道路車輛信息安全工程PAGEPAGE39道路車輛信息安全工程范圍本文件規(guī)定了道路車輛中電子電氣(E/E)系統(tǒng)(包括其組件和接口)在概念、產(chǎn)品開發(fā)、生產(chǎn)、運行、維護(hù)和報廢階段的信息安全風(fēng)險管理的工程要求。本文件定義了一個框架，其中包括信息安全過程要求以及溝通和管理信息安全風(fēng)險的通用語言。本文件適用于在本文件發(fā)布后開發(fā)或修改的批量生產(chǎn)的道路車輛E/E系統(tǒng)，包括其組件和接口。本文件未規(guī)定與信息安全有關(guān)的具體技術(shù)或解決方案。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T34590.3-2022，道路車輛功能安全第三部分：概念階段術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1架構(gòu)設(shè)計architecturaldesign可以識別組件、邊界、接口和交互的表示方法。3.2資產(chǎn)asset具有價值或?qū)r值做出貢獻(xiàn)的對象。注：資產(chǎn)具有一個或多個信息安全屬性，未達(dá)到要求時可能導(dǎo)致一個或多個危害場景。3.3攻擊可行性attackfeasibility攻擊路徑的屬性，描述成功執(zhí)行相應(yīng)攻擊活動的難易度。3.4攻擊路徑attackpath為實現(xiàn)威脅場景的一組攻擊活動。3.5攻擊者attacker執(zhí)行攻擊路徑的個人、團(tuán)體或組織。3.6審核audit對過程進(jìn)行檢查，以確定過程目標(biāo)的實現(xiàn)程度。3.7組件component邏輯上和技術(shù)上可分離的組成部分。3.8客戶customer接受服務(wù)或產(chǎn)品的個人或組織。3.9道路車輛信息安全cybersecurity使資產(chǎn)受到充分保護(hù)，免受道路車輛相關(guān)項、其功能及其電氣或電子組件的威脅場景的危害。注：為簡潔起見，本文件使用"信息安全"一詞代替道路車輛信息安全。3.10信息安全評估cybersecurityassessment信息安全狀態(tài)的評價。3.11信息安全檔案cybersecuritycase有證據(jù)支持的結(jié)構(gòu)化論證，表明風(fēng)險的合理性。3.12信息安全聲明cybersecurityclaim關(guān)于風(fēng)險的信息安全索賠聲明。注：信息安全聲明可包括保留或分擔(dān)風(fēng)險的理由。3.13信息安全概念cybersecurityconcept相關(guān)項的信息安全需求和對操作環(huán)境的要求以及有關(guān)信息安全控制的相關(guān)信息。3.14信息安全控制cybersecuritycontrol改變風(fēng)險的措施。3.15信息安全事態(tài)cybersecurityevent與相關(guān)項或組件有關(guān)的信息安全信息。3.16信息安全目標(biāo)cybersecuritygoal與一個或多個威脅情景相關(guān)的概念級信息安全需求。3.17信息安全事件cybersecurityincident可能涉及漏洞利用的情況。3.18信息安全信息cybersecurityinformation與信息安全有關(guān)的信息,其相關(guān)性尚未確定。3.19信息安全接口協(xié)議cybersecurityinterfaceagreement客戶和供應(yīng)商之間關(guān)于分布式信息安全活動的協(xié)議。3.20信息安全屬性cybersecurityproperty值得保護(hù)的屬性。注：屬性包括保密性、完整性和/或可用性。3.21信息安全規(guī)范cybersecurityspecification信息安全需求和相應(yīng)的架構(gòu)設(shè)計。3.22危害場景damagescenario涉及車輛或車輛功能并影響道路使用者的不良后果。3.23分布式信息安全活動distributedcybersecurityactivities相關(guān)項或組件的信息安全活動，其責(zé)任在客戶和供應(yīng)商之間分配。3.24影響impact對危害場景下的損害程度或物理傷害程度的估計。3.25相關(guān)項item在車輛層面實現(xiàn)一個功能的組件或組件集。注：如果一個系統(tǒng)在車輛層面實現(xiàn)了一個功能，它就可以成為一個相關(guān)項，否則就是一個組件。3.26操作環(huán)境operationalenvironment在操作使用中考慮到相互作用的環(huán)境。注：相關(guān)項或組件的操作使用，包括在車輛功能，生產(chǎn)，和/或服務(wù)和修理中的使用。3.27獨立于環(huán)境out-of-context未在特定相關(guān)項定義下的開發(fā)。示例：基于假設(shè)信息安全需求的處理單元可集成到不同的相關(guān)項中。3.28滲透測試penetrationtesting模擬實際攻擊的信息安全測試，用以識別破壞信息安全目標(biāo)的方法。3.29風(fēng)險risk信息安全風(fēng)險，道路車輛信息安全不確定性的影響，可用攻擊可行性和影響表示。3.30風(fēng)險管理riskmanagement指導(dǎo)和控制組織風(fēng)險的協(xié)調(diào)活動。3.31道路使用者roaduser參與道路交通活動的人員。3.32裁剪tailor以與本文件描述不同的方式省略或執(zhí)行某項活動。3.33威脅場景threatscenario為實現(xiàn)危害場景，一個或多個資產(chǎn)的信息安全屬性遭到破壞的潛在原因。3.34分類triage分析以確定信息安全信息與某一相關(guān)項或組件的相關(guān)性。3.35觸發(fā)器trigger用于分類的準(zhǔn)則。3.36確認(rèn)validation通過提供客觀證據(jù)以證明相關(guān)項的信息安全目標(biāo)是否充分并已實現(xiàn)。3.37驗證verification通過提供客觀證據(jù)確認(rèn)是否滿足特定要求。3.38脆弱性或漏洞vulnerability能被利用的弱點，可作為攻擊路徑的一部分。3.39漏洞分析vulnerabilityanalysis系統(tǒng)地識別和評估漏洞。3.40弱點weakness可導(dǎo)致非預(yù)期行為的缺陷或特征。示例：如缺少需求或規(guī)范；架構(gòu)或設(shè)計缺陷、包括安全協(xié)議的不正確設(shè)計；實現(xiàn)的弱點，包括硬件和軟件的缺陷，安全協(xié)議的不正確的實現(xiàn)；操作過程或程序有缺陷，包括操作不當(dāng)和用戶培訓(xùn)不足；使用過時或棄用的功能，包括加密算法等?？s略語CAL： 信息安全保障等級（CybersecurityAssuranceLevel）CVSS：常見漏洞評分系統(tǒng)（CommonVulnerabilityScoringSystem）E/E： 電子電氣（ElectricalandElectronic）ECU： 電子控制單元（ElectronicControlUnit）OBD: 車載診斷（On-BoardDiagnostic）OEM： 原始設(shè)備制造商（OriginalEquipmentManufacturer）PM： 許可（Permission）RC： 建議（Recommendation）RQ： 要求（Requirement）WP： 工作成果（WorkProduct）RASIC：（Responsible,Accountable,SupportingInformedConsulted）TARA：威脅分析和風(fēng)險評估（ThreatAnalysisandRiskAssessment）整體考慮（如制動（即其組件（即不是原型車（如后端服務(wù)器本文件從單個相關(guān)項的角度來描述信息安全工程。本文件沒有規(guī)定如何進(jìn)行道路車輛E/E架構(gòu)中相關(guān)項功能的適當(dāng)分配。對于車輛整體而言，可以考慮構(gòu)建車輛E/E架構(gòu)或其信息安全相關(guān)的相關(guān)項和組1圖1整體信息安全風(fēng)險管理圖2相關(guān)項、功能、組件和相關(guān)術(shù)語之間的關(guān)系第16（如新的攻擊技術(shù)持續(xù)地識別和管理道路車輛E/E系統(tǒng)的弱點和漏洞。組織的信息安全管理總則為了支持信息安全工程，組織還應(yīng)為信息安全建立管理體系，包括工具的管理和質(zhì)量管理體系的應(yīng)用。目標(biāo)本章的目標(biāo)是：定義信息安全方針和組織層面的信息安全規(guī)則和過程；分配執(zhí)行信息安全活動所需的職責(zé)和相應(yīng)的權(quán)限；支持信息安全的實施，包括資源的提供和信息安全過程與其他相關(guān)過程之間相互作用的管理；管理信息安全風(fēng)險；建立并維護(hù)信息安全文化，包括能力管理、意識管理和持續(xù)改進(jìn)；支持并管理信息安全信息的共享；建立并維護(hù)支撐信息安全維護(hù)的管理體系；提供證據(jù)證明使用的工具不會對信息安全產(chǎn)生不利的影響；執(zhí)行組織層面的信息安全審核。輸入無。先決條件無。更多支持信息可以考慮以下信息：-符合質(zhì)量管理標(biāo)準(zhǔn)的證據(jù)。例如：IATF16949與其他標(biāo)準(zhǔn)的聯(lián)合，如：ISO9001，AutomotiveSPICE,ISO/IEC330XX系列標(biāo)準(zhǔn),ISO/IEC/IEEE15288和ISO/IEC/IEEE12207。要求和建議信息安全治理[RQ-05-01]組織應(yīng)定義信息安全方針，包含：對道路車輛信息安全風(fēng)險的確認(rèn)；最高管理層對相應(yīng)信息安全風(fēng)險進(jìn)行管理的承諾。注1：信息安全方針可以與組織目標(biāo)及其他方針相關(guān)聯(lián)。