目录
一、概述
为了实现网络安全工程,该组织建立并维护网络安全治理和网络安全文化,包括网络安全意识管理、能力管理和持续改进。这涉及到指定针对本文档的目标进行独立审计的特定于组织的规则和过程。
为了支持网络安全工程,该组织实施了网络安全的管理系统,包括管理工具和应用质量管理系统。
二、目标
本条款的目的是:
-
- 定义网络安全政策和特定于组织的网络安全规则和流程;
- 指定执行网络安全活动所需的职责和相应的权限;
- 支持网络安全的实施,包括提供资源和管理网络安全过程与相关过程之间的互动;
- 建立并维护网络安全文化,包括能力管理、意识管理和持续改进;
- 管理网络安全风险;
- 执行组织性网络安全审计;
- 支持和管理网络安全信息的共享;
- 建立和维护支持网络安全维护的管理系统;
- 提供证据,证明使用工具不会对网络安全产生不利影响。
三、输入
3.1 先决条件
无。
3.2 进一步支持信息
可以考虑以下信息:
-
- 符合支持质量管理的标准的现有证据。
四、要求和建议
4.1 网络安全治理
下图概述总体网络安全政策与特定组织的网络安全规则和流程、职责和资源之间的关系。
【RQ-05-01】本组织应定义一个网络安全政策,其中包括:
-
- 承认道路车辆的网络安全风险;
- 执行管理层承诺管理相应的网络安全风险。
【RQ-05-02】本组织应建立和维护以下规则和流程,以便:
-
- 能够实现本文件的要求;
- 支持相应的活动的执行。
【RQ-05-03】组织应分配和沟通相应的职责和相应的组织权力,以实现和维护网络安全。
【RQ-05-04】该组织应提供解决网络安全问题的资源。。
【RQ-05-05】本组织应确定与网络安全相关或与之互动的学科,并建立和维护这些学科之间的沟通渠道,以便:
-
- 确定网络安全是否以及将如何整合到现有流程中;
- 协调相关信息的交流。
4.2 网络安全文化
【RQ-05-06】该组织应培养和保持一个强大的网络安全文化。
【RQ-05-07】组织应确保分配网络安全角色和职责的人员具有履行这些任务的能力和意识。
【RQ-05-08】该组织应建立并保持一个持续的改进过程。
4.3 信息共享
【RQ-05-09】组织应明确在组织内外要求、允许和禁止与网络安全有关的信息共享的情况。
【RQ-05-10】组织应根据[RQ-05-09],将共享数据的信息安全管理与其他各方保持一致。
4.4 管理系统
【RQ-05-11】该组织应根据国际标准或同等标准建立和维护一个质量管理体系,以支持网络安全工程,解决:
-
- 变更管理;
- 文件管理;
- 配置管理;
- 需求管理。
【RQ-05-12】产品在维护网络安全所需的领域的配置信息应一直保留到对产品的网络安全支持结束,以便采取补救行动。
【RQ-05-13】应建立一个针对生产过程的网络安全管理系统,以支持生产阶段网络安全的活动。
4.5 工具管理
【RQ-05-14】应管理可能影响项目或部件网络安全的工具。
【RQ-05-15】在支持网络安全事件之前,应提供适当的环境(见网络安全事件响应)。
4.6 信息安全管理
【RQ-05-16】工作产品应按照信息安全管理系统进行管理。
4.7 组织网络安全审计
【RQ-05-17】应独立进行网络安全审计,以判断组织流程是否达到了本文件的目标。
五、输出
【WP-05-01】根据 网络安全治理、网络安全文化、信息共享 的要求而产生的网络安全政策、规则和流程;
【WP-05-02】根据 网络安全文化 的要求而产生的能力管理、意识管理的持续改进的证据;
【WP-05-03】根据 管理系统、工具管理、信息安全管理 的要求所产生的组织的管理体系的证据;
【WP-05-04】根据 工具管理 的要求而产生的的 工具管理的证据;
【WP-05-05】根据 组织网络安全设计 的要求提出的组织网络安全审计报告