ISO/SAE 21434について

サイバーセキュリティ管理

 1. 組織としての管理
サイバーセキュリティ開発活動を可能にするためには、まずは組織としての管理体制を構築する必要があることが第5節で示されている。必要な要素として挙げられているのはサイバーセキュリティガバナンスと、サイバーセキュリティ管理システム、継続的な改善が含まれたサイバーセキュリティ文化を確立維持することである。この要素には、組織固有のルールに対して独立して監査するプロセスも含まれている。
対象となる組織は自動車メーカーとサプライヤーが含まれている。

2. プロジェクト依存のサイバーセキュリティ管理
プロジェクトに依存するサイバーセキュリティ管理活動はプロジェクトのサイバーセキュリティ活動に関する責任の割り当て、プロジェクト計画に従いサイバーセキュリティ計画を策定すること、サイバーセキュリティ活動のテーラリング、既存アイテムを再利用する場合の再利用分析、コンテキスト外でのコンポーネント開発、既存のコンポーネントを統合する際の分析、サイバーセキュリティアセスメント、開発完了後のリリースがある。

継続的なサイバーセキュリティ活動

継続的なサイバーセキュリティ活動は、サイバーセキュリティの監視(関連するサイバーセキュリティ情報の収集と、サイバーセキュリティ情報のトリアージ)、サイバーセキュリティイベントの評価、脆弱性分析とその管理がある。監視では内外部のソースを入手し、そのソースがサイバーセキュリティイベントになるか判断し選別化する。サイバーセキュリティイベントのアセスメントは、その情報を基に脆弱性分析をClause.8のサイバーセキュリティリスクアセスメントの方法に則って実施し、その結果がアイテムやコンポーネントに影響を与えるかどうか判断する。特定された脆弱性はリスクが処理されるように管理する。

サイバーセキュリティ妥当性確認

車両レベルでのアイテムのサイバーセキュリティ検証のための活動でコンポーネントの統合が完了した後に実行される。検証の内容はサイバーセキュリティ目標とサイバーセキュリティコンセプトの検証とアイテムがサイバーセキュリティ目標を満足しているか、残留リスクが許容可能かである。ここで発見された脆弱性は第7節で管理され、また残留リスクが許容されない場合は第9節または第10節から活動を再実行する必要がある。