注2：在考慮內(nèi)部和外部環(huán)境的情況下，信息安全方針可以包括一項聲明，說明對組織的產(chǎn)品或服務(wù)組合的一般威脅場景的風(fēng)險處理。[RQ-05-02]組織應(yīng)建立并維護(hù)組織層面的規(guī)則和過程，以滿足以下要求：能夠?qū)嵤┍疚募囊?；支持相?yīng)活動的執(zhí)行。示例1：如過程定義、技術(shù)規(guī)則、指南、方法和模板。注3：信息安全風(fēng)險管理能包括活動的付出-收益的考慮。注TARA信息安全事件響應(yīng)和觸發(fā)。注5：有關(guān)漏洞披露的規(guī)則和過程，例如信息共享的一部分，可以依據(jù)ISO29147定義。注6：圖3概述了總體的信息安全方針（見[RQ-05-01]）與具體組織的信息安全規(guī)則和過程（見[RQ-05-02]）、職責(zé)（見[RQ-05-03]）和資源（見[RQ-05-04]）之間的關(guān)系。圖3信息安全治理[RQ-05-03]組織應(yīng)分配實現(xiàn)與維護(hù)信息安全的職責(zé)，并給予相應(yīng)的組織權(quán)力。注7：這既關(guān)系到項目層面的活動也關(guān)系到組織層面的活動。[RQ-05-04]組織應(yīng)提供解決信息安全問題所需的資源。注8：資源包括負(fù)責(zé)信息安全風(fēng)險管理、開發(fā)、事件管理的人員。示例2：熟練的人員和合適的工具來完成信息安全活動。[RQ-05-05a）確定是否要將信息安全融入到現(xiàn)有過程中，以及如何融合；b）協(xié)調(diào)相關(guān)信息的交換。注9：注10：學(xué)科包含信息技術(shù)安全、功能安全和隱私保護(hù)。示例3：跨學(xué)科的交換：信息安全文化[RQ-05-06]組織應(yīng)培養(yǎng)并維護(hù)強大的信息安全文化。注1：示例見附錄B。[RQ-05-07]組織應(yīng)確保被分配了信息安全角色和職責(zé)的人員具有履行這些角色和職責(zé)的能力和意識。注2：能力、意識和培訓(xùn)項目考慮以下范圍：-與信息安全相關(guān)的組織規(guī)則和過程，包括信息安全風(fēng)險管理；-與信息安全學(xué)科相關(guān)的信息安全規(guī)則和過程，例如功能安全和隱私保護(hù)；-信息安全有關(guān)的方法、工具、指南；-已知的攻擊手段和信息安全控制。[RQ-05-08]組織應(yīng)建立并維護(hù)持續(xù)改進(jìn)過程。示例：持續(xù)改進(jìn)過程包括：-從以前的經(jīng)驗中學(xué)習(xí)，包括通過信息安全監(jiān)測和內(nèi)外部信息安全相關(guān)信息觀察而收集的信息安全信息；-從領(lǐng)域中類似的應(yīng)用產(chǎn)品的信息安全信息中學(xué)習(xí)；-在后續(xù)的信息安全活動中進(jìn)行改進(jìn)；-將信息安全經(jīng)驗教訓(xùn)傳達(dá)給適當(dāng)?shù)娜藛T；-根據(jù)[RQ-05-02]檢查組織規(guī)則和過程的充分性。注3：持續(xù)改進(jìn)適用于本文件中的所有信息安全活動。信息共享[RQ-05-09]組織應(yīng)界定在哪些情況下，要求、允許或者被禁止組織內(nèi)部和外部共享信息安全相關(guān)的信息。注：共享信息的情況可以基于：-為特定方提供的通訊類型；-漏洞披露程序（見5.4.1的注5）-面向接收方的處理高度敏感信息的要求[RC-05-10]組織應(yīng)根據(jù)[RQ-05-09]的規(guī)定，將共享數(shù)據(jù)的信息安全管理與其他各方保持一致。示例：公共、內(nèi)部、機密和第三方機密的安全分類級別的一致。管理體系[RQ-05-11]組織應(yīng)按國際標(biāo)準(zhǔn)或者同等標(biāo)準(zhǔn)建立和維護(hù)一個質(zhì)量管理體系來支撐信息安全工程，包含：示例1：IATF16949與ISO9001相結(jié)合。變更管理；注1：信息安全變更管理的范圍是管理相關(guān)項及其組件的變更，以便繼續(xù)滿足適用的信息安全目標(biāo)和要求。例如，根據(jù)生產(chǎn)控制計劃評審生產(chǎn)過程的變更，以防止此類變更引入新的漏洞。文檔管理；注2：一項工作成果可以被合并或映射到不同的文檔庫。配置管理；d)[RQ-05-12]用于維護(hù)該領(lǐng)域內(nèi)產(chǎn)品信息安全的配置信息應(yīng)保持可用，直至產(chǎn)品的網(wǎng)絡(luò)安全支持結(jié)束，以便能采取補救措施。注3：歸檔構(gòu)建環(huán)境有助于確保配置信息的后續(xù)使用。例2：物料清單、軟件配置。[RC-05-13]應(yīng)建立生產(chǎn)過程的信息安全管理體系，以便支持12章的活動。例3：IEC624432-1。工具管理[RQ-05-14]應(yīng)管理能夠影響相關(guān)項或組件信息安全的工具。示例1：用于概念或產(chǎn)品開發(fā)的工具，如：基于模型的開發(fā)工具、靜態(tài)檢查工具、驗證工具。示例2：用于生產(chǎn)的工具，如Flash寫入、EOL測試工具。示例3：用于售后維修的工具，如OBD工具或者重新編程工具。注：這類管理可以通過以下方式確立：-用戶手冊及勘誤表的使用；-對非預(yù)期的使用和操作進(jìn)行防護(hù)；-對工具使用者進(jìn)行訪問控制；-對工具進(jìn)行認(rèn)證。[RC-05-15]支持信息安全事件補救措施的合適環(huán)境應(yīng)該是可復(fù)現(xiàn)的，直至產(chǎn)品的信息安全支持結(jié)束。例4：用于復(fù)現(xiàn)和管理漏洞的測試、軟件構(gòu)建和開發(fā)環(huán)境。例5：用于構(gòu)建產(chǎn)品軟件的工具鏈和編譯器。信息安全管理[RC-05-16]工作成果應(yīng)按照信息安全管理體系進(jìn)行管理。例：可以將工作成果存儲在文件服務(wù)器上，以防止未經(jīng)授權(quán)的變更或刪除。信息安全審核[RQ-05-17]應(yīng)獨立進(jìn)行信息安全審核以判斷組織的過程是否達(dá)到了本文件的目標(biāo)。注1：信息安全審核可以納入質(zhì)量管理體系標(biāo)準(zhǔn)的審核中，或者與之相結(jié)合。例如，IATF16949與ISO9001相結(jié)合。注2：獨立性可以基于，例如，GB/T34590系列標(biāo)準(zhǔn)。注3：執(zhí)行審核的人員可以來自組織內(nèi)部或者外部。注4：為了確保組織的過程始終適用于信息安全，審核可以周期性執(zhí)行。注5：圖7展示了組織的信息安全審核和其他信息安全活動間的關(guān)系。工作成果[WP-05-01]6.4.16.4.3的要求。[WP-05-02]能力管理和意識管理的證據(jù)，依據(jù)[RQ-05-07]的要求；持續(xù)改進(jìn)的證據(jù)，依據(jù)[RQ-05-08]的要求。[WP-05-03]6.4.46.4.6的要求。[WP-05-04]6.4.5的要求。[WP-05-05]組織層面的信息安全審核報告，依據(jù)6.4.7的要求。項目相關(guān)的信息安全管理總則本章描述了有關(guān)特定項目的信息安全開發(fā)活動的管理要求。-復(fù)用；-獨立于環(huán)境的組件；-使用現(xiàn)成組件；-更新。無論相關(guān)項、組件或其操作環(huán)境是否發(fā)生變更，相關(guān)項和組件的復(fù)用是可以應(yīng)用的開發(fā)策略。但是，變更可能會引入原始相關(guān)項或組件尚未考慮的漏洞。此外，已知攻擊可能發(fā)生了變化，例如：攻擊技術(shù)的發(fā)展；新出現(xiàn)的漏洞，例如從信息安全監(jiān)測或信息安全事件評估中得知的漏洞；自初始開發(fā)以來資產(chǎn)的變化。如果原始相關(guān)項或組件是根據(jù)本文件開發(fā)的，則可基于現(xiàn)有的工作成果復(fù)用該相關(guān)項或組件。如果相關(guān)項或組件最初不是根據(jù)本文件開發(fā)的，則可以基于現(xiàn)有文件復(fù)用，并說明理由。按照本文件，現(xiàn)成的組件和獨立于環(huán)境開發(fā)的組件可以被集成到一個相關(guān)項或組件中（4）。7.4.4圖4現(xiàn)成和獨立于環(huán)境的組件的集成信息安全檔案是信息安全評估和后開發(fā)階段發(fā)布的輸入。注：后開發(fā)階段通常包括生產(chǎn)、運維、報廢階段。信息安全評估可獨立判斷一個相關(guān)項或組件的信息安全，是決策后開發(fā)階段發(fā)布的輸入。目標(biāo)本章的目標(biāo)是：分配項目的信息安全活動職責(zé)；規(guī)劃信息安全活動，包括定義裁剪的信息安全活動；c）創(chuàng)建一個信息安全檔案；執(zhí)行信息安全評估，如果適用；從信息安全的角度決定是否發(fā)布相關(guān)項或組件以用于后開發(fā)階段。輸入先決條件無。更多支持信息可以考慮以下信息：-組織的信息安全審核報告[WP-05-03]；-項目計劃。要求和建議信息安全職責(zé)及其分配[RQ-06-01]與項目信息安全活動有關(guān)的職責(zé)應(yīng)根據(jù)[RQ-05-03]進(jìn)行溝通和分配。注：信息安全活動的責(zé)任可以轉(zhuǎn)移，前提是要進(jìn)行交流并移交相關(guān)信息。信息安全計劃[RQ-06-02]為了決定相關(guān)項或組件的信息安全活動，應(yīng)分析相關(guān)項或組件以確定：該模塊或組件是否與信息安全相關(guān)；注1：附錄D提供了可用于評估信息安全相關(guān)性的方法和標(biāo)準(zhǔn)。注2：如果確定該相關(guān)項或組件與信息安全無關(guān)，則沒有相關(guān)的信息安全活動，因此不會啟動信息安全計劃。b)如果該相關(guān)項或組件與信息安全有關(guān)，該相關(guān)項或部件是新開發(fā)還是復(fù)用；c)7.4.3進(jìn)行裁剪。