2024道路車輛信息安全工程

道路車輛信息安全工程PAGEPAGE39道路車輛信息安全工程范圍本文件規(guī)定了道路車輛中電子電氣(E/E)系統(tǒng)(包括其組件和接口)在概念、產(chǎn)品開(kāi)發(fā)、生產(chǎn)、運(yùn)行、維護(hù)和報(bào)廢階段的信息安全風(fēng)險(xiǎn)管理的工程要求。本文件定義了一個(gè)框架，其中包括信息安全過(guò)程要求以及溝通和管理信息安全風(fēng)險(xiǎn)的通用語(yǔ)言。本文件適用于在本文件發(fā)布后開(kāi)發(fā)或修改的批量生產(chǎn)的道路車輛E/E系統(tǒng)，包括其組件和接口。本文件未規(guī)定與信息安全有關(guān)的具體技術(shù)或解決方案。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T34590.3-2022，道路車輛功能安全第三部分：概念階段術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1架構(gòu)設(shè)計(jì)architecturaldesign可以識(shí)別組件、邊界、接口和交互的表示方法。3.2資產(chǎn)asset具有價(jià)值或?qū)r(jià)值做出貢獻(xiàn)的對(duì)象。注：資產(chǎn)具有一個(gè)或多個(gè)信息安全屬性，未達(dá)到要求時(shí)可能導(dǎo)致一個(gè)或多個(gè)危害場(chǎng)景。3.3攻擊可行性attackfeasibility攻擊路徑的屬性，描述成功執(zhí)行相應(yīng)攻擊活動(dòng)的難易度。3.4攻擊路徑attackpath為實(shí)現(xiàn)威脅場(chǎng)景的一組攻擊活動(dòng)。3.5攻擊者attacker執(zhí)行攻擊路徑的個(gè)人、團(tuán)體或組織。3.6審核audit對(duì)過(guò)程進(jìn)行檢查，以確定過(guò)程目標(biāo)的實(shí)現(xiàn)程度。3.7組件component邏輯上和技術(shù)上可分離的組成部分。3.8客戶customer接受服務(wù)或產(chǎn)品的個(gè)人或組織。3.9道路車輛信息安全cybersecurity使資產(chǎn)受到充分保護(hù)，免受道路車輛相關(guān)項(xiàng)、其功能及其電氣或電子組件的威脅場(chǎng)景的危害。注：為簡(jiǎn)潔起見(jiàn)，本文件使用"信息安全"一詞代替道路車輛信息安全。3.10信息安全評(píng)估cybersecurityassessment信息安全狀態(tài)的評(píng)價(jià)。3.11信息安全檔案cybersecuritycase有證據(jù)支持的結(jié)構(gòu)化論證，表明風(fēng)險(xiǎn)的合理性。3.12信息安全聲明cybersecurityclaim關(guān)于風(fēng)險(xiǎn)的信息安全索賠聲明。注：信息安全聲明可包括保留或分擔(dān)風(fēng)險(xiǎn)的理由。3.13信息安全概念cybersecurityconcept相關(guān)項(xiàng)的信息安全需求和對(duì)操作環(huán)境的要求以及有關(guān)信息安全控制的相關(guān)信息。3.14信息安全控制cybersecuritycontrol改變風(fēng)險(xiǎn)的措施。3.15信息安全事態(tài)cybersecurityevent與相關(guān)項(xiàng)或組件有關(guān)的信息安全信息。3.16信息安全目標(biāo)cybersecuritygoal與一個(gè)或多個(gè)威脅情景相關(guān)的概念級(jí)信息安全需求。3.17信息安全事件cybersecurityincident可能涉及漏洞利用的情況。3.18信息安全信息cybersecurityinformation與信息安全有關(guān)的信息,其相關(guān)性尚未確定。3.19信息安全接口協(xié)議cybersecurityinterfaceagreement客戶和供應(yīng)商之間關(guān)于分布式信息安全活動(dòng)的協(xié)議。3.20信息安全屬性cybersecurityproperty值得保護(hù)的屬性。注：屬性包括保密性、完整性和/或可用性。3.21信息安全規(guī)范cybersecurityspecification信息安全需求和相應(yīng)的架構(gòu)設(shè)計(jì)。3.22危害場(chǎng)景damagescenario涉及車輛或車輛功能并影響道路使用者的不良后果。3.23分布式信息安全活動(dòng)distributedcybersecurityactivities相關(guān)項(xiàng)或組件的信息安全活動(dòng)，其責(zé)任在客戶和供應(yīng)商之間分配。3.24影響impact對(duì)危害場(chǎng)景下的損害程度或物理傷害程度的估計(jì)。3.25相關(guān)項(xiàng)item在車輛層面實(shí)現(xiàn)一個(gè)功能的組件或組件集。注：如果一個(gè)系統(tǒng)在車輛層面實(shí)現(xiàn)了一個(gè)功能，它就可以成為一個(gè)相關(guān)項(xiàng)，否則就是一個(gè)組件。3.26操作環(huán)境operationalenvironment在操作使用中考慮到相互作用的環(huán)境。注：相關(guān)項(xiàng)或組件的操作使用，包括在車輛功能，生產(chǎn)，和/或服務(wù)和修理中的使用。3.27獨(dú)立于環(huán)境out-of-context未在特定相關(guān)項(xiàng)定義下的開(kāi)發(fā)。示例：基于假設(shè)信息安全需求的處理單元可集成到不同的相關(guān)項(xiàng)中。3.28滲透測(cè)試penetrationtesting模擬實(shí)際攻擊的信息安全測(cè)試，用以識(shí)別破壞信息安全目標(biāo)的方法。3.29風(fēng)險(xiǎn)risk信息安全風(fēng)險(xiǎn)，道路車輛信息安全不確定性的影響，可用攻擊可行性和影響表示。3.30風(fēng)險(xiǎn)管理riskmanagement指導(dǎo)和控制組織風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。3.31道路使用者roaduser參與道路交通活動(dòng)的人員。3.32裁剪tailor以與本文件描述不同的方式省略或執(zhí)行某項(xiàng)活動(dòng)。3.33威脅場(chǎng)景threatscenario為實(shí)現(xiàn)危害場(chǎng)景，一個(gè)或多個(gè)資產(chǎn)的信息安全屬性遭到破壞的潛在原因。3.34分類triage分析以確定信息安全信息與某一相關(guān)項(xiàng)或組件的相關(guān)性。3.35觸發(fā)器trigger用于分類的準(zhǔn)則。3.36確認(rèn)validation通過(guò)提供客觀證據(jù)以證明相關(guān)項(xiàng)的信息安全目標(biāo)是否充分并已實(shí)現(xiàn)。3.37驗(yàn)證verification通過(guò)提供客觀證據(jù)確認(rèn)是否滿足特定要求。3.38脆弱性或漏洞vulnerability能被利用的弱點(diǎn)，可作為攻擊路徑的一部分。3.39漏洞分析vulnerabilityanalysis系統(tǒng)地識(shí)別和評(píng)估漏洞。3.40弱點(diǎn)weakness可導(dǎo)致非預(yù)期行為的缺陷或特征。示例：如缺少需求或規(guī)范；架構(gòu)或設(shè)計(jì)缺陷、包括安全協(xié)議的不正確設(shè)計(jì)；實(shí)現(xiàn)的弱點(diǎn)，包括硬件和軟件的缺陷，安全協(xié)議的不正確的實(shí)現(xiàn)；操作過(guò)程或程序有缺陷，包括操作不當(dāng)和用戶培訓(xùn)不足；使用過(guò)時(shí)或棄用的功能，包括加密算法等?？s略語(yǔ)CAL： 信息安全保障等級(jí)（CybersecurityAssuranceLevel）CVSS：常見(jiàn)漏洞評(píng)分系統(tǒng)（CommonVulnerabilityScoringSystem）E/E： 電子電氣（ElectricalandElectronic）ECU： 電子控制單元（ElectronicControlUnit）OBD: 車載診斷（On-BoardDiagnostic）OEM： 原始設(shè)備制造商（OriginalEquipmentManufacturer）PM： 許可（Permission）RC： 建議（Recommendation）RQ： 要求（Requirement）WP： 工作成果（WorkProduct）RASIC：（Responsible,Accountable,SupportingInformedConsulted）TARA：威脅分析和風(fēng)險(xiǎn)評(píng)估（ThreatAnalysisandRiskAssessment）整體考慮（如制動(dòng)（即其組件（即不是原型車（如后端服務(wù)器本文件從單個(gè)相關(guān)項(xiàng)的角度來(lái)描述信息安全工程。本文件沒(méi)有規(guī)定如何進(jìn)行道路車輛E/E架構(gòu)中相關(guān)項(xiàng)功能的適當(dāng)分配。對(duì)于車輛整體而言，可以考慮構(gòu)建車輛E/E架構(gòu)或其信息安全相關(guān)的相關(guān)項(xiàng)和組1圖1整體信息安全風(fēng)險(xiǎn)管理圖2相關(guān)項(xiàng)、功能、組件和相關(guān)術(shù)語(yǔ)之間的關(guān)系第16（如新的攻擊技術(shù)持續(xù)地識(shí)別和管理道路車輛E/E系統(tǒng)的弱點(diǎn)和漏洞。組織的信息安全管理總則為了支持信息安全工程，組織還應(yīng)為信息安全建立管理體系，包括工具的管理和質(zhì)量管理體系的應(yīng)用。目標(biāo)本章的目標(biāo)是：定義信息安全方針和組織層面的信息安全規(guī)則和過(guò)程；分配執(zhí)行信息安全活動(dòng)所需的職責(zé)和相應(yīng)的權(quán)限；支持信息安全的實(shí)施，包括資源的提供和信息安全過(guò)程與其他相關(guān)過(guò)程之間相互作用的管理；管理信息安全風(fēng)險(xiǎn)；建立并維護(hù)信息安全文化，包括能力管理、意識(shí)管理和持續(xù)改進(jìn)；支持并管理信息安全信息的共享；建立并維護(hù)支撐信息安全維護(hù)的管理體系；提供證據(jù)證明使用的工具不會(huì)對(duì)信息安全產(chǎn)生不利的影響；執(zhí)行組織層面的信息安全審核。輸入無(wú)。先決條件無(wú)。更多支持信息可以考慮以下信息：-符合質(zhì)量管理標(biāo)準(zhǔn)的證據(jù)。例如：IATF16949與其他標(biāo)準(zhǔn)的聯(lián)合，如：ISO9001，AutomotiveSPICE,ISO/IEC330XX系列標(biāo)準(zhǔn),ISO/IEC/IEEE15288和ISO/IEC/IEEE12207。要求和建議信息安全治理[RQ-05-01]組織應(yīng)定義信息安全方針，包含：對(duì)道路車輛信息安全風(fēng)險(xiǎn)的確認(rèn)；最高管理層對(duì)相應(yīng)信息安全風(fēng)險(xiǎn)進(jìn)行管理的承諾。注1：信息安全方針可以與組織目標(biāo)及其他方針相關(guān)聯(lián)。注2：在考慮內(nèi)部和外部環(huán)境的情況下，信息安全方針可以包括一項(xiàng)聲明，說(shuō)明對(duì)組織的產(chǎn)品或服務(wù)組合的一般威脅場(chǎng)景的風(fēng)險(xiǎn)處理。[RQ-05-02]組織應(yīng)建立并維護(hù)組織層面的規(guī)則和過(guò)程，以滿足以下要求：能夠?qū)嵤┍疚募囊螅恢С窒鄳?yīng)活動(dòng)的執(zhí)行。示例1：如過(guò)程定義、技術(shù)規(guī)則、指南、方法和模板。