB/TXXXXX—XXXX

注4：本文件中的相關(guān)項(xiàng)定義，特別是相關(guān)項(xiàng)邊界，可能與其他學(xué)科的相關(guān)項(xiàng)定義不同，例如參考GB/T34590功能

安全系列標(biāo)準(zhǔn)。

注5：考慮限制因素和使用的信息安全標(biāo)準(zhǔn)。

注6：開發(fā)一個(gè)獨(dú)立于環(huán)境的組件可以基于對一個(gè)假定的（通用）相關(guān)項(xiàng)的定義和對該相關(guān)項(xiàng)內(nèi)組件功能的描述。

[RQ-09-02]應(yīng)描述與信息安全有關(guān)的相關(guān)項(xiàng)的操作環(huán)境信息。

注7：通過描述操作環(huán)境及其與相關(guān)項(xiàng)之間的交互，可以識別或分析相關(guān)的威脅情景和攻擊路徑。

注8：相關(guān)信息包括假設(shè)，如假設(shè)該相關(guān)項(xiàng)所依賴的每個(gè)公鑰基礎(chǔ)設(shè)施證書機(jī)構(gòu)都得到了適當(dāng)?shù)墓芾怼?/p>

10.3.3工作成果

[WP-09-01]相關(guān)項(xiàng)定義，由10.3.2的要求得出。

10.4信息安全目標(biāo)

10.4.1輸入

10.4.1.1先決條件

應(yīng)提供以下信息：

-相關(guān)項(xiàng)定義[WP-09-01]。

10.4.1.2進(jìn)一步的支持信息

可考慮以下信息：

-信息安全事態(tài)[WP-08-03]。

10.4.2要求和建議

[RQ-09-03]應(yīng)根據(jù)相關(guān)項(xiàng)定義進(jìn)行分析，其中包括：

根據(jù)16.3的規(guī)定進(jìn)行資產(chǎn)識別；

a）根據(jù)16.4的規(guī)定進(jìn)行威脅場景識別；

b）根據(jù)16.5的規(guī)定，影響評級；

c）根據(jù)16.6的規(guī)定，進(jìn)行攻擊路徑分析；

d）根據(jù)16.7的規(guī)定，對攻擊可行性進(jìn)行評級；

e）根據(jù)16.8的規(guī)定，確定風(fēng)險(xiǎn)值；

注1：如果相關(guān)項(xiàng)定義沒有為分析提供足夠的信息，可以假設(shè)這些信息。

[RQ-09-04]根據(jù)[RQ-09-03]的結(jié)果，應(yīng)按照15.9的規(guī)定為每種威脅場景確定風(fēng)險(xiǎn)處理方案。

注2：通過消除風(fēng)險(xiǎn)源來避免風(fēng)險(xiǎn)，可能導(dǎo)致按照變更管理對該相關(guān)項(xiàng)進(jìn)行變更。

[RQ-09-05]如果一個(gè)威脅場景的風(fēng)險(xiǎn)處置決策包括減少風(fēng)險(xiǎn)，那么應(yīng)指定一個(gè)或多個(gè)相應(yīng)的信息

安全目標(biāo)。

注3：信息安全目標(biāo)是保護(hù)資產(chǎn)免受威脅場景的要求。

注4：如果適用，可以為信息安全目標(biāo)確認(rèn)一個(gè)CAL（見附錄E）。

注5：可以為相關(guān)項(xiàng)的任何生命周期階段指定信息安全目標(biāo)。

[RQ-09-06]如果一個(gè)威脅場景的風(fēng)險(xiǎn)處置決策包括：

a）分擔(dān)風(fēng)險(xiǎn)；

b）保留由于[RQ-09-03]分析過程中使用的一個(gè)或多個(gè)假設(shè)而產(chǎn)生的風(fēng)險(xiǎn)，則應(yīng)指定一個(gè)或多個(gè)相