[RQ-06-03]信息安全計劃應(yīng)包括：a)活動的目標(biāo)；b)對其他活動或信息的依賴；c)負(fù)責(zé)執(zhí)行活動的人員；執(zhí)行活動所需的資源；開始節(jié)點或終止節(jié)點以及預(yù)期持續(xù)時間；f)工作成果的標(biāo)識。[RQ-06-04]應(yīng)根據(jù)[RQ-05-03]和[RQ-05-04]分配開發(fā)和維護(hù)信息安全計劃以及根據(jù)信息安全計劃跟蹤信息安全活動進(jìn)度的職責(zé)。[RQ-06-05]信息安全計劃應(yīng)：a）在開發(fā)項目計劃中提及；包括在項目計劃中，以使信息安全活動具有可區(qū)分性。注3：信息安全計劃可以在配置管理下包含與其他計劃（如項目計劃）的交叉引用（見[RQ-06-09]）。[RQ-06-06]9101115[RQ-06-07]當(dāng)進(jìn)行的活動確定要發(fā)生更改或細(xì)化時，應(yīng)更新信息安全計劃。注4：信息安全計劃可以在開發(fā)過程中逐步完善。例如，信息安全計劃可以根據(jù)信息安全活動的結(jié)果進(jìn)行更新，如TARA（見第16章）。[PM-06-08]16.8110.51112章的符合性。注5：威脅情況可能會對信息安全產(chǎn)生影響，如果產(chǎn)生影響，則對相應(yīng)的風(fēng)險進(jìn)行處理。注6：可以根據(jù)信息安全檔案中定義的基本原理來論證對此類風(fēng)險的處理是否充分，基本原理可以基于質(zhì)量管理標(biāo)準(zhǔn)的符合性，如IATF16949與ISO9001相結(jié)合，并結(jié)合其他措施，例如：—信息安全意識保證；—質(zhì)量人員的信息安全培訓(xùn)；—組織的質(zhì)量管理體系中規(guī)定的信息安全具體措施。[RQ-06-09]信息安全計劃中確定的工作成果應(yīng)在后開發(fā)階段發(fā)布之前和發(fā)布時進(jìn)行更新并保持準(zhǔn)確性。[RQ-06-10]對于分布式信息安全活動，客戶和供應(yīng)商均應(yīng)根據(jù)第16章為其各自的信息安全活動和接口定義信息安全計劃。[RQ-06-11]信息安全計劃應(yīng)按照6.4.4的規(guī)定，接收配置管理和文件管理。[RQ-06-12]按照6.4.6的規(guī)定，信息安全計劃中確定的工作成果，應(yīng)接受配置管理、變更管理、需求管理和文件管理。裁剪[PM-06-13]信息安全活動可以被裁剪。[RQ-06-14]注：因供應(yīng)鏈中的另一實體執(zhí)行而未執(zhí)行的活動不被視為裁剪，被視為分布式信息安全活動。然而，信息安全活動的分布可以導(dǎo)致聯(lián)合裁剪。[RQ-06-15]如果一個相關(guān)項或組件完成開發(fā)，應(yīng)開展復(fù)用分析：a)計劃進(jìn)行變更；b)計劃在另一個操作環(huán)境中復(fù)用；示例1：由于在新的操作環(huán)境中安裝了現(xiàn)有的相關(guān)項或組件，或者由于與之交互的其他相關(guān)項或組件的升級而使環(huán)境發(fā)生了變更（見圖5），A可作為復(fù)用分析的結(jié)果而改變。圖5復(fù)用分析示例c）計劃在不變更的情況下復(fù)用，并且有關(guān)模塊或組件的信息也有相應(yīng)的變化，示例2已知攻擊和漏洞的變化，或威脅場景的變化。注1：在確定是否復(fù)用時，需考慮現(xiàn)有的工作成果；注2：變更可以包括設(shè)計變更和/或?qū)嵤┳兏?設(shè)計變更可以來自需求變更，例如，功能或性能增強。-軟件修正或使用新的生產(chǎn)或維護(hù)工具（例如，基于模型的開發(fā)），可能會導(dǎo)致實施變更。注3：配置數(shù)據(jù)或校準(zhǔn)數(shù)據(jù)的變更，如果影響現(xiàn)有相關(guān)項或組件的功能行為和資產(chǎn)或信息安全屬性，則視為發(fā)生變更。[RQ-06-16]相關(guān)項或組件的復(fù)用分析應(yīng)：識別相關(guān)項或組件的變更和操作環(huán)境的變更；分析變更后的信息安全影響，包括對信息安全聲明和先前假設(shè)的有效性的影響；示例3：對信息安全需求、設(shè)計和實施、操作環(huán)境、假設(shè)和操作模式的有效性、維護(hù)、對已知攻擊的敏感性和已知漏洞或資產(chǎn)的暴露的影響。識別受影響或缺少的工作成果；示例4：TARA考慮新的或變更的資產(chǎn)、威脅場景或風(fēng)險值。在信息安全計劃中指定符合本文件所需的信息安全活動。注4：可能產(chǎn)生裁剪。[RQ-06-17]組件的復(fù)用分析應(yīng)評估：該組件能夠滿足其要集成的相關(guān)項或組件所分配的信息安全要求；b）現(xiàn)有文檔是否足以支持該組件集成到一個相關(guān)項或另一個組件中。獨立于環(huán)境的組件[RQ-06-18]應(yīng)在相應(yīng)的工作成果中記錄獨立于環(huán)境開發(fā)的組件對預(yù)期用途和環(huán)境的假設(shè)，包括外部接口。[RQ-06-19]對于獨立于環(huán)境的組件的開發(fā)，信息安全需求應(yīng)基于[RQ-06-18]的假設(shè)。[RQ-06-20]對于獨立于環(huán)境開發(fā)的組件的集成，應(yīng)驗證[RQ-06-18]的信息安全聲明和假設(shè)。現(xiàn)成組件[RQ-06-21]當(dāng)集成現(xiàn)成組件時，應(yīng)收集和分析與信息安全相關(guān)的文件，以確定：a）滿足分配的信息安全需求；適合于預(yù)期用途的特定應(yīng)用環(huán)境；現(xiàn)有的證明文件是否足以支持信息安全活動。[RQ-06-22]如果現(xiàn)有的證明文件不足以支持現(xiàn)成組件的集成，那么應(yīng)識別并執(zhí)行符合本文件的信息安全活動。示例：有關(guān)漏洞的文件不充分。注：這可能意味著裁剪。信息安全檔案[RQ-06-23]應(yīng)創(chuàng)建一個信息安全檔案，為相關(guān)項或組件的信息安全提供論據(jù)，并有工作成果加以支持。（注3：信息安全檔案需考慮后開發(fā)的信息安全需求[WP-10-02]。信息安全評估[RQ-06-24]應(yīng)采用基于風(fēng)險的基本原理決定是否對相關(guān)項或組件進(jìn)行信息安全評估。注1：基本原理可基于：TARA分析結(jié)果；待開發(fā)相關(guān)項或組件的復(fù)雜性；組織規(guī)則和過程所規(guī)定的標(biāo)準(zhǔn)；注2：如果不進(jìn)行信息安全評估，可將基本原理記錄在信息安全檔案中。[RQ-06-25][RQ-06-24]的基本原理應(yīng)獨立評審。注3：獨立方案可基于GB/T34590系列標(biāo)準(zhǔn)。[RQ-06-26]信息安全評估應(yīng)判斷相關(guān)項或組件的信息安全。注4：現(xiàn)有證據(jù)由信息安全活動的記錄結(jié)果提供，如工作成果（見附錄A）。注5：圖6說明了組織信息安全審核、項目級信息安全評估和其他信息安全活動之間的關(guān)系。圖6與其他信息安全活動有關(guān)的信息安全評估注6：信息安全評估可以逐步進(jìn)行，以盡早解決已發(fā)現(xiàn)的問題。[RQ-06-27]應(yīng)根據(jù)[RQ-06-01]，任命負(fù)責(zé)計劃和獨立進(jìn)行信息安全評估的人員。注8：獨立方案可基于GB/T34590系列標(biāo)準(zhǔn)。例：來自于組織內(nèi)不同團(tuán)隊或部門的人員，如質(zhì)量保證部門，來自獨立組織的人員。[RQ-06-28]進(jìn)行信息安全評估的人員應(yīng)：a)有權(quán)獲得相關(guān)信息和工具；b)獲得執(zhí)行信息安全活動的人員的合作。[PM-06-29]可基于對是否達(dá)到本文件目標(biāo)的判斷進(jìn)行信息安全評估。[RQ-06-30]信息安全評估的范圍應(yīng)包括：a信息安全計劃和信息安全計劃要求的所有工作成果；b)對信息安全風(fēng)險的處理；c項目實施的信息安全控制和信息安全活動的適當(dāng)性和有效性；注9：合理性和有效性可以通過使用先前為驗證目的而進(jìn)行的評審來判斷。證明已達(dá)到本文件目標(biāo)的基本原理（如果提供）；注10：考慮到[PM-06-13]，工作成果的創(chuàng)建負(fù)責(zé)人可以提供一個基本原理，解釋為什么要實現(xiàn)本文件的相應(yīng)目標(biāo)以促進(jìn)信息安全評估。注11：符合所有相應(yīng)要求是實現(xiàn)本文件目的的充分基本原理。[RQ-06-31]信息安全評估報告應(yīng)包括接受，帶條件接受或拒絕該相關(guān)項或組件的信息安全建議。注12：評估報告也可以包括持續(xù)改進(jìn)建議。[RQ-06-32]如果提出了根據(jù)[PM-06-31]的帶條件接受建議，則信息安全評估報告應(yīng)包括接受條件。后開發(fā)的發(fā)布[RQ-06-33]下列工作成果應(yīng)在后開發(fā)階段的發(fā)布之前可用：-信息安全檔案[WP-06-02]；-如果適用，信息安全評估報告[WP-06-03]；-后開發(fā)階段的信息安全需求[WP-10-02]。[RQ-06-34]相關(guān)項或組件在后開發(fā)的發(fā)布應(yīng)滿足以下條件：a）信息安全檔案提供了充分的證據(jù)證明信息安全；b）通過信息安全評估確認(rèn)信息安全檔案，如果適用；b）后開發(fā)階段的信息安全需求被接受。工作成果[WP-06-01]根據(jù)7.4.1至7.4.6的要求制定的信息安全計劃。[WP-06-02]根據(jù)7.4.7的要求制定的信息安全檔案。[WP-06-03]根據(jù)7.4.8的要求得出的信息安全評估報告（如適用）。[WP-06-04]根據(jù)7.4.9的要求得出的用于后開發(fā)階段的發(fā)布報告。分布式信息安全活動總則在分布式信息安全活動中開發(fā)的相關(guān)項和組件；客戶-供應(yīng)商間的交互；客戶-供應(yīng)商接口協(xié)議適用的所有階段。