注3：信息安全風(fēng)險(xiǎn)管理能包括活動(dòng)的付出-收益的考慮。注TARA信息安全事件響應(yīng)和觸發(fā)。注5：有關(guān)漏洞披露的規(guī)則和過(guò)程，例如信息共享的一部分，可以依據(jù)ISO29147定義。注6：圖3概述了總體的信息安全方針（見(jiàn)[RQ-05-01]）與具體組織的信息安全規(guī)則和過(guò)程（見(jiàn)[RQ-05-02]）、職責(zé)（見(jiàn)[RQ-05-03]）和資源（見(jiàn)[RQ-05-04]）之間的關(guān)系。圖3信息安全治理[RQ-05-03]組織應(yīng)分配實(shí)現(xiàn)與維護(hù)信息安全的職責(zé)，并給予相應(yīng)的組織權(quán)力。注7：這既關(guān)系到項(xiàng)目層面的活動(dòng)也關(guān)系到組織層面的活動(dòng)。[RQ-05-04]組織應(yīng)提供解決信息安全問(wèn)題所需的資源。注8：資源包括負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理、開(kāi)發(fā)、事件管理的人員。示例2：熟練的人員和合適的工具來(lái)完成信息安全活動(dòng)。[RQ-05-05a）確定是否要將信息安全融入到現(xiàn)有過(guò)程中，以及如何融合；b）協(xié)調(diào)相關(guān)信息的交換。注9：注10：學(xué)科包含信息技術(shù)安全、功能安全和隱私保護(hù)。示例3：跨學(xué)科的交換：信息安全文化[RQ-05-06]組織應(yīng)培養(yǎng)并維護(hù)強(qiáng)大的信息安全文化。注1：示例見(jiàn)附錄B。[RQ-05-07]組織應(yīng)確保被分配了信息安全角色和職責(zé)的人員具有履行這些角色和職責(zé)的能力和意識(shí)。注2：能力、意識(shí)和培訓(xùn)項(xiàng)目考慮以下范圍：-與信息安全相關(guān)的組織規(guī)則和過(guò)程，包括信息安全風(fēng)險(xiǎn)管理；-與信息安全學(xué)科相關(guān)的信息安全規(guī)則和過(guò)程，例如功能安全和隱私保護(hù)；-信息安全有關(guān)的方法、工具、指南；-已知的攻擊手段和信息安全控制。[RQ-05-08]組織應(yīng)建立并維護(hù)持續(xù)改進(jìn)過(guò)程。示例：持續(xù)改進(jìn)過(guò)程包括：-從以前的經(jīng)驗(yàn)中學(xué)習(xí)，包括通過(guò)信息安全監(jiān)測(cè)和內(nèi)外部信息安全相關(guān)信息觀察而收集的信息安全信息；-從領(lǐng)域中類似的應(yīng)用產(chǎn)品的信息安全信息中學(xué)習(xí)；-在后續(xù)的信息安全活動(dòng)中進(jìn)行改進(jìn)；-將信息安全經(jīng)驗(yàn)教訓(xùn)傳達(dá)給適當(dāng)?shù)娜藛T；-根據(jù)[RQ-05-02]檢查組織規(guī)則和過(guò)程的充分性。注3：持續(xù)改進(jìn)適用于本文件中的所有信息安全活動(dòng)。信息共享[RQ-05-09]組織應(yīng)界定在哪些情況下，要求、允許或者被禁止組織內(nèi)部和外部共享信息安全相關(guān)的信息。注：共享信息的情況可以基于：-為特定方提供的通訊類型；-漏洞披露程序（見(jiàn)5.4.1的注5）-面向接收方的處理高度敏感信息的要求[RC-05-10]組織應(yīng)根據(jù)[RQ-05-09]的規(guī)定，將共享數(shù)據(jù)的信息安全管理與其他各方保持一致。示例：公共、內(nèi)部、機(jī)密和第三方機(jī)密的安全分類級(jí)別的一致。管理體系[RQ-05-11]組織應(yīng)按國(guó)際標(biāo)準(zhǔn)或者同等標(biāo)準(zhǔn)建立和維護(hù)一個(gè)質(zhì)量管理體系來(lái)支撐信息安全工程，包含：示例1：IATF16949與ISO9001相結(jié)合。變更管理；注1：信息安全變更管理的范圍是管理相關(guān)項(xiàng)及其組件的變更，以便繼續(xù)滿足適用的信息安全目標(biāo)和要求。例如，根據(jù)生產(chǎn)控制計(jì)劃評(píng)審生產(chǎn)過(guò)程的變更，以防止此類變更引入新的漏洞。文檔管理；注2：一項(xiàng)工作成果可以被合并或映射到不同的文檔庫(kù)。配置管理；d)[RQ-05-12]用于維護(hù)該領(lǐng)域內(nèi)產(chǎn)品信息安全的配置信息應(yīng)保持可用，直至產(chǎn)品的網(wǎng)絡(luò)安全支持結(jié)束，以便能采取補(bǔ)救措施。注3：歸檔構(gòu)建環(huán)境有助于確保配置信息的后續(xù)使用。例2：物料清單、軟件配置。[RC-05-13]應(yīng)建立生產(chǎn)過(guò)程的信息安全管理體系，以便支持12章的活動(dòng)。例3：IEC624432-1。工具管理[RQ-05-14]應(yīng)管理能夠影響相關(guān)項(xiàng)或組件信息安全的工具。示例1：用于概念或產(chǎn)品開(kāi)發(fā)的工具，如：基于模型的開(kāi)發(fā)工具、靜態(tài)檢查工具、驗(yàn)證工具。示例2：用于生產(chǎn)的工具，如Flash寫(xiě)入、EOL測(cè)試工具。示例3：用于售后維修的工具，如OBD工具或者重新編程工具。注：這類管理可以通過(guò)以下方式確立：-用戶手冊(cè)及勘誤表的使用；-對(duì)非預(yù)期的使用和操作進(jìn)行防護(hù)；-對(duì)工具使用者進(jìn)行訪問(wèn)控制；-對(duì)工具進(jìn)行認(rèn)證。[RC-05-15]支持信息安全事件補(bǔ)救措施的合適環(huán)境應(yīng)該是可復(fù)現(xiàn)的，直至產(chǎn)品的信息安全支持結(jié)束。例4：用于復(fù)現(xiàn)和管理漏洞的測(cè)試、軟件構(gòu)建和開(kāi)發(fā)環(huán)境。例5：用于構(gòu)建產(chǎn)品軟件的工具鏈和編譯器。信息安全管理[RC-05-16]工作成果應(yīng)按照信息安全管理體系進(jìn)行管理。例：可以將工作成果存儲(chǔ)在文件服務(wù)器上，以防止未經(jīng)授權(quán)的變更或刪除。信息安全審核[RQ-05-17]應(yīng)獨(dú)立進(jìn)行信息安全審核以判斷組織的過(guò)程是否達(dá)到了本文件的目標(biāo)。注1：信息安全審核可以納入質(zhì)量管理體系標(biāo)準(zhǔn)的審核中，或者與之相結(jié)合。例如，IATF16949與ISO9001相結(jié)合。注2：獨(dú)立性可以基于，例如，GB/T34590系列標(biāo)準(zhǔn)。注3：執(zhí)行審核的人員可以來(lái)自組織內(nèi)部或者外部。注4：為了確保組織的過(guò)程始終適用于信息安全，審核可以周期性執(zhí)行。注5：圖7展示了組織的信息安全審核和其他信息安全活動(dòng)間的關(guān)系。工作成果[WP-05-01]6.4.16.4.3的要求。[WP-05-02]能力管理和意識(shí)管理的證據(jù)，依據(jù)[RQ-05-07]的要求；持續(xù)改進(jìn)的證據(jù)，依據(jù)[RQ-05-08]的要求。[WP-05-03]6.4.46.4.6的要求。[WP-05-04]6.4.5的要求。[WP-05-05]組織層面的信息安全審核報(bào)告，依據(jù)6.4.7的要求。項(xiàng)目相關(guān)的信息安全管理總則本章描述了有關(guān)特定項(xiàng)目的信息安全開(kāi)發(fā)活動(dòng)的管理要求。-復(fù)用；-獨(dú)立于環(huán)境的組件；-使用現(xiàn)成組件；-更新。無(wú)論相關(guān)項(xiàng)、組件或其操作環(huán)境是否發(fā)生變更，相關(guān)項(xiàng)和組件的復(fù)用是可以應(yīng)用的開(kāi)發(fā)策略。但是，變更可能會(huì)引入原始相關(guān)項(xiàng)或組件尚未考慮的漏洞。此外，已知攻擊可能發(fā)生了變化，例如：攻擊技術(shù)的發(fā)展；新出現(xiàn)的漏洞，例如從信息安全監(jiān)測(cè)或信息安全事件評(píng)估中得知的漏洞；自初始開(kāi)發(fā)以來(lái)資產(chǎn)的變化。如果原始相關(guān)項(xiàng)或組件是根據(jù)本文件開(kāi)發(fā)的，則可基于現(xiàn)有的工作成果復(fù)用該相關(guān)項(xiàng)或組件。如果相關(guān)項(xiàng)或組件最初不是根據(jù)本文件開(kāi)發(fā)的，則可以基于現(xiàn)有文件復(fù)用，并說(shuō)明理由。按照本文件，現(xiàn)成的組件和獨(dú)立于環(huán)境開(kāi)發(fā)的組件可以被集成到一個(gè)相關(guān)項(xiàng)或組件中（4）。7.4.4圖4現(xiàn)成和獨(dú)立于環(huán)境的組件的集成信息安全檔案是信息安全評(píng)估和后開(kāi)發(fā)階段發(fā)布的輸入。注：后開(kāi)發(fā)階段通常包括生產(chǎn)、運(yùn)維、報(bào)廢階段。信息安全評(píng)估可獨(dú)立判斷一個(gè)相關(guān)項(xiàng)或組件的信息安全，是決策后開(kāi)發(fā)階段發(fā)布的輸入。目標(biāo)本章的目標(biāo)是：分配項(xiàng)目的信息安全活動(dòng)職責(zé)；規(guī)劃信息安全活動(dòng)，包括定義裁剪的信息安全活動(dòng)；c）創(chuàng)建一個(gè)信息安全檔案；執(zhí)行信息安全評(píng)估，如果適用；從信息安全的角度決定是否發(fā)布相關(guān)項(xiàng)或組件以用于后開(kāi)發(fā)階段。輸入先決條件無(wú)。更多支持信息可以考慮以下信息：-組織的信息安全審核報(bào)告[WP-05-03]；-項(xiàng)目計(jì)劃。要求和建議信息安全職責(zé)及其分配[RQ-06-01]與項(xiàng)目信息安全活動(dòng)有關(guān)的職責(zé)應(yīng)根據(jù)[RQ-05-03]進(jìn)行溝通和分配。注：信息安全活動(dòng)的責(zé)任可以轉(zhuǎn)移，前提是要進(jìn)行交流并移交相關(guān)信息。信息安全計(jì)劃[RQ-06-02]為了決定相關(guān)項(xiàng)或組件的信息安全活動(dòng)，應(yīng)分析相關(guān)項(xiàng)或組件以確定：該模塊或組件是否與信息安全相關(guān)；注1：附錄D提供了可用于評(píng)估信息安全相關(guān)性的方法和標(biāo)準(zhǔn)。注2：如果確定該相關(guān)項(xiàng)或組件與信息安全無(wú)關(guān)，則沒(méi)有相關(guān)的信息安全活動(dòng)，因此不會(huì)啟動(dòng)信息安全計(jì)劃。b)如果該相關(guān)項(xiàng)或組件與信息安全有關(guān)，該相關(guān)項(xiàng)或部件是新開(kāi)發(fā)還是復(fù)用；c)7.4.3進(jìn)行裁剪。[RQ-06-03]信息安全計(jì)劃應(yīng)包括：a)活動(dòng)的目標(biāo)；b)對(duì)其他活動(dòng)或信息的依賴；c)負(fù)責(zé)執(zhí)行活動(dòng)的人員；執(zhí)行活動(dòng)所需的資源；開(kāi)始節(jié)點(diǎn)或終止節(jié)點(diǎn)以及預(yù)期持續(xù)時(shí)間；f)工作成果的標(biāo)識(shí)。[RQ-06-04]應(yīng)根據(jù)[RQ-05-03]和[RQ-05-04]分配開(kāi)發(fā)和維護(hù)信息安全計(jì)劃以及根據(jù)信息安全計(jì)劃跟蹤信息安全活動(dòng)進(jìn)度的職責(zé)。[RQ-06-05]信息安全計(jì)劃應(yīng)：a）在開(kāi)發(fā)項(xiàng)目計(jì)劃中提及；包括在項(xiàng)目計(jì)劃中，以使信息安全活動(dòng)具有可區(qū)分性。