差距分析
安全差距分析
ISO 21434、ISO 26262、A-SPICE等标准和方法为汽车行业开发安全产品的要求和建议提供了框架,是建设安全管理体系的基础理论支撑和最佳实践。国内外已经发布或即将发布的汽车行业安全法规都将安全管理体系建设和产品安全保障作为市场准入的必要条件之一。考虑到未来的认证和准入审核,我们建议您尽早开始审查当前的合规状态,可以更早地发现可能的差距,为可能面对的流程改进争取时间优势,也可以在激励的市场竞争中掌握主动。
对此,我们建议您:
- 评估目前的安全管理是否已经符合相应的标准?
- 确认目前的安全措施是否满足未来对相关符合性的审核?
- 差距在哪里,需要采取哪些必要的措施
我们在组织层面、项目管理和产品技术实现过程来评估您的现状。
组织层面是否符合标准的相关要求
在组织层面实施安全措施。例如在安全管理、意识、职责上是否符合CSMS和SUMS的要求。
项目过程是否充分考虑了安全要求
开发项目的具体计划、流程和控制是否被有效管理。
产品的具体技术实现过程是否满足了相关安全要求
核心产品的安全需求是至关重要的,产品的安全技术实现是否有流程支撑,相关工具是否被管理。
组织安全管理
组织是所有安全工作的起点和中心,安全管理政策、体系和文化需要在组织层面来建立推动,各种安全行动中的问题在组织层面进行汇集。我们在组织层面的差距分析中,将评估现状并提供行动建议。
安全管理
安全方针的制定和流程建设,资源配置、职责划分以及与企业体系流程的衔接
安全文化
将安全融入于日常工作,相关人员的网络安全能力、意识培训
信息共享
明确的信息共享机制和规则流程
管理体系
提供负责任的证据,证明没有通过使用的工具链向系统引入弱点或漏洞
工具管理
对开发、生产
运行维护等各环节安全相关工具进行有效管理
安全审计
定期进行的内部、外部安全审计,以保证流程持续有效
安全事件的监测和评估
持续收集和观察安全相关信息,并对公司产品进行评估
安全事件响应
定义和建立处理现场安全事件的流程、方法和工作方式
项目安全管理
在任何开发项目的级别上,安全考虑必须全面集成到项目的所有阶段和涉及的功能中。我们通过以下几点来判断是否符合相关的安全流程要求。
安全项目启动
针对安全进行职责分配
安全项目计划
安全活动的定义、规划、分配和跟踪,包括安全计划和时间表的制定
分布式开发
评估供应商能力,规范和接口协议,以及监测双方之间的共同进行的安全活动
安全档案
为相关项的安全提供论据的相关档案和记录
安全评估
针对安全计划和工作产品基于风险、威胁进行的安全评估
开发后的安全活动
安全档案、安全评估报告以及后开发的安全需求
产品的安全保障
在产品的安全技术实现方面,相关标准规定了围绕安全采取措施和流程步骤。针对产品全生命周期的合规性可以通过以下几个方面做出评估分析。
产品的定义和需求分析
安全相关方分析,识别和阐述利益相关者需求,收集已知的网络安全信息
风险、威胁分析和网络安全目标
技术层面识别安全风险并制定缓解风险的策略
安全需求管理
将安全需求分解整合到系统、软件和硬件架构设计中
软件/硬件层面的安全实施
集成现有产品并建立安全规则和实施需求
安全测试
安全相关测试规范的制定和测试结果的评估
漏洞分析
识别和缓解系统、软件和硬件层面的漏洞
您将从全面的安全差距分析中获益
以相关标准为基础的安全管理体系影响到整个组织、项目、以及产品开发的所有过程,通过安全差距分析,您可以确定组织下步工作的具体重点。您面对的可能是法规对于安全体系的认证要求,也可能是上游主机厂的安全体系审查,或者您只想完善自己的开发项目流程,以期更好的应对安全风险,根据您的需要,我们提供不同范围的差距分析服务。
通过特定的差距分析,我们可以帮助您:
- 识别可能存在的缺陷和差距,确认后续工作的方向和重点
- 综合您的实际情况,针对差距给出具体解决方案
- 为相关的审计和评估做好准备
联系我们,了解您的网络安全现状