內(nèi)部供應(yīng)商和外部供應(yīng)商可以采用同樣的方式進(jìn)行管理。示例1OEM27中進(jìn)行了說明。圖7供應(yīng)鏈中客戶/供應(yīng)商關(guān)系的用例目標(biāo)本章的目標(biāo)是定義客戶和供應(yīng)商在信息安全活動中的交互、依賴和職責(zé)。輸入無。要求和建議供應(yīng)商的能力[RQ-07-01]應(yīng)按本文評價潛在供應(yīng)商在開發(fā)（如果適用）以及后開發(fā)活動方面的能力。[RC-07-02]供應(yīng)商應(yīng)提供信息安全能力記錄，來支持客戶對供應(yīng)商能力的評價。注2：信息安全能力記錄包含：-組織關(guān)于信息安全能力的證據(jù)（例如：在開發(fā)、后開發(fā)、治理、質(zhì)量和傳統(tǒng)信息安全等方面的信息安全最佳實踐）；-開展可持續(xù)的信息安全活動（見第9章）和信息安全事件響應(yīng)（見第14章）的證據(jù)；-以往信息安全評估報告的總結(jié)。詢價[RQ-07-03]客戶向潛在供應(yīng)商發(fā)出的報價請求應(yīng)包含：符合本文件的正式要求；7.4.3中對供應(yīng)商履行信息安全職責(zé)的預(yù)期；與供應(yīng)商報價的相關(guān)項或組件有關(guān)的信息安全目標(biāo)或信息安全需求集。例：關(guān)于消息認(rèn)證的信息安全需求。職責(zé)的協(xié)調(diào)[RQ-07-04]客戶和供應(yīng)商應(yīng)在信息安全接口協(xié)議中規(guī)定分布式信息安全活動，包含：任命信息安全相關(guān)的的客戶和供應(yīng)商的聯(lián)絡(luò)人；識別需要由客戶和供應(yīng)商各自實施的信息安全活動；1：客戶執(zhí)行整車層面的信息安全確認(rèn)。例2：后開發(fā)階段的信息安全活動的分布。例3：供應(yīng)商、客戶或者第三方可以就供應(yīng)商開發(fā)的組件或工作成果進(jìn)行信息安全評估。c)如果適用，按照6.4.3共同對信息安全活動進(jìn)行裁剪；應(yīng)共享信息和工作成果；注1：共享的信息可以包含：-分發(fā)、評審和發(fā)生信息安全問題時的反饋機制；-信息共享策略；-漏洞和其他信息安全相關(guān)發(fā)現(xiàn)的信息交換流程，例如，關(guān)于風(fēng)險；-接口相關(guān)的過程、方法和工具，用來確保客戶和供應(yīng)商對接的兼容性，例如對于數(shù)據(jù)的恰當(dāng)處理和對傳輸數(shù)據(jù)的通訊網(wǎng)絡(luò)的安全防護(hù)；-角色的定義；-溝通和記錄相關(guān)項或組件變更的方法，包含TARA潛在重復(fù)使用；-需求管理工具的統(tǒng)一；-信息安全評估的結(jié)果。分布式信息安全活動的里程碑；相關(guān)項或組件的信息安全支持終止的定義。[RC-07-05]信息安全接口協(xié)議應(yīng)在客戶和供應(yīng)商開始分布式活動前共同商定。[RQ-07-06]如果根據(jù)[RQ-08-07][RQ-07-07][RC-07-08]在職責(zé)分配矩陣中規(guī)定職責(zé)。注2：可以使用RASIC表，參見附錄C。工作成果[WP-07-01]由8.4.3的要求產(chǎn)生的信息安全接口協(xié)議。持續(xù)的信息安全活動總則持續(xù)的信息安全活動可以在全生命周期的每一個階段進(jìn)行，也可以在項目之外進(jìn)行。信息安全監(jiān)測收集信息安全情報并根據(jù)已定義的觸發(fā)器進(jìn)行分類。信息安全事態(tài)評估幫助確定信息安全事件是否展現(xiàn)了相關(guān)項和組件的脆弱性。漏洞分析檢查弱點，并評估該弱點是否可被用于發(fā)動攻擊。漏洞管理跟蹤并監(jiān)督相關(guān)項和組件中的漏洞處理，直至信息安全支持結(jié)束。目的本章節(jié)的目的包括：監(jiān)控信息安全情報從而識別信息安全事態(tài)；評估信息安全事態(tài)從而識別弱點；識別來自脆弱性的漏洞；管理已識別的漏洞。信息安全監(jiān)測輸入先決條件應(yīng)提供以下信息：在[WP-05-01]中用于開發(fā)觸發(fā)器的規(guī)則和過程。附加支持資料可以考慮以下信息：-相關(guān)項定義[WP-09-01]；-信息安全聲明[WP-09-04]；-信息安全規(guī)范[WP-10-01]；-威脅場景[WP-15-03]；-過去的漏洞分析結(jié)果[WP-08-05]；-現(xiàn)場收集的信息；示例：漏洞掃描報告、修復(fù)信息、顧客使用信息。要求和建議[RQ-08-01]應(yīng)選擇信息安全情報收集的來源。注1:可以選擇外部和/或內(nèi)部的來源；注2:內(nèi)部來源可以包括列在9.3.1.2的來源；注3:外部來源可以包括：-信息安全研究員；-商業(yè)或非商業(yè)的來源；-組織的供應(yīng)鏈；-組織的客戶；-政府來源。示例：最先進(jìn)的攻擊方法的來源。[RQ-08-02]應(yīng)該定義和維護(hù)觸發(fā)器，以便進(jìn)行信息安全情報分類。注4:觸發(fā)器可以包括關(guān)鍵字、配置信息的參考文件、組件或供應(yīng)商的名稱。[RQ-08-03]應(yīng)收集和分類信息安全情報，并確定是否成為一個或多個信息安全事態(tài)。工作成果[WP-08-01]來自[RQ-08-01]的信息安全情報來源。[WP-08-01]來自[RQ-08-02]的觸發(fā)器。[WP-08-03]來自[RQ-08-03]的信息安全事態(tài)。信息安全事態(tài)評估輸入先決條件應(yīng)提供以下信息：-信息安全事態(tài)[WP-08-03];-（如有）后開發(fā)階段的信息安全需求；-對應(yīng)[RQ-05-12]的配置信息。附加支持資料可以考慮以下信息：-相關(guān)項定義[WP-09-01]；-信息安全規(guī)范[WP-10-01]；-過去的漏洞分析結(jié)果[WP-08-05]；要求和建議[RQ-08-04]應(yīng)評估信息安全事態(tài)，以識別相關(guān)項和/或組件中的弱點。注1：此活動可與[RQ-08-03]中的觸發(fā)器相結(jié)合使用；注2：如果存在弱點并且有對應(yīng)的補救措施（例如，供應(yīng)商為組件中的漏洞提供了修補程序），則組織可以將該補救措施作為無需任何其他活動的漏洞來處理。注3:可根據(jù)此評估結(jié)果更新威脅場景[WP-15-03]。工作成果[WP-08-04]由[RQ-08-04]產(chǎn)生的信息安全事態(tài)的弱點。漏洞分析輸入先決條件應(yīng)提供以下信息：-相關(guān)項定義[WP-09-01]或信息安全規(guī)范[WP-10-01]；注：如果對相關(guān)項進(jìn)行漏洞分析，則使用相關(guān)項的定義;如果對組件進(jìn)行漏洞分析，則使用信息安全規(guī)范。附加支持資料可以考慮以下信息：—[WP-08-04]信息安全事態(tài)中的弱點?！a(chǎn)品開發(fā)[WP-10-05]過程中發(fā)現(xiàn)的弱點。—過去的漏洞分析結(jié)果[WP-08-05]；—攻擊路徑[WP-15-05];—驗證報告[WP-10-04]和[WP-10-07]；—以往的信息安全事件。要求和建議[RQ-08-05]應(yīng)分析弱點以識別漏洞。注1：該分析可包括：—架構(gòu)分析；—根據(jù)16.6進(jìn)行的攻擊路徑分析—根據(jù)16.7進(jìn)行的攻擊可行性定級2：1:攻擊路徑分析顯示不存在攻擊路徑，則該弱點不被視為漏洞。2:利用弱點的攻擊可行性評級非常低，則該弱點不被視為漏洞。[RQ-08-06]如果弱點未被確定為漏洞，應(yīng)提供理由。工作成果[WP-08-05]由[RQ-08-05]和[RQ-08-06]產(chǎn)生的漏洞分析結(jié)果。漏洞管理輸入先決條件應(yīng)提供以下信息：-漏洞分析結(jié)果[WP-08-05]；注：如果對相關(guān)項執(zhí)行脆弱性分析，則使用相關(guān)項的定義;如果對組件執(zhí)行脆弱性分析，則使用網(wǎng)絡(luò)安全規(guī)范。附加支持資料無。要求和建議[RQ-08-07]應(yīng)對漏洞進(jìn)行管理，以便針對每個漏洞開展以下工作：16.9進(jìn)行評估和處理，以便消除不合理的風(fēng)險；TARA的補救措施來消除漏洞，如開源軟件的補丁。注1:如果漏洞管理導(dǎo)致相關(guān)項和組件變更，則根據(jù)[RQ-05-11]進(jìn)行變更管理。2:（例如攻擊路徑信息的分享他相關(guān)方。[RQ-08-08]如果根據(jù)16.9的風(fēng)險處置決策需要進(jìn)行信息安全事件響應(yīng)，則應(yīng)參照14.3。注3:信息安全事件響應(yīng)流程可以獨立于TARA。工作成果[WP-08-06]由[RQ-08-07]產(chǎn)生的漏洞管理證據(jù)。概念階段總則16章（H，圖H.1）的方法完成信息安全風(fēng)險評估。此外，10.4規(guī)定了信息安全聲明，用于解釋風(fēng)險保留和分擔(dān)的充分性。信息安全概念由信息安全需求和對操作環(huán)境的要求組成，基于信息安全目標(biāo)以及相關(guān)項而形成。目的本章節(jié)的目的是：定義相關(guān)項、操作環(huán)境和在信息安全上下文中的相互影響；明確信息安全目標(biāo)和信息安全聲明；明確實現(xiàn)信息安全目標(biāo)的信息安全概念。相關(guān)項定義輸入先決條件無。進(jìn)一步的支持信息考慮信息如下：-有關(guān)該相關(guān)項和操作環(huán)境的現(xiàn)有信息：例：車內(nèi)E/E系統(tǒng)結(jié)構(gòu)，包括車內(nèi)網(wǎng)絡(luò)，車外網(wǎng)絡(luò)，參考模型和前期開發(fā)文檔。要求和建議[RQ-09-01]在相關(guān)項中應(yīng)確定以下信息：a)相關(guān)項邊界；/系統(tǒng)的接口。