注3：信息安全計(jì)劃可以在配置管理下包含與其他計(jì)劃（如項(xiàng)目計(jì)劃）的交叉引用（見(jiàn)[RQ-06-09]）。[RQ-06-06]9101115[RQ-06-07]當(dāng)進(jìn)行的活動(dòng)確定要發(fā)生更改或細(xì)化時(shí)，應(yīng)更新信息安全計(jì)劃。注4：信息安全計(jì)劃可以在開(kāi)發(fā)過(guò)程中逐步完善。例如，信息安全計(jì)劃可以根據(jù)信息安全活動(dòng)的結(jié)果進(jìn)行更新，如TARA（見(jiàn)第16章）。[PM-06-08]16.8110.51112章的符合性。注5：威脅情況可能會(huì)對(duì)信息安全產(chǎn)生影響，如果產(chǎn)生影響，則對(duì)相應(yīng)的風(fēng)險(xiǎn)進(jìn)行處理。注6：可以根據(jù)信息安全檔案中定義的基本原理來(lái)論證對(duì)此類風(fēng)險(xiǎn)的處理是否充分，基本原理可以基于質(zhì)量管理標(biāo)準(zhǔn)的符合性，如IATF16949與ISO9001相結(jié)合，并結(jié)合其他措施，例如：—信息安全意識(shí)保證；—質(zhì)量人員的信息安全培訓(xùn)；—組織的質(zhì)量管理體系中規(guī)定的信息安全具體措施。[RQ-06-09]信息安全計(jì)劃中確定的工作成果應(yīng)在后開(kāi)發(fā)階段發(fā)布之前和發(fā)布時(shí)進(jìn)行更新并保持準(zhǔn)確性。[RQ-06-10]對(duì)于分布式信息安全活動(dòng)，客戶和供應(yīng)商均應(yīng)根據(jù)第16章為其各自的信息安全活動(dòng)和接口定義信息安全計(jì)劃。[RQ-06-11]信息安全計(jì)劃應(yīng)按照6.4.4的規(guī)定，接收配置管理和文件管理。[RQ-06-12]按照6.4.6的規(guī)定，信息安全計(jì)劃中確定的工作成果，應(yīng)接受配置管理、變更管理、需求管理和文件管理。裁剪[PM-06-13]信息安全活動(dòng)可以被裁剪。[RQ-06-14]注：因供應(yīng)鏈中的另一實(shí)體執(zhí)行而未執(zhí)行的活動(dòng)不被視為裁剪，被視為分布式信息安全活動(dòng)。然而，信息安全活動(dòng)的分布可以導(dǎo)致聯(lián)合裁剪。[RQ-06-15]如果一個(gè)相關(guān)項(xiàng)或組件完成開(kāi)發(fā)，應(yīng)開(kāi)展復(fù)用分析：a)計(jì)劃進(jìn)行變更；b)計(jì)劃在另一個(gè)操作環(huán)境中復(fù)用；示例1：由于在新的操作環(huán)境中安裝了現(xiàn)有的相關(guān)項(xiàng)或組件，或者由于與之交互的其他相關(guān)項(xiàng)或組件的升級(jí)而使環(huán)境發(fā)生了變更（見(jiàn)圖5），A可作為復(fù)用分析的結(jié)果而改變。圖5復(fù)用分析示例c）計(jì)劃在不變更的情況下復(fù)用，并且有關(guān)模塊或組件的信息也有相應(yīng)的變化，示例2已知攻擊和漏洞的變化，或威脅場(chǎng)景的變化。注1：在確定是否復(fù)用時(shí)，需考慮現(xiàn)有的工作成果；注2：變更可以包括設(shè)計(jì)變更和/或?qū)嵤┳兏?設(shè)計(jì)變更可以來(lái)自需求變更，例如，功能或性能增強(qiáng)。-軟件修正或使用新的生產(chǎn)或維護(hù)工具（例如，基于模型的開(kāi)發(fā)），可能會(huì)導(dǎo)致實(shí)施變更。注3：配置數(shù)據(jù)或校準(zhǔn)數(shù)據(jù)的變更，如果影響現(xiàn)有相關(guān)項(xiàng)或組件的功能行為和資產(chǎn)或信息安全屬性，則視為發(fā)生變更。[RQ-06-16]相關(guān)項(xiàng)或組件的復(fù)用分析應(yīng)：識(shí)別相關(guān)項(xiàng)或組件的變更和操作環(huán)境的變更；分析變更后的信息安全影響，包括對(duì)信息安全聲明和先前假設(shè)的有效性的影響；示例3：對(duì)信息安全需求、設(shè)計(jì)和實(shí)施、操作環(huán)境、假設(shè)和操作模式的有效性、維護(hù)、對(duì)已知攻擊的敏感性和已知漏洞或資產(chǎn)的暴露的影響。識(shí)別受影響或缺少的工作成果；示例4：TARA考慮新的或變更的資產(chǎn)、威脅場(chǎng)景或風(fēng)險(xiǎn)值。在信息安全計(jì)劃中指定符合本文件所需的信息安全活動(dòng)。注4：可能產(chǎn)生裁剪。[RQ-06-17]組件的復(fù)用分析應(yīng)評(píng)估：該組件能夠滿足其要集成的相關(guān)項(xiàng)或組件所分配的信息安全要求；b）現(xiàn)有文檔是否足以支持該組件集成到一個(gè)相關(guān)項(xiàng)或另一個(gè)組件中。獨(dú)立于環(huán)境的組件[RQ-06-18]應(yīng)在相應(yīng)的工作成果中記錄獨(dú)立于環(huán)境開(kāi)發(fā)的組件對(duì)預(yù)期用途和環(huán)境的假設(shè)，包括外部接口。[RQ-06-19]對(duì)于獨(dú)立于環(huán)境的組件的開(kāi)發(fā)，信息安全需求應(yīng)基于[RQ-06-18]的假設(shè)。[RQ-06-20]對(duì)于獨(dú)立于環(huán)境開(kāi)發(fā)的組件的集成，應(yīng)驗(yàn)證[RQ-06-18]的信息安全聲明和假設(shè)?，F(xiàn)成組件[RQ-06-21]當(dāng)集成現(xiàn)成組件時(shí)，應(yīng)收集和分析與信息安全相關(guān)的文件，以確定：a）滿足分配的信息安全需求；適合于預(yù)期用途的特定應(yīng)用環(huán)境；現(xiàn)有的證明文件是否足以支持信息安全活動(dòng)。[RQ-06-22]如果現(xiàn)有的證明文件不足以支持現(xiàn)成組件的集成，那么應(yīng)識(shí)別并執(zhí)行符合本文件的信息安全活動(dòng)。示例：有關(guān)漏洞的文件不充分。注：這可能意味著裁剪。信息安全檔案[RQ-06-23]應(yīng)創(chuàng)建一個(gè)信息安全檔案，為相關(guān)項(xiàng)或組件的信息安全提供論據(jù)，并有工作成果加以支持。（注3：信息安全檔案需考慮后開(kāi)發(fā)的信息安全需求[WP-10-02]。信息安全評(píng)估[RQ-06-24]應(yīng)采用基于風(fēng)險(xiǎn)的基本原理決定是否對(duì)相關(guān)項(xiàng)或組件進(jìn)行信息安全評(píng)估。注1：基本原理可基于：TARA分析結(jié)果；待開(kāi)發(fā)相關(guān)項(xiàng)或組件的復(fù)雜性；組織規(guī)則和過(guò)程所規(guī)定的標(biāo)準(zhǔn)；注2：如果不進(jìn)行信息安全評(píng)估，可將基本原理記錄在信息安全檔案中。[RQ-06-25][RQ-06-24]的基本原理應(yīng)獨(dú)立評(píng)審。注3：獨(dú)立方案可基于GB/T34590系列標(biāo)準(zhǔn)。[RQ-06-26]信息安全評(píng)估應(yīng)判斷相關(guān)項(xiàng)或組件的信息安全。注4：現(xiàn)有證據(jù)由信息安全活動(dòng)的記錄結(jié)果提供，如工作成果（見(jiàn)附錄A）。注5：圖6說(shuō)明了組織信息安全審核、項(xiàng)目級(jí)信息安全評(píng)估和其他信息安全活動(dòng)之間的關(guān)系。圖6與其他信息安全活動(dòng)有關(guān)的信息安全評(píng)估注6：信息安全評(píng)估可以逐步進(jìn)行，以盡早解決已發(fā)現(xiàn)的問(wèn)題。[RQ-06-27]應(yīng)根據(jù)[RQ-06-01]，任命負(fù)責(zé)計(jì)劃和獨(dú)立進(jìn)行信息安全評(píng)估的人員。注8：獨(dú)立方案可基于GB/T34590系列標(biāo)準(zhǔn)。例：來(lái)自于組織內(nèi)不同團(tuán)隊(duì)或部門的人員，如質(zhì)量保證部門，來(lái)自獨(dú)立組織的人員。[RQ-06-28]進(jìn)行信息安全評(píng)估的人員應(yīng)：a)有權(quán)獲得相關(guān)信息和工具；b)獲得執(zhí)行信息安全活動(dòng)的人員的合作。[PM-06-29]可基于對(duì)是否達(dá)到本文件目標(biāo)的判斷進(jìn)行信息安全評(píng)估。[RQ-06-30]信息安全評(píng)估的范圍應(yīng)包括：a信息安全計(jì)劃和信息安全計(jì)劃要求的所有工作成果；b)對(duì)信息安全風(fēng)險(xiǎn)的處理；c項(xiàng)目實(shí)施的信息安全控制和信息安全活動(dòng)的適當(dāng)性和有效性；注9：合理性和有效性可以通過(guò)使用先前為驗(yàn)證目的而進(jìn)行的評(píng)審來(lái)判斷。證明已達(dá)到本文件目標(biāo)的基本原理（如果提供）；注10：考慮到[PM-06-13]，工作成果的創(chuàng)建負(fù)責(zé)人可以提供一個(gè)基本原理，解釋為什么要實(shí)現(xiàn)本文件的相應(yīng)目標(biāo)以促進(jìn)信息安全評(píng)估。注11：符合所有相應(yīng)要求是實(shí)現(xiàn)本文件目的的充分基本原理。[RQ-06-31]信息安全評(píng)估報(bào)告應(yīng)包括接受，帶條件接受或拒絕該相關(guān)項(xiàng)或組件的信息安全建議。注12：評(píng)估報(bào)告也可以包括持續(xù)改進(jìn)建議。[RQ-06-32]如果提出了根據(jù)[PM-06-31]的帶條件接受建議，則信息安全評(píng)估報(bào)告應(yīng)包括接受條件。后開(kāi)發(fā)的發(fā)布[RQ-06-33]下列工作成果應(yīng)在后開(kāi)發(fā)階段的發(fā)布之前可用：-信息安全檔案[WP-06-02]；-如果適用，信息安全評(píng)估報(bào)告[WP-06-03]；-后開(kāi)發(fā)階段的信息安全需求[WP-10-02]。[RQ-06-34]相關(guān)項(xiàng)或組件在后開(kāi)發(fā)的發(fā)布應(yīng)滿足以下條件：a）信息安全檔案提供了充分的證據(jù)證明信息安全；b）通過(guò)信息安全評(píng)估確認(rèn)信息安全檔案，如果適用；b）后開(kāi)發(fā)階段的信息安全需求被接受。工作成果[WP-06-01]根據(jù)7.4.1至7.4.6的要求制定的信息安全計(jì)劃。[WP-06-02]根據(jù)7.4.7的要求制定的信息安全檔案。[WP-06-03]根據(jù)7.4.8的要求得出的信息安全評(píng)估報(bào)告（如適用）。[WP-06-04]根據(jù)7.4.9的要求得出的用于后開(kāi)發(fā)階段的發(fā)布報(bào)告。分布式信息安全活動(dòng)總則在分布式信息安全活動(dòng)中開(kāi)發(fā)的相關(guān)項(xiàng)和組件；客戶-供應(yīng)商間的交互；客戶-供應(yīng)商接口協(xié)議適用的所有階段。內(nèi)部供應(yīng)商和外部供應(yīng)商可以采用同樣的方式進(jìn)行管理。示例1OEM27中進(jìn)行了說(shuō)明。圖7供應(yīng)鏈中客戶/供應(yīng)商關(guān)系的用例目標(biāo)本章的目標(biāo)是定義客戶和供應(yīng)商在信息安全活動(dòng)中的交互、依賴和職責(zé)。輸入無(wú)。要求和建議供應(yīng)商的能力[RQ-07-01]應(yīng)按本文評(píng)價(jià)潛在供應(yīng)商在開(kāi)發(fā)（如果適用）以及后開(kāi)發(fā)活動(dòng)方面的能力。[RC-07-02]供應(yīng)商應(yīng)提供信息安全能力記錄，來(lái)支持客戶對(duì)供應(yīng)商能力的評(píng)價(jià)。