北京治疗白癜风总共要多少钱 http://news.39.net/bjzkhbzy/170210/5218115.html青骥信息安全原创技术系列专题
正确的时间,做正确的事情。
1.背景简介
在前面的《技术文章
谈谈VDA之黄皮书CSMS》里,我们有重点阐述汽车信息安全流程管理评审的初版要求,其核心的内容就来自ISO,只是换了个视角,以问卷的形式展开方便评审。
对汽车信息安全从业人员来说,目前可参考的标准并不多,其中SAEJ是一个,此外就是即将发布的ISO,因为工作的原因,基本亲历了近两年来的版本变迁,也是一个脉络逐步清晰,定义更加精准到位的过程。今天我还是想基于ISO的框架内容谈谈汽车信息安全流程。在此之前,还是想澄清几个问题。
1.1为什么说流程入门汽车信息安全相对靠谱?
每个人的从业背景不同,尽管汽车信息安全很多问题还没有定论,但在前进路我们需要一张地图,而且是比较容易看懂的地图。汽车信息安全流程是基于整车开发流程,然后将信息安全的活动嵌入到开发过程中的每个工作阶段,它是一套完整的方法论和链路。
对于小白来说,从安全流程入手,除了容易理解之外,一方面你可以了解整车开发各阶段的重点工作,比如概念阶段的核心诉求就是定义需求等,对于汽车信息安全来说重点就是明确信息安全需求,当前我们是如何来做的呢?自然是威胁分析和风险评估。另外一方面是可以了解工作所在的位置以及背后的逻辑意义,如此你就不必将自己看作孤家寡人一个人工作,而是众多同事协同工作,了解上下游,你会意识到工作的重要性而更有成就感。
1.2流程管理到底解决了什么样的问题?
流程管理解决的核心问题可以用一句话来概括,在正确的时间做正确的事情,流程是通过不断反复实践和验证经验总结,泰勒的《科学管理原理》奠定了现代管理的基础,核心思想就是每个步骤寻求最优解,然后优势累积达到提升效率的作用。在汽车信息安全行业处于起步阶段,此时仅有的SAEJ和ISO都尝试着从流程管理的角度来规范行业的发展。
插一句,如果只是满足ISO,并不意味着它就能通过法规的认证,它只是行业最佳实践,作为通过合规认证的重要依据之一。对于认证市场来说,它很重要,但不是全部。从另外一个角度来说,流程管理解决了部分将来的合规性要求。随着WP29信息安全管理的法规发布,信息安全管理认证也势在必行,流程认证自然会优先产品认证推出。
1.3汽车信息安全流程管理到底包括哪些内容?
谈到管理包括的内容多了,文化,意识,文化建设,团队建设等等方面,说起流程管理,自然是依托于整车开发流程的各个阶段,包括概念阶段,产品开发阶段,验证阶段,生产阶段,运维阶段和报废阶段,然后是每个阶段汽车信息安全到底应该做什么,后面我会结合ISO的流程框架内容做简单的阐述。
说实话,相比整车开发的错综复杂,汽车信息安全也只是安全领域的一个小点,并没有那么高不可攀,只是我们作为汽车信息安全从业人员来说,会有意无意放大的它的作用。所以作为交叉人才培养的话,从汽车出发相对会有优势,它的知识体量和复杂程度会更加庞大。
2.流程整体介绍
为了做到有章可循,我还是想回到ISO从基础框架做一个简要的介绍,首先它就是一个流程管理的文档,其作用就是要取代ISO作为行业的指导,为了避免技术限制,不会从技术细节上做出约束,适当举例是为参考,如何按ISO开展实际的开发工作?从WorkProducts入手,从具体的交付物入手,至于交付物应该长成什么样子?自研多少有难度,还是得借鉴功能安全成熟的模板和工具,或者付费第三方咨询提供相应的服务。
从DIS版本来看,框架思路已经很清晰,相比前两版已经裁剪了不少内容。回到正题,首先是企业级的信息安全管理要素,包括治理,文化,风险管理,信息共享等等,这些都可以从ISO27K系列作为参考。然后是项目级的信息安全管理,包括信息安全活动裁剪的规则,针对持续的安全运营活动进行了介绍,针对风险评估整理了一套方法,也就是业界基本达成共识的TARA,最后是每个阶段的信息安全活动,标准共15章,真正讲到流程管理的也就4章。
概念阶段,对于整车开发而言,就是明确技术路线和技术需求的阶段,我们要定义架构策略,市场定位,各大属性要求等等,而信息安全则没有那么需要
