ISO/SAE 21434：针对一级供应商的提示

1：从差距分析开始加强网络安全流程

如果您发现组织流程中存在潜在差距，解决方案是根据基本标准 ISO/SAE 21434 的要求分析差距。

这样，就会立即清楚要实施哪些措施，以使使用的网络安全实践与参考标准的规定保持一致。

为了获得最佳效果，应根据法规 R155、R156、ISO/SAE 21434 和 ISO 24089 进行定期审核。为了避免不合规风险，或继续使用危及物品网络安全的流程，实施持续的网络安全流程改进计划至关重要。

2：通过网络安全接口协议管理与OEM的关系

网络安全接口协议 (CIA) 依据 ISO/SAE 21434，是一份定义与车辆中集成的不同系统和组件之间的接口相关的网络安全要求和责任的文件。CIA 的准备工作很复杂，但对于与 OEM 确定在网络安全背景下应采取哪些措施至关重要。

3：保证项目符合ISO/SAE 21434标准

ISO/SAE 21434 要求组件的开发包括网络安全接口的定义。

第 1 层要求仔细审查与防范网络威胁相关的各个方面，从设计阶段开始，直到网络安全案例的形式化，ISO/SAE 21434 标准将其定义为项目弹性的最终结果。

4：实施网络安全验证措施

进行深入的网络安全测试需要扎根于监管标准领域的工具和技能，才能取得完全有效的结果。

如果目标是完全识别所有漏洞，则必须根据 ISO/SAE 21434 使用各种渗透测试方法来验证和确认网络安全级别。只有这样，才能全面评估安装在车辆上的系统的弹性。

5：使用 TARA 方法分析网络安全风险

根据行业标准，TARA（威胁分析和风险评估）分析是完成网络安全案例的先决条件，该案例说明了项目的运行情况。如果不彻底分析组件的网络风险，您可能无法实施有效的缓解策略来消除攻击漏洞。TARA 方法允许您对潜在威胁进行详细研究，从而通过评估攻击的载体和后果来正确识别和管理所有风险。

6：根据ISO/SAE 21434制定管理体系和培训计划

在缺乏正式的管理系统的情况下，网络安全实践可能无法充分融入车辆的生命周期中。

构建符合 ISO/SAE 21434 要求并包含综合实践的管理系统的过程包括：

• 内部角色和职责的定义
•  
• 实施培训计划，包括提高网络安全水平监测技能和网络事件应对方法的课程