注2：信息安全能力記錄包含：-組織關(guān)于信息安全能力的證據(jù)（例如：在開(kāi)發(fā)、后開(kāi)發(fā)、治理、質(zhì)量和傳統(tǒng)信息安全等方面的信息安全最佳實(shí)踐）；-開(kāi)展可持續(xù)的信息安全活動(dòng)（見(jiàn)第9章）和信息安全事件響應(yīng)（見(jiàn)第14章）的證據(jù)；-以往信息安全評(píng)估報(bào)告的總結(jié)。詢價(jià)[RQ-07-03]客戶向潛在供應(yīng)商發(fā)出的報(bào)價(jià)請(qǐng)求應(yīng)包含：符合本文件的正式要求；7.4.3中對(duì)供應(yīng)商履行信息安全職責(zé)的預(yù)期；與供應(yīng)商報(bào)價(jià)的相關(guān)項(xiàng)或組件有關(guān)的信息安全目標(biāo)或信息安全需求集。例：關(guān)于消息認(rèn)證的信息安全需求。職責(zé)的協(xié)調(diào)[RQ-07-04]客戶和供應(yīng)商應(yīng)在信息安全接口協(xié)議中規(guī)定分布式信息安全活動(dòng)，包含：任命信息安全相關(guān)的的客戶和供應(yīng)商的聯(lián)絡(luò)人；識(shí)別需要由客戶和供應(yīng)商各自實(shí)施的信息安全活動(dòng)；1：客戶執(zhí)行整車層面的信息安全確認(rèn)。例2：后開(kāi)發(fā)階段的信息安全活動(dòng)的分布。例3：供應(yīng)商、客戶或者第三方可以就供應(yīng)商開(kāi)發(fā)的組件或工作成果進(jìn)行信息安全評(píng)估。c)如果適用，按照6.4.3共同對(duì)信息安全活動(dòng)進(jìn)行裁剪；應(yīng)共享信息和工作成果；注1：共享的信息可以包含：-分發(fā)、評(píng)審和發(fā)生信息安全問(wèn)題時(shí)的反饋機(jī)制；-信息共享策略；-漏洞和其他信息安全相關(guān)發(fā)現(xiàn)的信息交換流程，例如，關(guān)于風(fēng)險(xiǎn)；-接口相關(guān)的過(guò)程、方法和工具，用來(lái)確?？蛻艉凸?yīng)商對(duì)接的兼容性，例如對(duì)于數(shù)據(jù)的恰當(dāng)處理和對(duì)傳輸數(shù)據(jù)的通訊網(wǎng)絡(luò)的安全防護(hù)；-角色的定義；-溝通和記錄相關(guān)項(xiàng)或組件變更的方法，包含TARA潛在重復(fù)使用；-需求管理工具的統(tǒng)一；-信息安全評(píng)估的結(jié)果。分布式信息安全活動(dòng)的里程碑；相關(guān)項(xiàng)或組件的信息安全支持終止的定義。[RC-07-05]信息安全接口協(xié)議應(yīng)在客戶和供應(yīng)商開(kāi)始分布式活動(dòng)前共同商定。[RQ-07-06]如果根據(jù)[RQ-08-07][RQ-07-07][RC-07-08]在職責(zé)分配矩陣中規(guī)定職責(zé)。注2：可以使用RASIC表，參見(jiàn)附錄C。工作成果[WP-07-01]由8.4.3的要求產(chǎn)生的信息安全接口協(xié)議。持續(xù)的信息安全活動(dòng)總則持續(xù)的信息安全活動(dòng)可以在全生命周期的每一個(gè)階段進(jìn)行，也可以在項(xiàng)目之外進(jìn)行。信息安全監(jiān)測(cè)收集信息安全情報(bào)并根據(jù)已定義的觸發(fā)器進(jìn)行分類。信息安全事態(tài)評(píng)估幫助確定信息安全事件是否展現(xiàn)了相關(guān)項(xiàng)和組件的脆弱性。漏洞分析檢查弱點(diǎn)，并評(píng)估該弱點(diǎn)是否可被用于發(fā)動(dòng)攻擊。漏洞管理跟蹤并監(jiān)督相關(guān)項(xiàng)和組件中的漏洞處理，直至信息安全支持結(jié)束。目的本章節(jié)的目的包括：監(jiān)控信息安全情報(bào)從而識(shí)別信息安全事態(tài)；評(píng)估信息安全事態(tài)從而識(shí)別弱點(diǎn)；識(shí)別來(lái)自脆弱性的漏洞；管理已識(shí)別的漏洞。信息安全監(jiān)測(cè)輸入先決條件應(yīng)提供以下信息：在[WP-05-01]中用于開(kāi)發(fā)觸發(fā)器的規(guī)則和過(guò)程。附加支持資料可以考慮以下信息：-相關(guān)項(xiàng)定義[WP-09-01]；-信息安全聲明[WP-09-04]；-信息安全規(guī)范[WP-10-01]；-威脅場(chǎng)景[WP-15-03]；-過(guò)去的漏洞分析結(jié)果[WP-08-05]；-現(xiàn)場(chǎng)收集的信息；示例：漏洞掃描報(bào)告、修復(fù)信息、顧客使用信息。要求和建議[RQ-08-01]應(yīng)選擇信息安全情報(bào)收集的來(lái)源。注1:可以選擇外部和/或內(nèi)部的來(lái)源；注2:內(nèi)部來(lái)源可以包括列在9.3.1.2的來(lái)源；注3:外部來(lái)源可以包括：-信息安全研究員；-商業(yè)或非商業(yè)的來(lái)源；-組織的供應(yīng)鏈；-組織的客戶；-政府來(lái)源。示例：最先進(jìn)的攻擊方法的來(lái)源。[RQ-08-02]應(yīng)該定義和維護(hù)觸發(fā)器，以便進(jìn)行信息安全情報(bào)分類。注4:觸發(fā)器可以包括關(guān)鍵字、配置信息的參考文件、組件或供應(yīng)商的名稱。[RQ-08-03]應(yīng)收集和分類信息安全情報(bào)，并確定是否成為一個(gè)或多個(gè)信息安全事態(tài)。工作成果[WP-08-01]來(lái)自[RQ-08-01]的信息安全情報(bào)來(lái)源。[WP-08-01]來(lái)自[RQ-08-02]的觸發(fā)器。[WP-08-03]來(lái)自[RQ-08-03]的信息安全事態(tài)。信息安全事態(tài)評(píng)估輸入先決條件應(yīng)提供以下信息：-信息安全事態(tài)[WP-08-03];-（如有）后開(kāi)發(fā)階段的信息安全需求；-對(duì)應(yīng)[RQ-05-12]的配置信息。附加支持資料可以考慮以下信息：-相關(guān)項(xiàng)定義[WP-09-01]；-信息安全規(guī)范[WP-10-01]；-過(guò)去的漏洞分析結(jié)果[WP-08-05]；要求和建議[RQ-08-04]應(yīng)評(píng)估信息安全事態(tài)，以識(shí)別相關(guān)項(xiàng)和/或組件中的弱點(diǎn)。注1：此活動(dòng)可與[RQ-08-03]中的觸發(fā)器相結(jié)合使用；注2：如果存在弱點(diǎn)并且有對(duì)應(yīng)的補(bǔ)救措施（例如，供應(yīng)商為組件中的漏洞提供了修補(bǔ)程序），則組織可以將該補(bǔ)救措施作為無(wú)需任何其他活動(dòng)的漏洞來(lái)處理。注3:可根據(jù)此評(píng)估結(jié)果更新威脅場(chǎng)景[WP-15-03]。工作成果[WP-08-04]由[RQ-08-04]產(chǎn)生的信息安全事態(tài)的弱點(diǎn)。漏洞分析輸入先決條件應(yīng)提供以下信息：-相關(guān)項(xiàng)定義[WP-09-01]或信息安全規(guī)范[WP-10-01]；注：如果對(duì)相關(guān)項(xiàng)進(jìn)行漏洞分析，則使用相關(guān)項(xiàng)的定義;如果對(duì)組件進(jìn)行漏洞分析，則使用信息安全規(guī)范。附加支持資料可以考慮以下信息：—[WP-08-04]信息安全事態(tài)中的弱點(diǎn)?！a(chǎn)品開(kāi)發(fā)[WP-10-05]過(guò)程中發(fā)現(xiàn)的弱點(diǎn)?！^(guò)去的漏洞分析結(jié)果[WP-08-05]；—攻擊路徑[WP-15-05];—驗(yàn)證報(bào)告[WP-10-04]和[WP-10-07]；—以往的信息安全事件。要求和建議[RQ-08-05]應(yīng)分析弱點(diǎn)以識(shí)別漏洞。注1：該分析可包括：—架構(gòu)分析；—根據(jù)16.6進(jìn)行的攻擊路徑分析—根據(jù)16.7進(jìn)行的攻擊可行性定級(jí)2：1:攻擊路徑分析顯示不存在攻擊路徑，則該弱點(diǎn)不被視為漏洞。2:利用弱點(diǎn)的攻擊可行性評(píng)級(jí)非常低，則該弱點(diǎn)不被視為漏洞。[RQ-08-06]如果弱點(diǎn)未被確定為漏洞，應(yīng)提供理由。工作成果[WP-08-05]由[RQ-08-05]和[RQ-08-06]產(chǎn)生的漏洞分析結(jié)果。漏洞管理輸入先決條件應(yīng)提供以下信息：-漏洞分析結(jié)果[WP-08-05]；注：如果對(duì)相關(guān)項(xiàng)執(zhí)行脆弱性分析，則使用相關(guān)項(xiàng)的定義;如果對(duì)組件執(zhí)行脆弱性分析，則使用網(wǎng)絡(luò)安全規(guī)范。附加支持資料無(wú)。要求和建議[RQ-08-07]應(yīng)對(duì)漏洞進(jìn)行管理，以便針對(duì)每個(gè)漏洞開(kāi)展以下工作：16.9進(jìn)行評(píng)估和處理，以便消除不合理的風(fēng)險(xiǎn)；TARA的補(bǔ)救措施來(lái)消除漏洞，如開(kāi)源軟件的補(bǔ)丁。注1:如果漏洞管理導(dǎo)致相關(guān)項(xiàng)和組件變更，則根據(jù)[RQ-05-11]進(jìn)行變更管理。2:（例如攻擊路徑信息的分享他相關(guān)方。[RQ-08-08]如果根據(jù)16.9的風(fēng)險(xiǎn)處置決策需要進(jìn)行信息安全事件響應(yīng)，則應(yīng)參照14.3。注3:信息安全事件響應(yīng)流程可以獨(dú)立于TARA。工作成果[WP-08-06]由[RQ-08-07]產(chǎn)生的漏洞管理證據(jù)。概念階段總則16章（H，圖H.1）的方法完成信息安全風(fēng)險(xiǎn)評(píng)估。此外，10.4規(guī)定了信息安全聲明，用于解釋風(fēng)險(xiǎn)保留和分擔(dān)的充分性。信息安全概念由信息安全需求和對(duì)操作環(huán)境的要求組成，基于信息安全目標(biāo)以及相關(guān)項(xiàng)而形成。目的本章節(jié)的目的是：定義相關(guān)項(xiàng)、操作環(huán)境和在信息安全上下文中的相互影響；明確信息安全目標(biāo)和信息安全聲明；明確實(shí)現(xiàn)信息安全目標(biāo)的信息安全概念。相關(guān)項(xiàng)定義輸入先決條件無(wú)。進(jìn)一步的支持信息考慮信息如下：-有關(guān)該相關(guān)項(xiàng)和操作環(huán)境的現(xiàn)有信息：例：車內(nèi)E/E系統(tǒng)結(jié)構(gòu)，包括車內(nèi)網(wǎng)絡(luò)，車外網(wǎng)絡(luò)，參考模型和前期開(kāi)發(fā)文檔。要求和建議[RQ-09-01]在相關(guān)項(xiàng)中應(yīng)確定以下信息：a)相關(guān)項(xiàng)邊界；/系統(tǒng)的接口。相關(guān)項(xiàng)功能；2：相關(guān)項(xiàng)功能描述了相關(guān)項(xiàng)在生命周期各階段[如產(chǎn)品研發(fā)（測(cè)試）包括相關(guān)項(xiàng)實(shí)現(xiàn)的車輛功能。初步架構(gòu)：注3：初步架構(gòu)的描述包括識(shí)別相關(guān)項(xiàng)的組成部分及其連接，以及相關(guān)項(xiàng)的外部接口。4：GB/T34590安全系列標(biāo)準(zhǔn)。注5：考慮限制因素和使用的信息安全標(biāo)準(zhǔn)。注6：開(kāi)發(fā)一個(gè)獨(dú)立于環(huán)境的組件可以基于對(duì)一個(gè)假定的（通用）相關(guān)項(xiàng)的定義和對(duì)該相關(guān)項(xiàng)內(nèi)組件功能的描述。