相關(guān)項功能；2：相關(guān)項功能描述了相關(guān)項在生命周期各階段[如產(chǎn)品研發(fā)（測試）包括相關(guān)項實現(xiàn)的車輛功能。初步架構(gòu)：注3：初步架構(gòu)的描述包括識別相關(guān)項的組成部分及其連接，以及相關(guān)項的外部接口。4：GB/T34590安全系列標(biāo)準(zhǔn)。注5：考慮限制因素和使用的信息安全標(biāo)準(zhǔn)。注6：開發(fā)一個獨立于環(huán)境的組件可以基于對一個假定的（通用）相關(guān)項的定義和對該相關(guān)項內(nèi)組件功能的描述。[RQ-09-02]應(yīng)描述與信息安全有關(guān)的相關(guān)項的操作環(huán)境信息。注7：通過描述操作環(huán)境及其與相關(guān)項之間的交互，可以識別或分析相關(guān)的威脅情景和攻擊路徑。注8：相關(guān)信息包括假設(shè)，如假設(shè)該相關(guān)項所依賴的每個公鑰基礎(chǔ)設(shè)施證書機構(gòu)都得到了適當(dāng)?shù)墓芾?。工作成果[WP-09-01]相關(guān)項定義，由10.3.2的要求得出。信息安全目標(biāo)輸入先決條件應(yīng)提供以下信息：-相關(guān)項定義[WP-09-01]。進(jìn)一步的支持信息可考慮以下信息：-信息安全事態(tài)[WP-08-03]。要求和建議[RQ-09-03]應(yīng)根據(jù)相關(guān)項定義進(jìn)行分析，其中包括：16.3的規(guī)定進(jìn)行資產(chǎn)識別；16.4的規(guī)定進(jìn)行威脅場景識別；16.5的規(guī)定，影響評級；16.6的規(guī)定，進(jìn)行攻擊路徑分析；16.7的規(guī)定，對攻擊可行性進(jìn)行評級；16.8的規(guī)定，確定風(fēng)險值；注1：如果相關(guān)項定義沒有為分析提供足夠的信息，可以假設(shè)這些信息。[RQ-09-04]根據(jù)[RQ-09-03]的結(jié)果，應(yīng)按照15.9的規(guī)定為每種威脅場景確定風(fēng)險處理方案。注2：通過消除風(fēng)險源來避免風(fēng)險，可能導(dǎo)致按照變更管理對該相關(guān)項進(jìn)行變更。[RQ-09-05]如果一個威脅場景的風(fēng)險處置決策包括減少風(fēng)險，那么應(yīng)指定一個或多個相應(yīng)的信息安全目標(biāo)。注3：信息安全目標(biāo)是保護(hù)資產(chǎn)免受威脅場景的要求。注4：如果適用，可以為信息安全目標(biāo)確認(rèn)一個CAL（見附錄E）。注5：可以為相關(guān)項的任何生命周期階段指定信息安全目標(biāo)。[RQ-09-06]如果一個威脅場景的風(fēng)險處置決策包括：a）分擔(dān)風(fēng)險；b）保留由于[RQ-09-03]分析過程中使用的一個或多個假設(shè)而產(chǎn)生的風(fēng)險，則應(yīng)指定一個或多個相應(yīng)的信息安全聲明；注6：信息安全聲明可被考慮用于信息安全監(jiān)測。[RQ-09-07]應(yīng)進(jìn)行驗證以確認(rèn)滿足下列要求：a）[RQ-09-03]的結(jié)果在相關(guān)項定義方面的正確性和完整性；b）[RQ-09-04]的風(fēng)險處置決策與[RQ-09-03]的結(jié)果的完整性、正確性和一致性；c）[RQ-09-05]的信息安全目標(biāo)和[RQ-09-06]的信息安全聲明與[RQ-09-04]風(fēng)險處置決策之間的完整性、正確性和一致性；d）該相關(guān)項[RQ-09-05]的所有信息安全目標(biāo)和[RQ-09-06]的信息安全聲明的一致性。工作成果[WP-09-02]由[RQ-09-03]和[RQ-09-04]的要求得出TARA。[WP-09-03]由[RQ-09-05]的要求得出信息安全目標(biāo)。[WP-09-04]由[RQ-09-06]的要求得出信息安全聲明。[WP-09-05]由[RQ-09-07]的要求得出信息安全目標(biāo)的驗證報告。信息安全概念輸入先決條件應(yīng)獲得下列信息：-相關(guān)項定義[WP-09-01]；-信息安全目標(biāo)[WP-09-03]；-信息安全聲明[WP-09-04]。進(jìn)一步的支持信息可考慮下列信息：-威脅分析和風(fēng)險評估[WP-09-02]。要求及推薦[RQ-09-08]應(yīng)考慮以下因素，描述達(dá)成信息安全目標(biāo)而采取的信息安全控制和/或運行控制措施，及其相互關(guān)系:a）相關(guān)項功能的依賴性;b)信息安全聲明。注1：描述可包括：-達(dá)成信息安全目標(biāo)的條件，例如：對損害的預(yù)防，探測與監(jiān)控。-處理威脅場景特定方面的專用功能，例如：使用安全的通信通道。注2：這些描述可用來評估設(shè)計，并確定信息安全確認(rèn)的目標(biāo)。[RQ-09-09]相關(guān)項的信息安全需求及操作環(huán)境需求，應(yīng)按照[RQ-09-08]的描述，為實現(xiàn)信息安全目標(biāo)而進(jìn)行定義。注3：信息安全需求取決于并包括：相關(guān)項的特定功能，例如：升級能力或在運行時獲得用戶許可的能力。注4：對操作環(huán)境的需求，是在相關(guān)項以外實現(xiàn)的，但是被包括在相關(guān)項的信息安全確認(rèn)內(nèi)，以確定相應(yīng)的信息安全目標(biāo)是否達(dá)成。注5：對于作為操作環(huán)境一部分的其它相關(guān)項的需求，可作為這些相關(guān)項的信息安全需求。[RQ-09-10]信息安全需求應(yīng)被分配到相關(guān)項，如果適用，分配到其一個或者多個組件。注6：信息安全控制的描述補充了信息安全需求和操作環(huán)境需求的規(guī)范和分配，這些都構(gòu)成了信息安全概念。[RQ-09-11]應(yīng)驗證[RQ-09-08],[RQ-09-09]and[RQ-09-10]的結(jié)果，以確定：完整性、正確性、及其與信息安全目標(biāo)的一致性;與信息安全聲明的一致性。工作成果[WP-09-06]來自[RQ-09-08],[RQ-09-09]和[RQ-09-10]的信息安全概念。[WP-09-07]由[RQ-09-11]產(chǎn)生的信息安全概念驗證報告。產(chǎn)品研發(fā)總則本章描述了信息安全需求和架構(gòu)設(shè)計的規(guī)范，以及集成與驗證活動。8V10.4.1V模型的左側(cè)，10.4.2V11.4.211.4.2集成與驗證（組件）11.4.1設(shè)計（組件）第11章產(chǎn)品研發(fā)11.4.2集成與驗證（子組件）11.4.1設(shè)計（子組件）第12章信息安全確認(rèn)（相關(guān)項）第10章概念（相關(guān)項）V模型右側(cè)V模型左側(cè)8V11.4.111.4.2V模型的開發(fā)方法，如：敏捷軟件開發(fā)。可按照CAL調(diào)節(jié)本章內(nèi)活動的深度和嚴(yán)格程度，以及使用的方法（見附錄E）。目標(biāo)本章目標(biāo)如下：定義信息安全規(guī)范；注:這些可以包括現(xiàn)有架構(gòu)設(shè)計中不存在的信息安全相關(guān)組件的規(guī)范。驗證定義的信息安全規(guī)范是否符合更高級別的抽象架構(gòu)的信息安全規(guī)范；識別組件的弱點；提供證據(jù)證明組件的實施和集成結(jié)果符合信息安全規(guī)范。輸入先決條件應(yīng)提供以下信息：—更高層級抽象架構(gòu)的信息安全規(guī)范[WP-10-01]注1：這可以僅限于與正在開發(fā)的組件相關(guān)的信息，如：—分配給正在開發(fā)的組件的信息安全需求；—正在開發(fā)的組件的外部接口規(guī)范；—關(guān)于正在開發(fā)的組件的操作環(huán)境的假設(shè)信息。注2：對于最高層級抽象架構(gòu)的開發(fā)，使用相關(guān)項的信息安全概念[WP-09-06]和相關(guān)項定義[WP-09-01]，而不是更高層級抽象架構(gòu)的信息安全規(guī)范。更多支持信息可以考慮以下信息：—相關(guān)項定義[WP-09-01]；—信息安全概念[WP-09-06]；—現(xiàn)有架構(gòu)設(shè)計；—已建立的信息安全控制；—復(fù)用件中已知的弱點和漏洞。要求和建議設(shè)計[RQ-10-01]定義信息安全規(guī)范應(yīng)基于：更高層級抽象架構(gòu)的信息安全規(guī)范；選擇實施的信息安全控制（如果適用）；示例1：使用帶有嵌入式硬件信任錨的單獨微控制器來實現(xiàn)安全密鑰存儲功能，并隔離與非安全外部連接相關(guān)的信任錨。注1：可以從受信任目錄中選擇信息安全控制。C）現(xiàn)有的架構(gòu)設(shè)計，如果適用。注2：信息安全規(guī)范覆蓋所定義的架構(gòu)設(shè)計與所定義的信息安全需求有關(guān)的子組件之間的接口規(guī)范，包括其使用、靜態(tài)和動態(tài)方面。個人身份信息的程序。注4：信息安全規(guī)范可以包括識別滿足信息安全需求相關(guān)的配置和校準(zhǔn)參數(shù)，以及它們的設(shè)置或允許的值范圍，例如硬件安全模塊的正確配置。注5：可以考慮實施信息安全控制所需組件的能力，例如處理器性能、內(nèi)存資源。[RQ-10-02]定義的信息安全需求應(yīng)分配給架構(gòu)設(shè)計的組件。[RQ-10-03]如果適用，應(yīng)指定組件開發(fā)后確保信息安全的程序。示例2：正確集成和啟動信息安全控制的程序，以及在整個生產(chǎn)過程中維護(hù)信息安全的程序。[RQ-10-04]如果信息安全規(guī)范或其實施使用設(shè)計、建?