21434信息安全管理体系为CSMS合规认证提供理论框架指导 .pdf

21434信息安全管理体系为CSMS合规认证提供理论框架指导 .pdf

  1. 1、本文档共5页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

21434信息安全管理体系为CSMS合规认证提供理论框

架指导

1.网络安全治理(cybersecuritygovernance)

网络安全治理是最宏观的层面的安全治理方针,总共有5条要求,

可总结为以下几点:

领导层重视

公司最高层必须具备网络安全管理的概念,认可并且重视网络安

全的体系和能力建设,以保证安全工作的顺利实施。

流程保证

这里可以理解为CSMS体系的保证,流程包含了概念、开发、生

产、运维、退役、TARA方法论,安全监控,信息共享,应急响应等

21434中提及的所有环节的流程。每个模块的体系文件又可以分为程

序、指导手册,方法论和模板多级文件。

职责划分

CSMS体系建立好后,必须将各环节的职责分配给相应的部门/人

员,确保流程真正落地。

资源保证

必须保证相关能力的人员、技术和工具等资源。

与现有流程的结合

考虑如何将网络安全管理活动嵌入组织现有的流程中。

2.网络安全文化(cybersecurityculture)

这一节规定了组织实施网络安全管理需具备的“软实力”,可归

结为以下3点:

建立良好的网络安全文化

对于什么是“良好”的网络安全文化,可参考文件后的附录B,

内容和26262中提及的安全文化示例基本一致。

保证人员的能力和意识

能力涵盖了多个方面,如具备风险管理的流程和规定,具备功能

安全、隐私保护的相关流程规定,人员具备相关专业领域的知识以及

渗透、安全防护的知识等。

持续改进

持续改进需贯穿在网络安全工程的所有活动中,改进可以来源于

内/外部的监控获取的信息、lessonslearn,相似项目的经验,开发

过程中发现的问题、体系/流程审核中发现的问题等。

3.信息共享(InformationSharing)

信息共享要求组织必须考虑组织内外部哪些数据共享是必须的、

允许的,哪些是被禁止的,并根据这个准则去管理与第三方共享的数

据。

在具体实施层面,通常会对信息进行分级,制定相关的信息共享

流程,使用专门的信息传输工具,与第三方确定漏洞披露原则等。

4.管理体系(ManagementSystem)

组织应建立一个质量管理体系来支撑网络安全工程。主要支持网

络安全工程中的变更管理、文档管理、配置管理和需求管理。其中产

品的安全配置信息必须在产品终止维护前保持可用。此外,本节中还

建议组织制定生产制造环节的网络安全管理体系。

目前行业内绝大部分企业都通过了16949的认证,在实际实施中

需要考虑的是将网络安全开发活动纳入原有的变更、文档、配置和需

求管理流程中进行管理。

5.工具管理(ToolManagement)

组织应对能够影响相关项和组件网络安全的工具进行管理,这些

工具可能包括:

开发过程中的工具如模型开发,静态代码检查,验证工具。

生产中的工具如软件刷写工具、产线检测仪。

运维阶段的工具如在线诊断工具等。

工具可以通过以下的方法进行管理:使用用户手册和勘误表,访

问控制,权限控制,预防非预期行为和操作等。

此外,本节还建议在产品退役前,应保持相关环境(如软件编译、

开发环境、测试环境)可复制,以便在后续发生网络安全事件时,可

对漏洞进行复现和管理。

6.信息安全管理(Informationsecuritymanagement)

建议:相关的工作产品应该由一个信息安全管理系统来管理

7.网络安全审计(organizationcybersecurityaudit)

组织应进行网络安全审计,以判断组织的流程是否达到了本标准

的要求。需要注意几点:

审计人可以来自组织内部或外部,但必须保证审计的独立性,关

于独立性的要求可以参考26262中的相关描述。

网络安全审计可以包含在质量体系的审计中(如IATF16949)。

审计可以分阶段进行

最后在总结一下本章节要求输出的工作产品:

[WP-05-01]网络安全方针、规则和流程

[WP-05-02]能力管理、意识管

文档评论(0)

135****5548 + 关注
官方认证
内容提供者

各类考试卷、真题卷

认证主体社旗县兴中文具店(个体工商户)
IP属地宁夏
统一社会信用代码/组织机构代码
92411327MAD627N96D

1亿VIP精品文档

相关文档