[RQ-09-02]應(yīng)描述與信息安全有關(guān)的相關(guān)項(xiàng)的操作環(huán)境信息。注7：通過(guò)描述操作環(huán)境及其與相關(guān)項(xiàng)之間的交互，可以識(shí)別或分析相關(guān)的威脅情景和攻擊路徑。注8：相關(guān)信息包括假設(shè)，如假設(shè)該相關(guān)項(xiàng)所依賴的每個(gè)公鑰基礎(chǔ)設(shè)施證書(shū)機(jī)構(gòu)都得到了適當(dāng)?shù)墓芾怼９ぷ鞒晒鸞WP-09-01]相關(guān)項(xiàng)定義，由10.3.2的要求得出。信息安全目標(biāo)輸入先決條件應(yīng)提供以下信息：-相關(guān)項(xiàng)定義[WP-09-01]。進(jìn)一步的支持信息可考慮以下信息：-信息安全事態(tài)[WP-08-03]。要求和建議[RQ-09-03]應(yīng)根據(jù)相關(guān)項(xiàng)定義進(jìn)行分析，其中包括：16.3的規(guī)定進(jìn)行資產(chǎn)識(shí)別；16.4的規(guī)定進(jìn)行威脅場(chǎng)景識(shí)別；16.5的規(guī)定，影響評(píng)級(jí)；16.6的規(guī)定，進(jìn)行攻擊路徑分析；16.7的規(guī)定，對(duì)攻擊可行性進(jìn)行評(píng)級(jí)；16.8的規(guī)定，確定風(fēng)險(xiǎn)值；注1：如果相關(guān)項(xiàng)定義沒(méi)有為分析提供足夠的信息，可以假設(shè)這些信息。[RQ-09-04]根據(jù)[RQ-09-03]的結(jié)果，應(yīng)按照15.9的規(guī)定為每種威脅場(chǎng)景確定風(fēng)險(xiǎn)處理方案。注2：通過(guò)消除風(fēng)險(xiǎn)源來(lái)避免風(fēng)險(xiǎn)，可能導(dǎo)致按照變更管理對(duì)該相關(guān)項(xiàng)進(jìn)行變更。[RQ-09-05]如果一個(gè)威脅場(chǎng)景的風(fēng)險(xiǎn)處置決策包括減少風(fēng)險(xiǎn)，那么應(yīng)指定一個(gè)或多個(gè)相應(yīng)的信息安全目標(biāo)。注3：信息安全目標(biāo)是保護(hù)資產(chǎn)免受威脅場(chǎng)景的要求。注4：如果適用，可以為信息安全目標(biāo)確認(rèn)一個(gè)CAL（見(jiàn)附錄E）。注5：可以為相關(guān)項(xiàng)的任何生命周期階段指定信息安全目標(biāo)。[RQ-09-06]如果一個(gè)威脅場(chǎng)景的風(fēng)險(xiǎn)處置決策包括：a）分擔(dān)風(fēng)險(xiǎn)；b）保留由于[RQ-09-03]分析過(guò)程中使用的一個(gè)或多個(gè)假設(shè)而產(chǎn)生的風(fēng)險(xiǎn)，則應(yīng)指定一個(gè)或多個(gè)相應(yīng)的信息安全聲明；注6：信息安全聲明可被考慮用于信息安全監(jiān)測(cè)。[RQ-09-07]應(yīng)進(jìn)行驗(yàn)證以確認(rèn)滿足下列要求：a）[RQ-09-03]的結(jié)果在相關(guān)項(xiàng)定義方面的正確性和完整性；b）[RQ-09-04]的風(fēng)險(xiǎn)處置決策與[RQ-09-03]的結(jié)果的完整性、正確性和一致性；c）[RQ-09-05]的信息安全目標(biāo)和[RQ-09-06]的信息安全聲明與[RQ-09-04]風(fēng)險(xiǎn)處置決策之間的完整性、正確性和一致性；d）該相關(guān)項(xiàng)[RQ-09-05]的所有信息安全目標(biāo)和[RQ-09-06]的信息安全聲明的一致性。工作成果[WP-09-02]由[RQ-09-03]和[RQ-09-04]的要求得出TARA。[WP-09-03]由[RQ-09-05]的要求得出信息安全目標(biāo)。[WP-09-04]由[RQ-09-06]的要求得出信息安全聲明。[WP-09-05]由[RQ-09-07]的要求得出信息安全目標(biāo)的驗(yàn)證報(bào)告。信息安全概念輸入先決條件應(yīng)獲得下列信息：-相關(guān)項(xiàng)定義[WP-09-01]；-信息安全目標(biāo)[WP-09-03]；-信息安全聲明[WP-09-04]。進(jìn)一步的支持信息可考慮下列信息：-威脅分析和風(fēng)險(xiǎn)評(píng)估[WP-09-02]。要求及推薦[RQ-09-08]應(yīng)考慮以下因素，描述達(dá)成信息安全目標(biāo)而采取的信息安全控制和/或運(yùn)行控制措施，及其相互關(guān)系:a）相關(guān)項(xiàng)功能的依賴性;b)信息安全聲明。注1：描述可包括：-達(dá)成信息安全目標(biāo)的條件，例如：對(duì)損害的預(yù)防，探測(cè)與監(jiān)控。-處理威脅場(chǎng)景特定方面的專用功能，例如：使用安全的通信通道。注2：這些描述可用來(lái)評(píng)估設(shè)計(jì)，并確定信息安全確認(rèn)的目標(biāo)。[RQ-09-09]相關(guān)項(xiàng)的信息安全需求及操作環(huán)境需求，應(yīng)按照[RQ-09-08]的描述，為實(shí)現(xiàn)信息安全目標(biāo)而進(jìn)行定義。注3：信息安全需求取決于并包括：相關(guān)項(xiàng)的特定功能，例如：升級(jí)能力或在運(yùn)行時(shí)獲得用戶許可的能力。注4：對(duì)操作環(huán)境的需求，是在相關(guān)項(xiàng)以外實(shí)現(xiàn)的，但是被包括在相關(guān)項(xiàng)的信息安全確認(rèn)內(nèi)，以確定相應(yīng)的信息安全目標(biāo)是否達(dá)成。注5：對(duì)于作為操作環(huán)境一部分的其它相關(guān)項(xiàng)的需求，可作為這些相關(guān)項(xiàng)的信息安全需求。[RQ-09-10]信息安全需求應(yīng)被分配到相關(guān)項(xiàng)，如果適用，分配到其一個(gè)或者多個(gè)組件。注6：信息安全控制的描述補(bǔ)充了信息安全需求和操作環(huán)境需求的規(guī)范和分配，這些都構(gòu)成了信息安全概念。[RQ-09-11]應(yīng)驗(yàn)證[RQ-09-08],[RQ-09-09]and[RQ-09-10]的結(jié)果，以確定：完整性、正確性、及其與信息安全目標(biāo)的一致性;與信息安全聲明的一致性。工作成果[WP-09-06]來(lái)自[RQ-09-08],[RQ-09-09]和[RQ-09-10]的信息安全概念。[WP-09-07]由[RQ-09-11]產(chǎn)生的信息安全概念驗(yàn)證報(bào)告。產(chǎn)品研發(fā)總則本章描述了信息安全需求和架構(gòu)設(shè)計(jì)的規(guī)范，以及集成與驗(yàn)證活動(dòng)。8V10.4.1V模型的左側(cè)，10.4.2V11.4.211.4.2集成與驗(yàn)證（組件）11.4.1設(shè)計(jì)（組件）第11章產(chǎn)品研發(fā)11.4.2集成與驗(yàn)證（子組件）11.4.1設(shè)計(jì)（子組件）第12章信息安全確認(rèn)（相關(guān)項(xiàng)）第10章概念（相關(guān)項(xiàng)）V模型右側(cè)V模型左側(cè)8V11.4.111.4.2V模型的開(kāi)發(fā)方法，如：敏捷軟件開(kāi)發(fā)?？砂凑誄AL調(diào)節(jié)本章內(nèi)活動(dòng)的深度和嚴(yán)格程度，以及使用的方法（見(jiàn)附錄E）。目標(biāo)本章目標(biāo)如下：定義信息安全規(guī)范；注:這些可以包括現(xiàn)有架構(gòu)設(shè)計(jì)中不存在的信息安全相關(guān)組件的規(guī)范。驗(yàn)證定義的信息安全規(guī)范是否符合更高級(jí)別的抽象架構(gòu)的信息安全規(guī)范；識(shí)別組件的弱點(diǎn)；提供證據(jù)證明組件的實(shí)施和集成結(jié)果符合信息安全規(guī)范。輸入先決條件應(yīng)提供以下信息：—更高層級(jí)抽象架構(gòu)的信息安全規(guī)范[WP-10-01]注1：這可以僅限于與正在開(kāi)發(fā)的組件相關(guān)的信息，如：—分配給正在開(kāi)發(fā)的組件的信息安全需求；—正在開(kāi)發(fā)的組件的外部接口規(guī)范；—關(guān)于正在開(kāi)發(fā)的組件的操作環(huán)境的假設(shè)信息。注2：對(duì)于最高層級(jí)抽象架構(gòu)的開(kāi)發(fā)，使用相關(guān)項(xiàng)的信息安全概念[WP-09-06]和相關(guān)項(xiàng)定義[WP-09-01]，而不是更高層級(jí)抽象架構(gòu)的信息安全規(guī)范。更多支持信息可以考慮以下信息：—相關(guān)項(xiàng)定義[WP-09-01]；—信息安全概念[WP-09-06]；—現(xiàn)有架構(gòu)設(shè)計(jì)；—已建立的信息安全控制；—復(fù)用件中已知的弱點(diǎn)和漏洞。要求和建議設(shè)計(jì)[RQ-10-01]定義信息安全規(guī)范應(yīng)基于：更高層級(jí)抽象架構(gòu)的信息安全規(guī)范；選擇實(shí)施的信息安全控制（如果適用）；示例1：使用帶有嵌入式硬件信任錨的單獨(dú)微控制器來(lái)實(shí)現(xiàn)安全密鑰存儲(chǔ)功能，并隔離與非安全外部連接相關(guān)的信任錨。注1：可以從受信任目錄中選擇信息安全控制。C）現(xiàn)有的架構(gòu)設(shè)計(jì)，如果適用。注2：信息安全規(guī)范覆蓋所定義的架構(gòu)設(shè)計(jì)與所定義的信息安全需求有關(guān)的子組件之間的接口規(guī)范，包括其使用、靜態(tài)和動(dòng)態(tài)方面。個(gè)人身份信息的程序。注4：信息安全規(guī)范可以包括識(shí)別滿足信息安全需求相關(guān)的配置和校準(zhǔn)參數(shù)，以及它們的設(shè)置或允許的值范圍，例如硬件安全模塊的正確配置。注5：可以考慮實(shí)施信息安全控制所需組件的能力，例如處理器性能、內(nèi)存資源。[RQ-10-02]定義的信息安全需求應(yīng)分配給架構(gòu)設(shè)計(jì)的組件。[RQ-10-03]如果適用，應(yīng)指定組件開(kāi)發(fā)后確保信息安全的程序。示例2：正確集成和啟動(dòng)信息安全控制的程序，以及在整個(gè)生產(chǎn)過(guò)程中維護(hù)信息安全的程序。[RQ-10-04]如果信息安全規(guī)范或其實(shí)施使用設(shè)計(jì)、建?；蚓幊谭?hào)或語(yǔ)言，則在選擇此類符號(hào)或語(yǔ)言時(shí)應(yīng)考慮以下內(nèi)容：一個(gè)在語(yǔ)法和語(yǔ)義上都清晰易懂的定義；支持實(shí)現(xiàn)模塊化、抽象和封裝；支持使用結(jié)構(gòu)化構(gòu)造；支持使用安全的設(shè)計(jì)和實(shí)現(xiàn)技術(shù)；能夠集成現(xiàn)有組件，以及示例3：用另一種語(yǔ)言編寫(xiě)的庫(kù)、框架、軟件組件。針對(duì)由于語(yǔ)言使用不當(dāng)而導(dǎo)致的漏洞，語(yǔ)言的恢復(fù)能力。示例4：對(duì)緩沖區(qū)溢出的恢復(fù)能力。6：對(duì)于軟件開(kāi)發(fā)，實(shí)現(xiàn)包括使用編程語(yǔ)言進(jìn)行編碼。[RQ-10-05]適用于信息安全的設(shè)計(jì)、建模或編程語(yǔ)言的標(biāo)準(zhǔn)（見(jiàn)[RQ-10-04]），語(yǔ)言本身并未涉及，應(yīng)包含在設(shè)計(jì)、建模和編碼指南或開(kāi)發(fā)環(huán)境中。示例5：在C語(yǔ)言中使用MISRAC:2012或CERTC進(jìn)行安全編碼。示例6：適用于設(shè)計(jì)、建模和編程語(yǔ)言的標(biāo)準(zhǔn)：—語(yǔ)言子集的使用；—強(qiáng)類型的強(qiáng)制執(zhí)行；—使用防御性實(shí)現(xiàn)技術(shù)。