；蚓幊谭柣蛘Z言，則在選擇此類符號或語言時應(yīng)考慮以下內(nèi)容：一個在語法和語義上都清晰易懂的定義；支持實現(xiàn)模塊化、抽象和封裝；支持使用結(jié)構(gòu)化構(gòu)造；支持使用安全的設(shè)計和實現(xiàn)技術(shù)；能夠集成現(xiàn)有組件，以及示例3：用另一種語言編寫的庫、框架、軟件組件。針對由于語言使用不當(dāng)而導(dǎo)致的漏洞，語言的恢復(fù)能力。示例4：對緩沖區(qū)溢出的恢復(fù)能力。6：對于軟件開發(fā)，實現(xiàn)包括使用編程語言進(jìn)行編碼。[RQ-10-05]適用于信息安全的設(shè)計、建模或編程語言的標(biāo)準(zhǔn)（見[RQ-10-04]），語言本身并未涉及，應(yīng)包含在設(shè)計、建模和編碼指南或開發(fā)環(huán)境中。示例5：在C語言中使用MISRAC:2012或CERTC進(jìn)行安全編碼。示例6：適用于設(shè)計、建模和編程語言的標(biāo)準(zhǔn)：—語言子集的使用；—強類型的強制執(zhí)行；—使用防御性實現(xiàn)技術(shù)。[RC-10-06]應(yīng)采用已確立且可信的設(shè)計和實施原則，以避免或盡量減少引入弱點。注7：NIST特別出版物800-160第1卷附錄F.1中給出了信息安全架構(gòu)設(shè)計的設(shè)計原則示例。[RQ-10-07]應(yīng)分析[RQ-10-01]中定義的架構(gòu)設(shè)計以識別弱點。注8：可以考慮來自復(fù)用件的已知弱點和漏洞。需執(zhí)行漏洞分析。[RQ-10-08]應(yīng)驗證定義的信息安全規(guī)范以確保完整性、正確性以及與更高層級抽象架構(gòu)的信息安全規(guī)范的一致性。注10：驗證方法可以包括：—評審；—分析；—模擬；—原型法。集成和驗證[RQ-10-09]集成和驗證活動應(yīng)驗證組件的執(zhí)行和集成符合定義的信息安全規(guī)范。[RQ-10-10]指定[RQ-10-09]的集成和驗證活動應(yīng)考慮：定義的信息安全規(guī)范；用于批量生產(chǎn)的配置，如果適用；足夠的能力來支持定義的信息安全規(guī)范中指定的功能；符合[RQ-10-05]的建模、設(shè)計和編碼指南，如果適用。注1：可以包括車輛的集成和測試。注2：驗證方法可以包括：—基于需求的測試；—接口測試；—資源使用評估；—控制流和數(shù)據(jù)流的測試；—動態(tài)分析；—靜態(tài)分析。注3：如果采用測試進(jìn)行驗證，選擇測試用例和測試環(huán)境可以考慮：—實現(xiàn)驗證目標(biāo)的集成測試級別；—基于對所選測試環(huán)境的分析，在后續(xù)集成活動中需要額外的測試，例如，由于與處理器仿真或開發(fā)環(huán)境相比，用于最終集成的目標(biāo)處理器的數(shù)據(jù)字和地址字的位寬不同。注4：派生測試用例的方法可以包括：—對需求的分析；—等價類的生成與分析；—臨界值的分析；—基于知識或經(jīng)驗的錯誤猜測。[RQ-10-11]如果采用測試進(jìn)行驗證，應(yīng)使用定義的測試覆蓋率度量標(biāo)準(zhǔn)來評估測試覆蓋率，以確定測試活動的充分性。注5：標(biāo)準(zhǔn)測試覆蓋率度量可能不足以應(yīng)對信息安全，例如，軟件的語句覆蓋率。[RC-10-12]應(yīng)執(zhí)行測試以確認(rèn)組件中剩余的未識別弱點和漏洞已最小化。注6：非必需的功能可能包含一個弱點。注7：測試方法可以包括：—功能測試；—漏洞掃描；—模糊測試；—滲透測試。注8：對已識別的弱點進(jìn)行漏洞分析（見8.5）并管理已識別的漏洞（見8.6）。然而，已識別的弱點可以通過更改架構(gòu)設(shè)計來解決，而無需執(zhí)行漏洞分析。[RQ-10-13]如果沒有按照[RC-10-12]進(jìn)行測試，則應(yīng)提供理由。注9：理由包括以下因素；—訪問組件攻擊面的可行性；—能夠（直接或間接）訪問組件并結(jié)合其他組件的危害；和/或—組件的簡單性。工作成果[WP-10-01]由[RQ-10-01]到[RQ-10-02]產(chǎn)生的信息安全規(guī)范。[WP-10-02]由[RQ-10-03]產(chǎn)生的后開發(fā)階段的信息安全需求。[WP-10-03]由[RQ-10-04]和[RQ-10-05]產(chǎn)生的建模、設(shè)計或編程語言和編碼指南的文件，如適用。[WP-10-04]由[RQ-10-08]產(chǎn)生信息安全規(guī)范的驗證報告。[WP-10-05]由[RQ-10-07]到[RC-10-12]產(chǎn)生的產(chǎn)品開發(fā)過程中發(fā)現(xiàn)的弱點，如適用。[WP-10-06]由[RQ-10-10]產(chǎn)生的集成和驗證規(guī)范。[WP-10-07]由[RQ-10-09]、[RQ-10-11]、[RC-10-12]產(chǎn)生的集成和驗證報告。信息安全確認(rèn)概述目的本章的目的是：確認(rèn)信息安全目標(biāo)和信息安全聲明；確定該相關(guān)項實現(xiàn)的信息安全目標(biāo)；確定不存在不合理的風(fēng)險。輸入先決條件應(yīng)提供下列信息:—相關(guān)項定義(參閱[WP-09-01])；—信息安全目標(biāo)(參閱[WP-09-03])；—信息安全聲明(參閱[WP-09-04])，如果適用。進(jìn)一步的支持信息應(yīng)提供下列信息：—信息安全概念(參閱[WP-09-06])；—產(chǎn)品開發(fā)的工作成果（見10.5）。要求和建議[RQ-11-01]考慮批量生產(chǎn)配置狀態(tài)下，相關(guān)項在整車級別的確認(rèn)活動中應(yīng)確認(rèn)：在威脅場景和相關(guān)風(fēng)險方面的信息安全目標(biāo)充分性；注1：如果在確認(rèn)過程中發(fā)現(xiàn)信息安全目標(biāo)未解決任何風(fēng)險,則可以按照9.4解決。實現(xiàn)該相關(guān)項的信息安全目標(biāo)；信息安全聲明的有效性；操作環(huán)境要求的有效性，如果適用。注2：確認(rèn)活動應(yīng)包括：—通過審查9.5和10的工作成果確認(rèn)信息安全目標(biāo)的實現(xiàn)；—執(zhí)行滲透測試驗證信息安全目標(biāo)的充分性和得到實現(xiàn)；—審查通過9和10的所有已識別管理風(fēng)險；注3：使用CAL能夠擴展?jié)B透測試的深度和嚴(yán)謹(jǐn)度（見附錄E）。注4：在[RQ-11-01]的確認(rèn)活動期間，對已識別弱點進(jìn)行漏洞分析并管理已識別的漏洞。[RQ-11-02]應(yīng)提供選擇確認(rèn)活動的理由。工作成果[WP-11-01]由[RQ-11-01]和[RQ-11-02]產(chǎn)生的確認(rèn)報告。生產(chǎn)總則目的本章的目的是：a）落實后開發(fā)階段的信息安全需求；b）防止在生產(chǎn)過程中引入新的漏洞。輸入先決條件應(yīng)提供以下信息：—已發(fā)布的后開發(fā)階段報告(見[WP-06-04])；—后開發(fā)階段的信息安全需求(見[WP-10-02])。進(jìn)一步的支持信息無。要求和建議[RQ-12-01]應(yīng)制定生產(chǎn)控制計劃，以滿足后開發(fā)階段的信息安全需求。注1：生產(chǎn)控制計劃可作為總體生產(chǎn)計劃的一部分。[RQ-12-02]生產(chǎn)控制計劃應(yīng)包括：a）應(yīng)用后開發(fā)階段信息安全需求的一系列步驟；b）生產(chǎn)工具和裝備；在生產(chǎn)階段防止未授權(quán)改動的信息安全控制；例1：可以防止對運行軟件的生產(chǎn)服務(wù)器進(jìn)行物理訪問的物理控制。例2：可以運用密碼學(xué)技術(shù)和/或訪問控制的邏輯控制。確認(rèn)滿足后開發(fā)階段信息安全需求的方法。注2：方法可以包括檢查和校準(zhǔn)檢查。注3：制造相關(guān)項或組件和安裝軟件或硬件時，生產(chǎn)過程可以使用特權(quán)訪問；如果在生產(chǎn)階段之后以未授權(quán)的方式訪問，可能會在相關(guān)項或組件中引入漏洞。[RQ-12-03]應(yīng)實施生產(chǎn)控制計劃。工作成果[WP-12-01]由[RQ-12-01]和[RQ-12-02]產(chǎn)生的生產(chǎn)控制計劃。運行和維護(hù)總則本章描述了信息安全事件響應(yīng)和對既定領(lǐng)域的相關(guān)項或組件的更新。當(dāng)一個組織將信息安全事件響應(yīng)作為漏洞管理的一部分來調(diào)用時，就會發(fā)生信息安全事件響應(yīng)。更新是在開發(fā)后對一個相關(guān)項或組件所做的改變，可以包括額外的信息，如技術(shù)規(guī)范、集成手冊、處于概念、產(chǎn)品開發(fā)或生產(chǎn)階段的相關(guān)項或組件的修改，由變更管理進(jìn)行規(guī)定而不是本章涵蓋。目標(biāo)本章的目標(biāo)是：確定并實施信息安全事件的補救措施；在生產(chǎn)后的相關(guān)項或組件的更新期間和更新后保持信息安全，直到其信息安全支持結(jié)束。信息安全事件響應(yīng)輸入先決條件無。進(jìn)一步的支持信息可考慮以下信息：—與引起信息安全事件響應(yīng)的漏洞有關(guān)的信息安全情報；—漏洞分析報告[WP-08-05]。要求和建議[RQ-13-01]對于每個信息安全事件，應(yīng)制定信息安全事件響應(yīng)計劃，包括：a）補救措施；注1：補救措施由8.6中的漏洞管理來決定。溝通計劃；2采購。3：溝通計劃可以包括確定內(nèi)部和外部的溝通伙伴（如開發(fā)、研究人員、公眾、當(dāng)局），信息。