應(yīng)的信息安全聲明；

注6：信息安全聲明可被考慮用于信息安全監(jiān)測。

[RQ-09-07]應(yīng)進(jìn)行驗(yàn)證以確認(rèn)滿足下列要求：

a）[RQ-09-03]的結(jié)果在相關(guān)項(xiàng)定義方面的正確性和完整性；

b）[RQ-09-04]的風(fēng)險(xiǎn)處置決策與[RQ-09-03]的結(jié)果的完整性、正確性和一致性；

22

GB/TXXXXX—XXXX

c）[RQ-09-05]的信息安全目標(biāo)和[RQ-09-06]的信息安全聲明與[RQ-09-04]風(fēng)險(xiǎn)處置決策之間的完

整性、正確性和一致性；

d）該相關(guān)項(xiàng)[RQ-09-05]的所有信息安全目標(biāo)和[RQ-09-06]的信息安全聲明的一致性。

10.4.3工作成果

[WP-09-02]由[RQ-09-03]和[RQ-09-04]的要求得出TARA。

[WP-09-03]由[RQ-09-05]的要求得出信息安全目標(biāo)。

[WP-09-04]由[RQ-09-06]的要求得出信息安全聲明。

[WP-09-05]由[RQ-09-07]的要求得出信息安全目標(biāo)的驗(yàn)證報(bào)告。

10.5信息安全概念

10.5.1輸入

10.5.1.1先決條件

應(yīng)獲得下列信息：

-相關(guān)項(xiàng)定義[WP-09-01]；

-信息安全目標(biāo)[WP-09-03]；

-信息安全聲明[WP-09-04]。

10.5.1.2進(jìn)一步的支持信息

可考慮下列信息：

-威脅分析和風(fēng)險(xiǎn)評估[WP-09-02]。

10.5.2要求及推薦

[RQ-09-08]應(yīng)考慮以下因素，描述達(dá)成信息安全目標(biāo)而采取的信息安全控制和/或運(yùn)行控制措施，

及其相互關(guān)系:

a）相關(guān)項(xiàng)功能的依賴性;

b)信息安全聲明。

注1：描述可包括：

-達(dá)成信息安全目標(biāo)的條件，例如：對損害的預(yù)防，探測與監(jiān)控。

-處理威脅場景特定方面的專用功能，例如：使用安全的通信通道。

注2：這些描述可用來評估設(shè)計(jì)，并確定信息安全確認(rèn)的目標(biāo)。

[RQ-09-09]相關(guān)項(xiàng)的信息安全需求及操作環(huán)境需求，應(yīng)按照[RQ-09-08]的描述，為實(shí)現(xiàn)信息安全

目標(biāo)而進(jìn)行定義。

注3：信息安全需求取決于并包括：相關(guān)項(xiàng)的特定功能，例如：升級能力或在運(yùn)行時(shí)獲得用戶許可的能力。

注4：對操作環(huán)境的需求，是在相關(guān)項(xiàng)以外實(shí)現(xiàn)的，但是被包括在相關(guān)項(xiàng)的信息安全確認(rèn)內(nèi)，以確定相應(yīng)的信息安

全目標(biāo)是否達(dá)成。

注5：對于作為操作環(huán)境一部分的其它相關(guān)項(xiàng)的需求，可作為這些相關(guān)項(xiàng)的信息安全需求。

[RQ-09-10]信息安全需求應(yīng)被分配到相關(guān)項(xiàng)，如果適用，分配到其一個(gè)或者多個(gè)組件。

注6：信息安全控制的描述補(bǔ)充了信息安全需求和操作環(huán)境需求的規(guī)范和分配，這些都構(gòu)成了信息安全概念。

[RQ-09-11]應(yīng)驗(yàn)證[RQ-09-08],[RQ-09-09]and[RQ-09-10]的結(jié)果，以確定：

a)完整性、正確性、及其與信息安全目標(biāo)的一致性;

b)與信息安全聲明的一致性。

10.5.3工作成果

[WP-09-06]來自[RQ-09-08],[RQ-09-09]和[RQ-09-10]的信息安全概念。

[WP-09-07]由[RQ-09-11]產(chǎn)生的信息安全概念驗(yàn)證報(bào)告。

23

GB/TXXXXX—XXXX

11產(chǎn)品研發(fā)

11.1總則

本章描述了信息安全需求和架構(gòu)設(shè)計(jì)的規(guī)范，以及集成與驗(yàn)證活動(dòng)。

迭代執(zhí)行這些信息安全活動(dòng)，直到信息安全控制不需要進(jìn)一步細(xì)化。通過驗(yàn)證活動(dòng)定義并確認(rèn)信息

安全規(guī)范，以實(shí)現(xiàn)信息安全概念。

圖8