[RC-10-06]應(yīng)采用已確立且可信的設(shè)計(jì)和實(shí)施原則，以避免或盡量減少引入弱點(diǎn)。注7：NIST特別出版物800-160第1卷附錄F.1中給出了信息安全架構(gòu)設(shè)計(jì)的設(shè)計(jì)原則示例。[RQ-10-07]應(yīng)分析[RQ-10-01]中定義的架構(gòu)設(shè)計(jì)以識(shí)別弱點(diǎn)。注8：可以考慮來(lái)自復(fù)用件的已知弱點(diǎn)和漏洞。需執(zhí)行漏洞分析。[RQ-10-08]應(yīng)驗(yàn)證定義的信息安全規(guī)范以確保完整性、正確性以及與更高層級(jí)抽象架構(gòu)的信息安全規(guī)范的一致性。注10：驗(yàn)證方法可以包括：—評(píng)審；—分析；—模擬；—原型法。集成和驗(yàn)證[RQ-10-09]集成和驗(yàn)證活動(dòng)應(yīng)驗(yàn)證組件的執(zhí)行和集成符合定義的信息安全規(guī)范。[RQ-10-10]指定[RQ-10-09]的集成和驗(yàn)證活動(dòng)應(yīng)考慮：定義的信息安全規(guī)范；用于批量生產(chǎn)的配置，如果適用；足夠的能力來(lái)支持定義的信息安全規(guī)范中指定的功能；符合[RQ-10-05]的建模、設(shè)計(jì)和編碼指南，如果適用。注1：可以包括車輛的集成和測(cè)試。注2：驗(yàn)證方法可以包括：—基于需求的測(cè)試；—接口測(cè)試；—資源使用評(píng)估；—控制流和數(shù)據(jù)流的測(cè)試；—?jiǎng)討B(tài)分析；—靜態(tài)分析。注3：如果采用測(cè)試進(jìn)行驗(yàn)證，選擇測(cè)試用例和測(cè)試環(huán)境可以考慮：—實(shí)現(xiàn)驗(yàn)證目標(biāo)的集成測(cè)試級(jí)別；—基于對(duì)所選測(cè)試環(huán)境的分析，在后續(xù)集成活動(dòng)中需要額外的測(cè)試，例如，由于與處理器仿真或開(kāi)發(fā)環(huán)境相比，用于最終集成的目標(biāo)處理器的數(shù)據(jù)字和地址字的位寬不同。注4：派生測(cè)試用例的方法可以包括：—對(duì)需求的分析；—等價(jià)類的生成與分析；—臨界值的分析；—基于知識(shí)或經(jīng)驗(yàn)的錯(cuò)誤猜測(cè)。[RQ-10-11]如果采用測(cè)試進(jìn)行驗(yàn)證，應(yīng)使用定義的測(cè)試覆蓋率度量標(biāo)準(zhǔn)來(lái)評(píng)估測(cè)試覆蓋率，以確定測(cè)試活動(dòng)的充分性。注5：標(biāo)準(zhǔn)測(cè)試覆蓋率度量可能不足以應(yīng)對(duì)信息安全，例如，軟件的語(yǔ)句覆蓋率。[RC-10-12]應(yīng)執(zhí)行測(cè)試以確認(rèn)組件中剩余的未識(shí)別弱點(diǎn)和漏洞已最小化。注6：非必需的功能可能包含一個(gè)弱點(diǎn)。注7：測(cè)試方法可以包括：—功能測(cè)試；—漏洞掃描；—模糊測(cè)試；—滲透測(cè)試。注8：對(duì)已識(shí)別的弱點(diǎn)進(jìn)行漏洞分析（見(jiàn)8.5）并管理已識(shí)別的漏洞（見(jiàn)8.6）。然而，已識(shí)別的弱點(diǎn)可以通過(guò)更改架構(gòu)設(shè)計(jì)來(lái)解決，而無(wú)需執(zhí)行漏洞分析。[RQ-10-13]如果沒(méi)有按照[RC-10-12]進(jìn)行測(cè)試，則應(yīng)提供理由。注9：理由包括以下因素；—訪問(wèn)組件攻擊面的可行性；—能夠（直接或間接）訪問(wèn)組件并結(jié)合其他組件的危害；和/或—組件的簡(jiǎn)單性。工作成果[WP-10-01]由[RQ-10-01]到[RQ-10-02]產(chǎn)生的信息安全規(guī)范。[WP-10-02]由[RQ-10-03]產(chǎn)生的后開(kāi)發(fā)階段的信息安全需求。[WP-10-03]由[RQ-10-04]和[RQ-10-05]產(chǎn)生的建模、設(shè)計(jì)或編程語(yǔ)言和編碼指南的文件，如適用。[WP-10-04]由[RQ-10-08]產(chǎn)生信息安全規(guī)范的驗(yàn)證報(bào)告。[WP-10-05]由[RQ-10-07]到[RC-10-12]產(chǎn)生的產(chǎn)品開(kāi)發(fā)過(guò)程中發(fā)現(xiàn)的弱點(diǎn)，如適用。[WP-10-06]由[RQ-10-10]產(chǎn)生的集成和驗(yàn)證規(guī)范。[WP-10-07]由[RQ-10-09]、[RQ-10-11]、[RC-10-12]產(chǎn)生的集成和驗(yàn)證報(bào)告。信息安全確認(rèn)概述目的本章的目的是：確認(rèn)信息安全目標(biāo)和信息安全聲明；確定該相關(guān)項(xiàng)實(shí)現(xiàn)的信息安全目標(biāo)；確定不存在不合理的風(fēng)險(xiǎn)。輸入先決條件應(yīng)提供下列信息:—相關(guān)項(xiàng)定義(參閱[WP-09-01])；—信息安全目標(biāo)(參閱[WP-09-03])；—信息安全聲明(參閱[WP-09-04])，如果適用。進(jìn)一步的支持信息應(yīng)提供下列信息：—信息安全概念(參閱[WP-09-06])；—產(chǎn)品開(kāi)發(fā)的工作成果（見(jiàn)10.5）。要求和建議[RQ-11-01]考慮批量生產(chǎn)配置狀態(tài)下，相關(guān)項(xiàng)在整車級(jí)別的確認(rèn)活動(dòng)中應(yīng)確認(rèn)：在威脅場(chǎng)景和相關(guān)風(fēng)險(xiǎn)方面的信息安全目標(biāo)充分性；注1：如果在確認(rèn)過(guò)程中發(fā)現(xiàn)信息安全目標(biāo)未解決任何風(fēng)險(xiǎn),則可以按照9.4解決。實(shí)現(xiàn)該相關(guān)項(xiàng)的信息安全目標(biāo)；信息安全聲明的有效性；操作環(huán)境要求的有效性，如果適用。注2：確認(rèn)活動(dòng)應(yīng)包括：—通過(guò)審查9.5和10的工作成果確認(rèn)信息安全目標(biāo)的實(shí)現(xiàn)；—執(zhí)行滲透測(cè)試驗(yàn)證信息安全目標(biāo)的充分性和得到實(shí)現(xiàn)；—審查通過(guò)9和10的所有已識(shí)別管理風(fēng)險(xiǎn)；注3：使用CAL能夠擴(kuò)展?jié)B透測(cè)試的深度和嚴(yán)謹(jǐn)度（見(jiàn)附錄E）。注4：在[RQ-11-01]的確認(rèn)活動(dòng)期間，對(duì)已識(shí)別弱點(diǎn)進(jìn)行漏洞分析并管理已識(shí)別的漏洞。[RQ-11-02]應(yīng)提供選擇確認(rèn)活動(dòng)的理由。工作成果[WP-11-01]由[RQ-11-01]和[RQ-11-02]產(chǎn)生的確認(rèn)報(bào)告。生產(chǎn)總則目的本章的目的是：a）落實(shí)后開(kāi)發(fā)階段的信息安全需求；b）防止在生產(chǎn)過(guò)程中引入新的漏洞。輸入先決條件應(yīng)提供以下信息：—已發(fā)布的后開(kāi)發(fā)階段報(bào)告(見(jiàn)[WP-06-04])；—后開(kāi)發(fā)階段的信息安全需求(見(jiàn)[WP-10-02])。進(jìn)一步的支持信息無(wú)。要求和建議[RQ-12-01]應(yīng)制定生產(chǎn)控制計(jì)劃，以滿足后開(kāi)發(fā)階段的信息安全需求。注1：生產(chǎn)控制計(jì)劃可作為總體生產(chǎn)計(jì)劃的一部分。[RQ-12-02]生產(chǎn)控制計(jì)劃應(yīng)包括：a）應(yīng)用后開(kāi)發(fā)階段信息安全需求的一系列步驟；b）生產(chǎn)工具和裝備；在生產(chǎn)階段防止未授權(quán)改動(dòng)的信息安全控制；例1：可以防止對(duì)運(yùn)行軟件的生產(chǎn)服務(wù)器進(jìn)行物理訪問(wèn)的物理控制。例2：可以運(yùn)用密碼學(xué)技術(shù)和/或訪問(wèn)控制的邏輯控制。確認(rèn)滿足后開(kāi)發(fā)階段信息安全需求的方法。注2：方法可以包括檢查和校準(zhǔn)檢查。注3：制造相關(guān)項(xiàng)或組件和安裝軟件或硬件時(shí)，生產(chǎn)過(guò)程可以使用特權(quán)訪問(wèn)；如果在生產(chǎn)階段之后以未授權(quán)的方式訪問(wèn)，可能會(huì)在相關(guān)項(xiàng)或組件中引入漏洞。[RQ-12-03]應(yīng)實(shí)施生產(chǎn)控制計(jì)劃。工作成果[WP-12-01]由[RQ-12-01]和[RQ-12-02]產(chǎn)生的生產(chǎn)控制計(jì)劃。運(yùn)行和維護(hù)總則本章描述了信息安全事件響應(yīng)和對(duì)既定領(lǐng)域的相關(guān)項(xiàng)或組件的更新。當(dāng)一個(gè)組織將信息安全事件響應(yīng)作為漏洞管理的一部分來(lái)調(diào)用時(shí)，就會(huì)發(fā)生信息安全事件響應(yīng)。更新是在開(kāi)發(fā)后對(duì)一個(gè)相關(guān)項(xiàng)或組件所做的改變，可以包括額外的信息，如技術(shù)規(guī)范、集成手冊(cè)、處于概念、產(chǎn)品開(kāi)發(fā)或生產(chǎn)階段的相關(guān)項(xiàng)或組件的修改，由變更管理進(jìn)行規(guī)定而不是本章涵蓋。目標(biāo)本章的目標(biāo)是：確定并實(shí)施信息安全事件的補(bǔ)救措施；在生產(chǎn)后的相關(guān)項(xiàng)或組件的更新期間和更新后保持信息安全，直到其信息安全支持結(jié)束。信息安全事件響應(yīng)輸入先決條件無(wú)。進(jìn)一步的支持信息可考慮以下信息：—與引起信息安全事件響應(yīng)的漏洞有關(guān)的信息安全情報(bào)；—漏洞分析報(bào)告[WP-08-05]。要求和建議[RQ-13-01]對(duì)于每個(gè)信息安全事件，應(yīng)制定信息安全事件響應(yīng)計(jì)劃，包括：a）補(bǔ)救措施；注1：補(bǔ)救措施由8.6中的漏洞管理來(lái)決定。溝通計(jì)劃；2采購(gòu)。3：溝通計(jì)劃可以包括確定內(nèi)部和外部的溝通伙伴（如開(kāi)發(fā)、研究人員、公眾、當(dāng)局），信息。為補(bǔ)救措施分配的責(zé)任；注4：負(fù)責(zé)的人應(yīng)有：——與受影響的相關(guān)項(xiàng)或組件相關(guān)的專業(yè)知識(shí)，包括遺留的相關(guān)項(xiàng)和組件；——組織知識(shí)（如業(yè)務(wù)流程、溝通、采購(gòu)、法律）；——決定權(quán)；記錄與信息安全事件有關(guān)的新信息安全情報(bào)的程序；注5：可以根據(jù)8.3收集新的信息安全情報(bào)，例如以下信息：——受影響的組件；——相關(guān)的事件和漏洞；——佐證數(shù)據(jù)，如數(shù)據(jù)日志、碰撞傳感器數(shù)據(jù)；——終端用戶投訴；確定進(jìn)度的方法；示例：衡量進(jìn)度的方法如下:-受影響的相關(guān)項(xiàng)或組件被修復(fù)的百分比；-受補(bǔ)救措施影響的相關(guān)項(xiàng)或組件的百分比；f）關(guān)閉信息安全事件響應(yīng)的標(biāo)準(zhǔn)；g）關(guān)閉操作。[RQ-13-02]應(yīng)執(zhí)行信息安全事件響應(yīng)計(jì)劃。工作成果[WP-13-01]由[RQ-13-01]產(chǎn)生的信息安全事件響應(yīng)計(jì)劃。更新輸入先決條件應(yīng)提供以下信息：—發(fā)布的后開(kāi)發(fā)階段報(bào)告[WP-06-04]。