為補救措施分配的責(zé)任；注4：負(fù)責(zé)的人應(yīng)有：——與受影響的相關(guān)項或組件相關(guān)的專業(yè)知識，包括遺留的相關(guān)項和組件；——組織知識（如業(yè)務(wù)流程、溝通、采購、法律）；——決定權(quán)；記錄與信息安全事件有關(guān)的新信息安全情報的程序；注5：可以根據(jù)8.3收集新的信息安全情報，例如以下信息：——受影響的組件；——相關(guān)的事件和漏洞；——佐證數(shù)據(jù)，如數(shù)據(jù)日志、碰撞傳感器數(shù)據(jù)；——終端用戶投訴；確定進(jìn)度的方法；示例：衡量進(jìn)度的方法如下:-受影響的相關(guān)項或組件被修復(fù)的百分比；-受補救措施影響的相關(guān)項或組件的百分比；f）關(guān)閉信息安全事件響應(yīng)的標(biāo)準(zhǔn)；g）關(guān)閉操作。[RQ-13-02]應(yīng)執(zhí)行信息安全事件響應(yīng)計劃。工作成果[WP-13-01]由[RQ-13-01]產(chǎn)生的信息安全事件響應(yīng)計劃。更新輸入先決條件應(yīng)提供以下信息：—發(fā)布的后開發(fā)階段報告[WP-06-04]。進(jìn)一步的支持信息可以考慮以下信息：—信息安全事件響應(yīng)計劃[WP-13-01]；—與更新相關(guān)的后開發(fā)階段的信息安全需求[WP-10-02]。要求和建議[RQ-13-03]車輛內(nèi)的更新和與更新有關(guān)的能力應(yīng)按照本文件的規(guī)定開發(fā)。工作成果無。信息安全支持終止和報廢綜述目的本章的目的是：信息安全支持終止的溝通；使與信息安全相關(guān)的相關(guān)項和組件能夠報廢。信息安全支持終止輸入無。要求和建議［RQ-14-01］應(yīng)建立一個程序，以便在組織決定對某一相關(guān)項或組件終止信息安全支持時與客戶溝通。注1：這些溝通可以根據(jù)供應(yīng)商和客戶之間的合同要求進(jìn)行處理。注2：可以通過公告的方式向客戶傳達(dá)信息。工作成果［WP-14-01］由［RQ-14-01］產(chǎn)生的信息安全支持終止溝通程序。報廢輸入應(yīng)提供以下信息:—后開發(fā)階段的信息安全需求［WP-10-02］。進(jìn)一步的支持信息無。要求和建議［RQ-14-02］應(yīng)提供后開發(fā)階段有關(guān)報廢的信息安全需求。注：與此類需求相關(guān)的適當(dāng)文件(如操作說明、用戶手冊)，可以使信息安全方面的報廢得以進(jìn)行。工作成果無。威脅分析和風(fēng)險評估方法總則—資產(chǎn)識別；—威脅場景識別；—影響評級；—攻擊路徑分析；—攻擊可行性評級；—風(fēng)險值計算；—風(fēng)險處置決策。H提供了這些方法的實例說明。組織用于影響評級、攻擊可行性評級和風(fēng)險值計算的特定等級可以應(yīng)用并映射到本文件中定義的相應(yīng)等級。目標(biāo)本章的目標(biāo)：識別資產(chǎn)、資產(chǎn)的信息安全屬性和資產(chǎn)的危害場景;b)識別威脅場景；計算危害場景的影響等級;識別實現(xiàn)威脅場景的攻擊路徑;確定攻擊路徑可以被利用的容易程度；f)計算威脅場景的風(fēng)險值；g)對威脅場景選擇合適的風(fēng)險處置方案；資產(chǎn)識別輸入先決條件應(yīng)提供以下信息：—相關(guān)項定義[WP09-01]。附加支持資料參考以下信息：—信息安全規(guī)范[WP-10-01]。要求和建議[RQ-15-01]識別危害場景注1：危害場景包含：相關(guān)項的功能與不良后果之間的關(guān)系；對道路使用者的危害說明；相關(guān)資產(chǎn)；[RQ-15-02]識別具有信息安全屬性的資產(chǎn)，資產(chǎn)的信息安全屬性達(dá)不到標(biāo)準(zhǔn)將導(dǎo)致危害場景。注2：確定資產(chǎn)可以基于：分析相關(guān)項定義；執(zhí)行影響評級；威脅場景中提取資產(chǎn)；使用預(yù)定義的目錄。示例1:資產(chǎn)是存儲在信息娛樂系統(tǒng)中的個人信息（客戶個人偏好），資產(chǎn)的信息安全屬性為保密性。危害場景是由于資產(chǎn)失去保密性，在未經(jīng)客戶同意的情況下，披露客戶個人信息。示例2：資產(chǎn)是制動功能的通信數(shù)據(jù)，資產(chǎn)的信息安全屬性是完整性。危害場景是車輛高速行駛時，因非預(yù)期的全力制動而與跟隨車輛發(fā)生碰撞（追尾碰撞）。工作成果[WP-15-01]由[RQ-15-01]產(chǎn)生的危害場景；[WP-15-02]由[RQ-15-02]產(chǎn)生的具有信息安全屬性的資產(chǎn)。威脅場景識別輸入先決條件應(yīng)提供以下信息：—相關(guān)項定義[WP-09-01]。附加支持資料參考以下信息：—信息安全規(guī)范[WP-10-01]:—危害場景[WP-15-01]:—具有信息安全屬性的資產(chǎn)[WP-15-02]。要求和建議[RQ-15-03]識別威脅場景，威脅場景包含：—目標(biāo)資產(chǎn)；—資產(chǎn)受損害的信息安全屬性；—信息安全屬性受損害缺失的原因；注1：附加信息可以包含或與威脅場景相關(guān)聯(lián)，例如威脅場景、危害場景、資產(chǎn)、攻擊者、方法、工具和攻擊面之間的技術(shù)依賴關(guān)系。注2:威脅場景識別方法可以使用小組討論或系統(tǒng)方法，例如：—引發(fā)由合理可預(yù)見的濫用或濫用導(dǎo)致的惡意使用案例：—基于EVITA、TVRA、PASTA、STRIDE（欺騙、篡改、否認(rèn)、信息披露、拒絕服務(wù)、提升特權(quán)）等框架的威脅建模方法。注3：一個危害場景可以對應(yīng)多個威脅場景，一個威脅場景可以導(dǎo)致多個危害場景。示例：從制動ECU方面分析，CAN消息欺騙會導(dǎo)致CAN消息的完整性缺失，從而導(dǎo)致制動功能的完整性缺失。工作成果[WP-15-03]由[RQ-15-03]產(chǎn)生的威脅場景。影響評級輸入先決條件應(yīng)提供以下信息：—危害場景[WP-15-01]。附加支持資料：參考以下信息：—相關(guān)項定義[WP-09-01]:—具有信息安全屬性的資產(chǎn)[WP-15-02]。要求和建議[RQ-15-04]根據(jù)對道路使用者的潛在不利影響，分別從安全、財務(wù)、運營和隱私（S,F,0,P）等方面對危害場景進(jìn)行評估。注1：本文件不提供不同影響類別之間的關(guān)系（如權(quán)重）。注2：其他影響類別也可以參考。注3：如果參考其他影響類別，則可根據(jù)第7條在供應(yīng)鏈中分享這些類別的基本原理和解釋。[RQ-15-05]危害場景的影響等級應(yīng)確定為以下影響等級之一：—嚴(yán)重；—重大；—中等；—忽略。注4：財務(wù)、運營和隱私相關(guān)影響可根據(jù)附錄F中提供的表格進(jìn)行評級。[RQ-15-06]安全相關(guān)影響評級來自GB/T34590.3-2022，6.4.3注5：附錄F中的表F.1可用于將安全影響準(zhǔn)則映射到影響等級。注6：功能安全評估可為此目的重復(fù)使用。[PM-15-07]若一個危害場景導(dǎo)致了一個影響等級，并且可以認(rèn)為另一個影響不重要，則可以省略對其他影響類別的進(jìn)一步分析。示例：危害場景的安全影響被評定為“嚴(yán)重”，因此，不進(jìn)一步分析該危害場景的財務(wù)影響。工作成果[WP-15-04]由[RQ-15-04]至[RQ-15-06]產(chǎn)生的具有相關(guān)影響類別的影響評級。攻擊路徑分析輸入先決條件提供以下信息：—相關(guān)項定義[WP-09-01]或者信息安全規(guī)范[WP-10-01];—威脅場景[WP-15-03]；附加支持資料：參考以下信息：—信息安全事態(tài)的弱點[WP-08-04]:—產(chǎn)品開發(fā)過程中發(fā)現(xiàn)的弱點[WP-10-05]:—架構(gòu)設(shè)計;—前期已識別的攻擊路徑[WP-15-05]，如果可用；—漏洞分析[WP-08-05]要求和建議[RQ-15-08]分析威脅場景，確定攻擊路徑。注1：攻擊路徑分析基于：—自上而下的方法，分析實現(xiàn)威脅場景的不同方式（如攻擊樹、攻擊圖）來推斷攻擊路徑；—自下而上的方法，已識別的漏洞構(gòu)建攻擊路徑。注2：如果部分攻擊路徑不會導(dǎo)致威脅場景的實現(xiàn)，則可以停止對該部分攻擊路徑的分析。[RQ-15-09]攻擊路徑與可實現(xiàn)攻擊路徑的威脅場景相關(guān)聯(lián)。注3：在產(chǎn)品開發(fā)的早期階段，由于具體的實施細(xì)節(jié)尚不清楚，攻擊路徑通常不完整或不精確，無法識別具體的漏洞。在產(chǎn)品開發(fā)的早期階段，還無法識別特定的漏洞，攻擊路徑通常是不完整或不精確的，因為具體的實現(xiàn)細(xì)節(jié)尚不清楚。在產(chǎn)品開發(fā)過程中，攻擊路徑可以隨著更多信息的可用而更新，如在漏洞分析之后。示例：-威脅場景：欺騙制動ECU的CAN消息，導(dǎo)致CAN消息的完整性缺失，從而導(dǎo)致制動功能的完整性缺失；-實現(xiàn)上述威脅場景的攻擊路徑：ECU：ECUCANECU；ECU轉(zhuǎn)發(fā)惡意制動請求信號（不必要的快速減速）。工作成果[WP-15-05]由[RQ-15-08]和[RQ-15-09]產(chǎn)生的攻擊路徑。攻擊可行性評級輸入先決條件提供以下信息：—攻擊路徑[WP-15-05].附加支持資料參考以下信息：—架構(gòu)設(shè)計；—漏洞分析[WP-08-05]；要求和建議[RQ-15-10]對于每條攻擊路徑，攻擊可行性等級應(yīng)按表1所述確定。表1-攻擊可行性評級和相應(yīng)描述攻擊可行性評級描述高攻擊路徑可以用低工作量完成。中攻擊路徑可以通過中等工作量完成。低攻擊路徑可以用高工作量完成非常低攻擊路徑可以用非常高的工作量來完成[RC-15-11]攻擊可行性評級方法應(yīng)根據(jù)以下方法之一確定：a）基于攻擊潛力的方法；b)CVSS方法；C）基于攻擊向量方法；注1：方法的選擇取決于產(chǎn)品生命周期中的階段和可用信息。[RC-15-12]如果使用基于攻擊潛力的方法，則應(yīng)根據(jù)核心要素確定攻擊可行性等級，包括：運行時間；專業(yè)知識；相關(guān)項或組件的知識；機會窗口；設(shè)備。注2:核心攻擊潛在因素可以從ISO/IEC18045中得出。