《ISO/SAE 21434: 2021 Road vehicles — Cybersecurity engineering 道路车辆网络安全工程》标准解读之(18)

6 Project dependent cybersecurity management 项目中必要的网络安全管理/6.4 Requirements and recommendations 要求和建议/6.4.1 Cybersecurity responsibilities 网络安全职责

6.4.1 Cybersecurity responsibilities 网络安全职责

[RQ-06-01] The responsibilities regarding the project’s cybersecurity activities shall be assigned and communicated in accordance with [RQ-05-03].
[RQ-06-01] 应根据[RQ-05-03]分配和沟通项目网络安全活动的相关职责。

NOTE Responsibilities for cybersecurity activities can be transferred provided that this is communicated and that the relevant information is made available.
注, 只要有进行沟通并保持相关信息,是可以转移网络安全活动职责的。

标准解析:

  1. 6.4.1只有一个要求[RQ-06-01],没有建议;
  2. [RQ-06-01]要求必须根据[RQ-05-03]对项目网络安全活动(如,6.4.2,6.4.3,6.4.4,6.4.5,6.4.6,6.4.7,6.4.8,6.4.9等)的职责进行分配和沟通;
  3. [RQ-05-03]要求是对整个组织的网络安全活动职责进行分配和沟通,因此项目网络安全活动的职责分配和沟通,也包含在其中;
  4. 不论是[RQ-06-01]要求,还是[RQ-05-03]要求,都是属于大的信息安全管理体系范畴,因此ISO/IEC 27001的”5.3 组织的角色、职责和权限“也涵盖了这些要求,只是在这里更详细,更具体了。

实施本条款应输出的文档

  1. 项目网络安全组织及其职责说明;
  2. 项目网络安全负责人任命书;
  3. 项目网络安全组织及其职责沟通记录。

本条款审核要点:

  1. 是否建立了项目网络安全组织,能否提供组织图,并有相关职责说明;
  2. 是否有任命项目网络安全负责人;
  3. 项目网络安全组织及相关职责是否在内部进行沟通,并提供相关沟通记录。