進(jìn)一步的支持信息可以考慮以下信息：—信息安全事件響應(yīng)計(jì)劃[WP-13-01]；—與更新相關(guān)的后開(kāi)發(fā)階段的信息安全需求[WP-10-02]。要求和建議[RQ-13-03]車輛內(nèi)的更新和與更新有關(guān)的能力應(yīng)按照本文件的規(guī)定開(kāi)發(fā)。工作成果無(wú)。信息安全支持終止和報(bào)廢綜述目的本章的目的是：信息安全支持終止的溝通；使與信息安全相關(guān)的相關(guān)項(xiàng)和組件能夠報(bào)廢。信息安全支持終止輸入無(wú)。要求和建議［RQ-14-01］應(yīng)建立一個(gè)程序，以便在組織決定對(duì)某一相關(guān)項(xiàng)或組件終止信息安全支持時(shí)與客戶溝通。注1：這些溝通可以根據(jù)供應(yīng)商和客戶之間的合同要求進(jìn)行處理。注2：可以通過(guò)公告的方式向客戶傳達(dá)信息。工作成果［WP-14-01］由［RQ-14-01］產(chǎn)生的信息安全支持終止溝通程序。報(bào)廢輸入應(yīng)提供以下信息:—后開(kāi)發(fā)階段的信息安全需求［WP-10-02］。進(jìn)一步的支持信息無(wú)。要求和建議［RQ-14-02］應(yīng)提供后開(kāi)發(fā)階段有關(guān)報(bào)廢的信息安全需求。注：與此類需求相關(guān)的適當(dāng)文件(如操作說(shuō)明、用戶手冊(cè))，可以使信息安全方面的報(bào)廢得以進(jìn)行。工作成果無(wú)。威脅分析和風(fēng)險(xiǎn)評(píng)估方法總則—資產(chǎn)識(shí)別；—威脅場(chǎng)景識(shí)別；—影響評(píng)級(jí)；—攻擊路徑分析；—攻擊可行性評(píng)級(jí)；—風(fēng)險(xiǎn)值計(jì)算；—風(fēng)險(xiǎn)處置決策。H提供了這些方法的實(shí)例說(shuō)明。組織用于影響評(píng)級(jí)、攻擊可行性評(píng)級(jí)和風(fēng)險(xiǎn)值計(jì)算的特定等級(jí)可以應(yīng)用并映射到本文件中定義的相應(yīng)等級(jí)。目標(biāo)本章的目標(biāo)：識(shí)別資產(chǎn)、資產(chǎn)的信息安全屬性和資產(chǎn)的危害場(chǎng)景;b)識(shí)別威脅場(chǎng)景；計(jì)算危害場(chǎng)景的影響等級(jí);識(shí)別實(shí)現(xiàn)威脅場(chǎng)景的攻擊路徑;確定攻擊路徑可以被利用的容易程度；f)計(jì)算威脅場(chǎng)景的風(fēng)險(xiǎn)值；g)對(duì)威脅場(chǎng)景選擇合適的風(fēng)險(xiǎn)處置方案；資產(chǎn)識(shí)別輸入先決條件應(yīng)提供以下信息：—相關(guān)項(xiàng)定義[WP09-01]。附加支持資料參考以下信息：—信息安全規(guī)范[WP-10-01]。要求和建議[RQ-15-01]識(shí)別危害場(chǎng)景注1：危害場(chǎng)景包含：相關(guān)項(xiàng)的功能與不良后果之間的關(guān)系；對(duì)道路使用者的危害說(shuō)明；相關(guān)資產(chǎn)；[RQ-15-02]識(shí)別具有信息安全屬性的資產(chǎn)，資產(chǎn)的信息安全屬性達(dá)不到標(biāo)準(zhǔn)將導(dǎo)致危害場(chǎng)景。注2：確定資產(chǎn)可以基于：分析相關(guān)項(xiàng)定義；執(zhí)行影響評(píng)級(jí)；威脅場(chǎng)景中提取資產(chǎn)；使用預(yù)定義的目錄。示例1:資產(chǎn)是存儲(chǔ)在信息娛樂(lè)系統(tǒng)中的個(gè)人信息（客戶個(gè)人偏好），資產(chǎn)的信息安全屬性為保密性。危害場(chǎng)景是由于資產(chǎn)失去保密性，在未經(jīng)客戶同意的情況下，披露客戶個(gè)人信息。示例2：資產(chǎn)是制動(dòng)功能的通信數(shù)據(jù)，資產(chǎn)的信息安全屬性是完整性。危害場(chǎng)景是車輛高速行駛時(shí)，因非預(yù)期的全力制動(dòng)而與跟隨車輛發(fā)生碰撞（追尾碰撞）。工作成果[WP-15-01]由[RQ-15-01]產(chǎn)生的危害場(chǎng)景；[WP-15-02]由[RQ-15-02]產(chǎn)生的具有信息安全屬性的資產(chǎn)。威脅場(chǎng)景識(shí)別輸入先決條件應(yīng)提供以下信息：—相關(guān)項(xiàng)定義[WP-09-01]。附加支持資料參考以下信息：—信息安全規(guī)范[WP-10-01]:—危害場(chǎng)景[WP-15-01]:—具有信息安全屬性的資產(chǎn)[WP-15-02]。要求和建議[RQ-15-03]識(shí)別威脅場(chǎng)景，威脅場(chǎng)景包含：—目標(biāo)資產(chǎn)；—資產(chǎn)受損害的信息安全屬性；—信息安全屬性受損害缺失的原因；注1：附加信息可以包含或與威脅場(chǎng)景相關(guān)聯(lián)，例如威脅場(chǎng)景、危害場(chǎng)景、資產(chǎn)、攻擊者、方法、工具和攻擊面之間的技術(shù)依賴關(guān)系。注2:威脅場(chǎng)景識(shí)別方法可以使用小組討論或系統(tǒng)方法，例如：—引發(fā)由合理可預(yù)見(jiàn)的濫用或?yàn)E用導(dǎo)致的惡意使用案例：—基于EVITA、TVRA、PASTA、STRIDE（欺騙、篡改、否認(rèn)、信息披露、拒絕服務(wù)、提升特權(quán)）等框架的威脅建模方法。注3：一個(gè)危害場(chǎng)景可以對(duì)應(yīng)多個(gè)威脅場(chǎng)景，一個(gè)威脅場(chǎng)景可以導(dǎo)致多個(gè)危害場(chǎng)景。示例：從制動(dòng)ECU方面分析，CAN消息欺騙會(huì)導(dǎo)致CAN消息的完整性缺失，從而導(dǎo)致制動(dòng)功能的完整性缺失。工作成果[WP-15-03]由[RQ-15-03]產(chǎn)生的威脅場(chǎng)景。影響評(píng)級(jí)輸入先決條件應(yīng)提供以下信息：—危害場(chǎng)景[WP-15-01]。附加支持資料：參考以下信息：—相關(guān)項(xiàng)定義[WP-09-01]:—具有信息安全屬性的資產(chǎn)[WP-15-02]。要求和建議[RQ-15-04]根據(jù)對(duì)道路使用者的潛在不利影響，分別從安全、財(cái)務(wù)、運(yùn)營(yíng)和隱私（S,F,0,P）等方面對(duì)危害場(chǎng)景進(jìn)行評(píng)估。注1：本文件不提供不同影響類別之間的關(guān)系（如權(quán)重）。注2：其他影響類別也可以參考。注3：如果參考其他影響類別，則可根據(jù)第7條在供應(yīng)鏈中分享這些類別的基本原理和解釋。[RQ-15-05]危害場(chǎng)景的影響等級(jí)應(yīng)確定為以下影響等級(jí)之一：—嚴(yán)重；—重大；—中等；—忽略。注4：財(cái)務(wù)、運(yùn)營(yíng)和隱私相關(guān)影響可根據(jù)附錄F中提供的表格進(jìn)行評(píng)級(jí)。[RQ-15-06]安全相關(guān)影響評(píng)級(jí)來(lái)自GB/T34590.3-2022，6.4.3注5：附錄F中的表F.1可用于將安全影響準(zhǔn)則映射到影響等級(jí)。注6：功能安全評(píng)估可為此目的重復(fù)使用。[PM-15-07]若一個(gè)危害場(chǎng)景導(dǎo)致了一個(gè)影響等級(jí)，并且可以認(rèn)為另一個(gè)影響不重要，則可以省略對(duì)其他影響類別的進(jìn)一步分析。示例：危害場(chǎng)景的安全影響被評(píng)定為“嚴(yán)重”，因此，不進(jìn)一步分析該危害場(chǎng)景的財(cái)務(wù)影響。工作成果[WP-15-04]由[RQ-15-04]至[RQ-15-06]產(chǎn)生的具有相關(guān)影響類別的影響評(píng)級(jí)。攻擊路徑分析輸入先決條件提供以下信息：—相關(guān)項(xiàng)定義[WP-09-01]或者信息安全規(guī)范[WP-10-01];—威脅場(chǎng)景[WP-15-03]；附加支持資料：參考以下信息：—信息安全事態(tài)的弱點(diǎn)[WP-08-04]:—產(chǎn)品開(kāi)發(fā)過(guò)程中發(fā)現(xiàn)的弱點(diǎn)[WP-10-05]:—架構(gòu)設(shè)計(jì);—前期已識(shí)別的攻擊路徑[WP-15-05]，如果可用；—漏洞分析[WP-08-05]要求和建議[RQ-15-08]分析威脅場(chǎng)景，確定攻擊路徑。注1：攻擊路徑分析基于：—自上而下的方法，分析實(shí)現(xiàn)威脅場(chǎng)景的不同方式（如攻擊樹(shù)、攻擊圖）來(lái)推斷攻擊路徑；—自下而上的方法，已識(shí)別的漏洞構(gòu)建攻擊路徑。注2：如果部分攻擊路徑不會(huì)導(dǎo)致威脅場(chǎng)景的實(shí)現(xiàn)，則可以停止對(duì)該部分攻擊路徑的分析。[RQ-15-09]攻擊路徑與可實(shí)現(xiàn)攻擊路徑的威脅場(chǎng)景相關(guān)聯(lián)。注3：在產(chǎn)品開(kāi)發(fā)的早期階段，由于具體的實(shí)施細(xì)節(jié)尚不清楚，攻擊路徑通常不完整或不精確，無(wú)法識(shí)別具體的漏洞。在產(chǎn)品開(kāi)發(fā)的早期階段，還無(wú)法識(shí)別特定的漏洞，攻擊路徑通常是不完整或不精確的，因?yàn)榫唧w的實(shí)現(xiàn)細(xì)節(jié)尚不清楚。在產(chǎn)品開(kāi)發(fā)過(guò)程中，攻擊路徑可以隨著更多信息的可用而更新，如在漏洞分析之后。示例：-威脅場(chǎng)景：欺騙制動(dòng)ECU的CAN消息，導(dǎo)致CAN消息的完整性缺失，從而導(dǎo)致制動(dòng)功能的完整性缺失；-實(shí)現(xiàn)上述威脅場(chǎng)景的攻擊路徑：ECU：ECUCANECU；ECU轉(zhuǎn)發(fā)惡意制動(dòng)請(qǐng)求信號(hào)（不必要的快速減速）。工作成果[WP-15-05]由[RQ-15-08]和[RQ-15-09]產(chǎn)生的攻擊路徑。攻擊可行性評(píng)級(jí)輸入先決條件提供以下信息：—攻擊路徑[WP-15-05].附加支持資料參考以下信息：—架構(gòu)設(shè)計(jì)；—漏洞分析[WP-08-05]；要求和建議[RQ-15-10]對(duì)于每條攻擊路徑，攻擊可行性等級(jí)應(yīng)按表1所述確定。表1-攻擊可行性評(píng)級(jí)和相應(yīng)描述攻擊可行性評(píng)級(jí)描述高攻擊路徑可以用低工作量完成。中攻擊路徑可以通過(guò)中等工作量完成。低攻擊路徑可以用高工作量完成非常低攻擊路徑可以用非常高的工作量來(lái)完成[RC-15-11]攻擊可行性評(píng)級(jí)方法應(yīng)根據(jù)以下方法之一確定：a）基于攻擊潛力的方法；b)CVSS方法；C）基于攻擊向量方法；注1：方法的選擇取決于產(chǎn)品生命周期中的階段和可用信息。[RC-15-12]如果使用基于攻擊潛力的方法，則應(yīng)根據(jù)核心要素確定攻擊可行性等級(jí)，包括：運(yùn)行時(shí)間；專業(yè)知識(shí)；相關(guān)項(xiàng)或組件的知識(shí)；機(jī)會(huì)窗口；設(shè)備。注2:核心攻擊潛在因素可以從ISO/IEC18045中得出。注3附錄G.2提供了基于攻擊潛力來(lái)確定攻擊可行性的指南。[RC-15-13]如果使用基于CVSS的方法，則應(yīng)根據(jù)基本度量組的可利用性度量確定攻擊可行性等級(jí)，包括：a）攻擊矢量；攻擊復(fù)雜性；所需特權(quán)；d）用戶交互。注4：附錄G.3提供基于CVSS的方法來(lái)確定攻擊可行性的指南。[RC-15-14]如果使用基于攻擊向量的方法，則應(yīng)根據(jù)評(píng)估攻擊路徑的主要攻擊向量確定攻擊可行性等級(jí)。