注3附錄G.2提供了基于攻擊潛力來確定攻擊可行性的指南。[RC-15-13]如果使用基于CVSS的方法，則應(yīng)根據(jù)基本度量組的可利用性度量確定攻擊可行性等級，包括：a）攻擊矢量；攻擊復(fù)雜性；所需特權(quán)；d）用戶交互。注4：附錄G.3提供基于CVSS的方法來確定攻擊可行性的指南。[RC-15-14]如果使用基于攻擊向量的方法，則應(yīng)根據(jù)評估攻擊路徑的主要攻擊向量確定攻擊可行性等級。注5：附錄G.4提供了基于攻擊矢量的方法來確定攻擊可行性的指南。注6：在開發(fā)的早期階段（例如概念階段），當(dāng)沒有足夠的信息來識別特定的攻擊路徑時，一種基于攻擊矢量的方法可以適合于估計攻擊的可行性。工作成果[WP-15-06]由[RQ-15-10]產(chǎn)生的攻擊可行性評級。風(fēng)險值確定輸入先決條件提供以下信息—威脅場景[WP-15-03]；—具有相關(guān)影響類別的影響評級[WP-15-04]；—攻擊可行性評級[WP-15-06]。附加支持資料無。要求和建議[RQ-15-15]對于每個威脅場景，應(yīng)根據(jù)相關(guān)危害場景的影響和相關(guān)攻擊路徑的攻擊可行性計算風(fēng)險值。[RQ-15-16]威脅場景的風(fēng)險值應(yīng)介于（包括）1和5之間。其中，值1表示最小風(fēng)險。示例：風(fēng)險值計算方法—風(fēng)險矩陣；—風(fēng)險計算公式。工作成果[WP-15-07]由[RQ-15-15]和[RQ-15-16]產(chǎn)生的風(fēng)險值。風(fēng)險處置決策輸入先決條件提供以下信息：—相關(guān)項定義[WP-09-01]；—威脅場景[WP-15-03]；—風(fēng)險值[WP-15-07]。附加支持資料參考以下信息：—信息安全規(guī)范[WP-10-01]；—相關(guān)項或組件或類似相關(guān)項或組件的先前風(fēng)險處置決策；—具有影響類別的影響評級[WP-15-04]；—攻擊路徑[WP-15-05]；—攻擊可行性等級[WP-15-06]。要求和建議[RQ-15-17]對于每個威脅場景，考慮到威脅場景的風(fēng)險值，確定一個或多個風(fēng)險處置決策：避免風(fēng)險；示例1：消除風(fēng)險源避開風(fēng)險，決定不開始或不繼續(xù)增加風(fēng)險的活動。降低風(fēng)險；分擔(dān)風(fēng)險；示例2：通過合同分擔(dān)風(fēng)險或通過購買保險轉(zhuǎn)移風(fēng)險。保留風(fēng)險。注：保留風(fēng)險和分擔(dān)風(fēng)險的理由記錄為信息安全聲明，并根據(jù)第8條進(jìn)行信息安全監(jiān)測和漏洞管理。工作成果[WP-15-08]由[RQ-15-17]產(chǎn)生的風(fēng)險處置決策。附錄 (資料性)信息安全活動和工作成果摘要A.115信息安全活動和工作產(chǎn)品概述表A.1-本文件的信息安全活動和工作成果子章工作成果組織信息安全管理6.4.1信息安全治理[WP-05-01]信息安全政策、規(guī)則和程序6.4.2信息安全文化[WP-05-01]信息安全政策、規(guī)則和程序[WP-05-02]能力管理、意識管理和持續(xù)改進(jìn)的證據(jù)6.4.3信息共享[WP-05-01]信息安全政策、規(guī)則和程序6.4.4管理系統(tǒng)[WP-05-03]組織管理制度的證據(jù)6.4.5工具管理[WP-05-04]工具管理的證據(jù)6.4.6信息安全管理[WP-05-03]組織管理制度的證據(jù)6.4.7[WP-05-05]組織信息安全審計報告依靠項目的信息安全管理7.4.1信息安全責(zé)任[WP-06-01]信息安全計劃7.4.2信息安全規(guī)劃[WP-06-01]信息安全計劃7.4.3裁剪[WP-06-01]信息安全計劃7.4.4再利用[WP-06-01]信息安全計劃7.4.5超出背景的組件[WP-06-01]信息安全計劃7.4.6現(xiàn)有組件[WP-06-01]信息安全計劃7.4.7信息安全案例[WP-06-02]信息安全案例7.4.8信息安全評估[WP-06-03]信息安全評估報告7.4.9后續(xù)開發(fā)的發(fā)布[WP-06-04]開發(fā)后報告的發(fā)布分布式信息安全活動8.4.1供應(yīng)商能力無8.4.2報價要求無8.4.3責(zé)任的統(tǒng)一[WP-07-01]信息安全接口協(xié)議持續(xù)的信息安全活動9.3信息安全監(jiān)測[WP-08-01]信息安全信息的來源[WP-08-02]觸發(fā)器[WP-08-03]信息安全事態(tài)9.4信息安全事件評估[WP-08-04]來自信息安全事態(tài)的弱點9.5脆弱性分析[WP-08-05]漏洞分析9.6脆弱性管理[WP-08-06]管理漏洞的證據(jù)概念階段10.3項目定義[WP-09-01]相關(guān)項定義10.4信息安全目標(biāo)[WP-09-02]TARA[WP-09-03]信息安全目標(biāo)[WP-09-04]信息安全要求[WP-09-05]信息安全目標(biāo)的驗證報告10.5信息安全概念［WP-09-06］信息安全概念［WP-09-07］信息安全概念的驗證報告產(chǎn)品開發(fā)階段11.4.1設(shè)計［WP-10-01］信息安全規(guī)范［WP-10-02］開發(fā)后的信息安全要求［WP-10-03］建模、設(shè)計或編程語言和編碼準(zhǔn)則的文件化［WP-10-04］信息安全規(guī)范的驗證報告［WP-10-05］產(chǎn)品開發(fā)過程中發(fā)現(xiàn)的弱點11.4.2集成和驗證［WP-10-05］產(chǎn)品開發(fā)過程中發(fā)現(xiàn)的弱點［WP-10-06］集成和驗證規(guī)范［WP-10-07］集成和驗證報告12信息安全的確認(rèn)［WP-11-01］確認(rèn)報告開發(fā)后階段13生產(chǎn)［WP-12-01］生產(chǎn)控制計劃14.3信息安全事件應(yīng)對［WP-13-01］信息安全事件響應(yīng)計劃14.4更新無15.3結(jié)束信息安全支持［WP-14-01］信息安全支持終止溝通程序15.4停用無威脅分析和風(fēng)險評估方法16.3資產(chǎn)識別［WP-15-01］危害場景［WP-15-02］具有信息安全屬性的資產(chǎn)16.4威脅情景識別［WP-15-03］威脅場景16.5沖擊等級［WP-15-04］具有影響類別的影響評級16.6攻擊路徑分析［WP-15-05］攻擊路徑16.7攻擊可行性評級[WP-15-06]攻擊可行性等級16.8風(fēng)險值的確定[WP-15-07]風(fēng)險值16.9風(fēng)險處置決策[WP-15-08]風(fēng)險處置決策附錄 B（資料性附錄）表B.1-信息安全文化薄弱和強大的示例表明信息安全文化薄弱的示例表明信息安全文化強大的示例與信息安全相關(guān)的決策責(zé)任不可追溯。有過程確保信息安全的決策責(zé)任是可追溯的。性能（所實施的功能或特性）、成本或進(jìn)度優(yōu)先于信息安全。信息安全和功能安全具有最高優(yōu)先權(quán)。獎勵制度支持和鼓勵有效實現(xiàn)信息安全，并處罰走因捷徑而危害信息安全的人。信息安全人員強制對信息安全進(jìn)行不適當(dāng)?shù)?、非常?yán)格的遵守，而不考慮項目活動的特殊需求。信息安全人員以身作則，以良好的適當(dāng)性和實際執(zhí)行力獲取整個組織對其行為的信任。評估信息安全及其管理過程受到執(zhí)行過程人員的不當(dāng)影響。過程提供了適當(dāng)?shù)闹坪?，例如：信息安全評估中適度的獨立性。應(yīng)對信息安全的消極態(tài)度，例如：嚴(yán)重依賴研發(fā)結(jié)束時的測試；應(yīng)對信息安全的積極態(tài)度，例如：沒有為在用車市場上潛在的弱點或事件做好準(zhǔn)備；在產(chǎn)品生命周期的最初階段就能發(fā)現(xiàn)和解決信息安全問題（設(shè)計中的信息安全）；或當(dāng)媒體對競爭對手的產(chǎn)品給與大量關(guān)注時，管理層才會做出反應(yīng)組織已準(zhǔn)備好對在用車市場上的漏洞和事件做出快速反應(yīng)信息安全所需的資源未進(jìn)行分配。信息安全所需的資源已分配。技術(shù)資源擁有與指定活動相對應(yīng)的能力?！叭后w思維”確認(rèn)偏差（即不加批判的接受或遵從主流觀點）。過程利用了多樣性優(yōu)勢：在所有過程中尋求、重視和整合知識多樣性；反對使用多樣性的行為是被阻止和懲罰的。存在相應(yīng)的溝通和決策渠道，并且管理層鼓勵使用：鼓勵自我披露；鼓勵任何人（內(nèi)部或外部）負(fù)責(zé)任的披露潛在的漏洞；在在用車市場、制造和開發(fā)其他產(chǎn)品中持續(xù)進(jìn)行發(fā)現(xiàn)和解決過程。組建審查小組時“暗中布局”（即選擇成員以確保預(yù)期結(jié)果），以防止可能出現(xiàn)的異議。排斥提出異議的人或?qū)①N上“沒有團(tuán)隊精神”的標(biāo)簽（例如：不合作、不妥協(xié)、有害的人）。提出異議會對績效評估產(chǎn)生負(fù)面影響。少數(shù)提出異議的人被視作或被貼上“麻煩制造者”，“沒有團(tuán)隊精神”或“內(nèi)部舉報者”（即煽動者、不受歡迎者或告密者）的標(biāo)簽。員工害怕因為表達(dá)擔(dān)憂而受到影響。沒有成體系的持續(xù)改進(jìn)過程、學(xué)習(xí)周期或者其他形式的經(jīng)驗總結(jié)。持續(xù)改進(jìn)是所有過程的必要條件。過程是臨時的或含蓄的。遵循明確的、可追蹤的和可控的過程。附錄 C（資料性附錄）信息安全接口協(xié)議模板示例目的本附件按照[RQ-07-04]模板還加入了其他信息，如聯(lián)系人、目標(biāo)里程碑、協(xié)作方法和工具等。示例模板本示例模板中的列項包括:階段：本文件的階段；工作成果：本文檔與分布式活動接口相關(guān)的工作成果物；c)參考章：在