注5：附錄G.4提供了基于攻擊矢量的方法來(lái)確定攻擊可行性的指南。注6：在開(kāi)發(fā)的早期階段（例如概念階段），當(dāng)沒(méi)有足夠的信息來(lái)識(shí)別特定的攻擊路徑時(shí)，一種基于攻擊矢量的方法可以適合于估計(jì)攻擊的可行性。工作成果[WP-15-06]由[RQ-15-10]產(chǎn)生的攻擊可行性評(píng)級(jí)。風(fēng)險(xiǎn)值確定輸入先決條件提供以下信息—威脅場(chǎng)景[WP-15-03]；—具有相關(guān)影響類別的影響評(píng)級(jí)[WP-15-04]；—攻擊可行性評(píng)級(jí)[WP-15-06]。附加支持資料無(wú)。要求和建議[RQ-15-15]對(duì)于每個(gè)威脅場(chǎng)景，應(yīng)根據(jù)相關(guān)危害場(chǎng)景的影響和相關(guān)攻擊路徑的攻擊可行性計(jì)算風(fēng)險(xiǎn)值。[RQ-15-16]威脅場(chǎng)景的風(fēng)險(xiǎn)值應(yīng)介于（包括）1和5之間。其中，值1表示最小風(fēng)險(xiǎn)。示例：風(fēng)險(xiǎn)值計(jì)算方法—風(fēng)險(xiǎn)矩陣；—風(fēng)險(xiǎn)計(jì)算公式。工作成果[WP-15-07]由[RQ-15-15]和[RQ-15-16]產(chǎn)生的風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)處置決策輸入先決條件提供以下信息：—相關(guān)項(xiàng)定義[WP-09-01]；—威脅場(chǎng)景[WP-15-03]；—風(fēng)險(xiǎn)值[WP-15-07]。附加支持資料參考以下信息：—信息安全規(guī)范[WP-10-01]；—相關(guān)項(xiàng)或組件或類似相關(guān)項(xiàng)或組件的先前風(fēng)險(xiǎn)處置決策；—具有影響類別的影響評(píng)級(jí)[WP-15-04]；—攻擊路徑[WP-15-05]；—攻擊可行性等級(jí)[WP-15-06]。要求和建議[RQ-15-17]對(duì)于每個(gè)威脅場(chǎng)景，考慮到威脅場(chǎng)景的風(fēng)險(xiǎn)值，確定一個(gè)或多個(gè)風(fēng)險(xiǎn)處置決策：避免風(fēng)險(xiǎn)；示例1：消除風(fēng)險(xiǎn)源避開(kāi)風(fēng)險(xiǎn)，決定不開(kāi)始或不繼續(xù)增加風(fēng)險(xiǎn)的活動(dòng)。降低風(fēng)險(xiǎn)；分擔(dān)風(fēng)險(xiǎn)；示例2：通過(guò)合同分擔(dān)風(fēng)險(xiǎn)或通過(guò)購(gòu)買保險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)。保留風(fēng)險(xiǎn)。注：保留風(fēng)險(xiǎn)和分擔(dān)風(fēng)險(xiǎn)的理由記錄為信息安全聲明，并根據(jù)第8條進(jìn)行信息安全監(jiān)測(cè)和漏洞管理。工作成果[WP-15-08]由[RQ-15-17]產(chǎn)生的風(fēng)險(xiǎn)處置決策。附錄 (資料性)信息安全活動(dòng)和工作成果摘要A.115信息安全活動(dòng)和工作產(chǎn)品概述表A.1-本文件的信息安全活動(dòng)和工作成果子章工作成果組織信息安全管理6.4.1信息安全治理[WP-05-01]信息安全政策、規(guī)則和程序6.4.2信息安全文化[WP-05-01]信息安全政策、規(guī)則和程序[WP-05-02]能力管理、意識(shí)管理和持續(xù)改進(jìn)的證據(jù)6.4.3信息共享[WP-05-01]信息安全政策、規(guī)則和程序6.4.4管理系統(tǒng)[WP-05-03]組織管理制度的證據(jù)6.4.5工具管理[WP-05-04]工具管理的證據(jù)6.4.6信息安全管理[WP-05-03]組織管理制度的證據(jù)6.4.7[WP-05-05]組織信息安全審計(jì)報(bào)告依靠項(xiàng)目的信息安全管理7.4.1信息安全責(zé)任[WP-06-01]信息安全計(jì)劃7.4.2信息安全規(guī)劃[WP-06-01]信息安全計(jì)劃7.4.3裁剪[WP-06-01]信息安全計(jì)劃7.4.4再利用[WP-06-01]信息安全計(jì)劃7.4.5超出背景的組件[WP-06-01]信息安全計(jì)劃7.4.6現(xiàn)有組件[WP-06-01]信息安全計(jì)劃7.4.7信息安全案例[WP-06-02]信息安全案例7.4.8信息安全評(píng)估[WP-06-03]信息安全評(píng)估報(bào)告7.4.9后續(xù)開(kāi)發(fā)的發(fā)布[WP-06-04]開(kāi)發(fā)后報(bào)告的發(fā)布分布式信息安全活動(dòng)8.4.1供應(yīng)商能力無(wú)8.4.2報(bào)價(jià)要求無(wú)8.4.3責(zé)任的統(tǒng)一[WP-07-01]信息安全接口協(xié)議持續(xù)的信息安全活動(dòng)9.3信息安全監(jiān)測(cè)[WP-08-01]信息安全信息的來(lái)源[WP-08-02]觸發(fā)器[WP-08-03]信息安全事態(tài)9.4信息安全事件評(píng)估[WP-08-04]來(lái)自信息安全事態(tài)的弱點(diǎn)9.5脆弱性分析[WP-08-05]漏洞分析9.6脆弱性管理[WP-08-06]管理漏洞的證據(jù)概念階段10.3項(xiàng)目定義[WP-09-01]相關(guān)項(xiàng)定義10.4信息安全目標(biāo)[WP-09-02]TARA[WP-09-03]信息安全目標(biāo)[WP-09-04]信息安全要求[WP-09-05]信息安全目標(biāo)的驗(yàn)證報(bào)告10.5信息安全概念［WP-09-06］信息安全概念［WP-09-07］信息安全概念的驗(yàn)證報(bào)告產(chǎn)品開(kāi)發(fā)階段11.4.1設(shè)計(jì)［WP-10-01］信息安全規(guī)范［WP-10-02］開(kāi)發(fā)后的信息安全要求［WP-10-03］建模、設(shè)計(jì)或編程語(yǔ)言和編碼準(zhǔn)則的文件化［WP-10-04］信息安全規(guī)范的驗(yàn)證報(bào)告［WP-10-05］產(chǎn)品開(kāi)發(fā)過(guò)程中發(fā)現(xiàn)的弱點(diǎn)11.4.2集成和驗(yàn)證［WP-10-05］產(chǎn)品開(kāi)發(fā)過(guò)程中發(fā)現(xiàn)的弱點(diǎn)［WP-10-06］集成和驗(yàn)證規(guī)范［WP-10-07］集成和驗(yàn)證報(bào)告12信息安全的確認(rèn)［WP-11-01］確認(rèn)報(bào)告開(kāi)發(fā)后階段13生產(chǎn)［WP-12-01］生產(chǎn)控制計(jì)劃14.3信息安全事件應(yīng)對(duì)［WP-13-01］信息安全事件響應(yīng)計(jì)劃14.4更新無(wú)15.3結(jié)束信息安全支持［WP-14-01］信息安全支持終止溝通程序15.4停用無(wú)威脅分析和風(fēng)險(xiǎn)評(píng)估方法16.3資產(chǎn)識(shí)別［WP-15-01］危害場(chǎng)景［WP-15-02］具有信息安全屬性的資產(chǎn)16.4威脅情景識(shí)別［WP-15-03］威脅場(chǎng)景16.5沖擊等級(jí)［WP-15-04］具有影響類別的影響評(píng)級(jí)16.6攻擊路徑分析［WP-15-05］攻擊路徑16.7攻擊可行性評(píng)級(jí)[WP-15-06]攻擊可行性等級(jí)16.8風(fēng)險(xiǎn)值的確定[WP-15-07]風(fēng)險(xiǎn)值16.9風(fēng)險(xiǎn)處置決策[WP-15-08]風(fēng)險(xiǎn)處置決策附錄 B（資料性附錄）表B.1-信息安全文化薄弱和強(qiáng)大的示例表明信息安全文化薄弱的示例表明信息安全文化強(qiáng)大的示例與信息安全相關(guān)的決策責(zé)任不可追溯。有過(guò)程確保信息安全的決策責(zé)任是可追溯的。性能（所實(shí)施的功能或特性）、成本或進(jìn)度優(yōu)先于信息安全。信息安全和功能安全具有最高優(yōu)先權(quán)。獎(jiǎng)勵(lì)制度支持和鼓勵(lì)有效實(shí)現(xiàn)信息安全，并處罰走因捷徑而危害信息安全的人。信息安全人員強(qiáng)制對(duì)信息安全進(jìn)行不適當(dāng)?shù)?、非常?yán)格的遵守，而不考慮項(xiàng)目活動(dòng)的特殊需求。信息安全人員以身作則，以良好的適當(dāng)性和實(shí)際執(zhí)行力獲取整個(gè)組織對(duì)其行為的信任。評(píng)估信息安全及其管理過(guò)程受到執(zhí)行過(guò)程人員的不當(dāng)影響。過(guò)程提供了適當(dāng)?shù)闹坪?，例如：信息安全評(píng)估中適度的獨(dú)立性。應(yīng)對(duì)信息安全的消極態(tài)度，例如：嚴(yán)重依賴研發(fā)結(jié)束時(shí)的測(cè)試；應(yīng)對(duì)信息安全的積極態(tài)度，例如：沒(méi)有為在用車市場(chǎng)上潛在的弱點(diǎn)或事件做好準(zhǔn)備；在產(chǎn)品生命周期的最初階段就能發(fā)現(xiàn)和解決信息安全問(wèn)題（設(shè)計(jì)中的信息安全）；或當(dāng)媒體對(duì)競(jìng)爭(zhēng)對(duì)手的產(chǎn)品給與大量關(guān)注時(shí)，管理層才會(huì)做出反應(yīng)組織已準(zhǔn)備好對(duì)在用車市場(chǎng)上的漏洞和事件做出快速反應(yīng)信息安全所需的資源未進(jìn)行分配。信息安全所需的資源已分配。技術(shù)資源擁有與指定活動(dòng)相對(duì)應(yīng)的能力?！叭后w思維”確認(rèn)偏差（即不加批判的接受或遵從主流觀點(diǎn)）。過(guò)程利用了多樣性優(yōu)勢(shì)：在所有過(guò)程中尋求、重視和整合知識(shí)多樣性；反對(duì)使用多樣性的行為是被阻止和懲罰的。存在相應(yīng)的溝通和決策渠道，并且管理層鼓勵(lì)使用：鼓勵(lì)自我披露；鼓勵(lì)任何人（內(nèi)部或外部）負(fù)責(zé)任的披露潛在的漏洞；在在用車市場(chǎng)、制造和開(kāi)發(fā)其他產(chǎn)品中持續(xù)進(jìn)行發(fā)現(xiàn)和解決過(guò)程。組建審查小組時(shí)“暗中布局”（即選擇成員以確保預(yù)期結(jié)果），以防止可能出現(xiàn)的異議。排斥提出異議的人或?qū)①N上“沒(méi)有團(tuán)隊(duì)精神”的標(biāo)簽（例如：不合作、不妥協(xié)、有害的人）。提出異議會(huì)對(duì)績(jī)效評(píng)估產(chǎn)生負(fù)面影響。少數(shù)提出異議的人被視作或被貼上“麻煩制造者”，“沒(méi)有團(tuán)隊(duì)精神”或“內(nèi)部舉報(bào)者”（即煽動(dòng)者、不受歡迎者或告密者）的標(biāo)簽。員工害怕因?yàn)楸磉_(dá)擔(dān)憂而受到影響。沒(méi)有成體系的持續(xù)改進(jìn)過(guò)程、學(xué)習(xí)周期或者其他形式的經(jīng)驗(yàn)總結(jié)。持續(xù)改進(jìn)是所有過(guò)程的必要條件。過(guò)程是臨時(shí)的或含蓄的。遵循明確的、可追蹤的和可控的過(guò)程。附錄 C（資料性附錄）信息安全接口協(xié)議模板示例目的本附件按照[RQ-07-04]模板還加入了其他信息，如聯(lián)系人、目標(biāo)里程碑、協(xié)作方法和工具等。示例模板本示例模板中的列項(xiàng)包括:階段：本文件的階段；工作成果：本文檔與分布式活動(dòng)接口相關(guān)的工作成果物；c)參考章：在