课程概述

2021年8月，国际化标准组织ISO发布了道路车辆网络安全工程ISO/SAE 21434: 2021。该标准主要解决道路车辆内的电子电气系统工程方面的网络安全问题, 通过对网络安全的正确考虑，使道路车辆中配备的电子电气系统工程与日益变化的技术和攻击方法相匹配。

该标准提供词汇、目的、要求和指南，作为 供应链内实现共识的基础，让组织能够：

• 定义网络安全策略与流程
• 管理网络安全风险
• 促进网络安全文化达成

本课程为期3天，主要采用讲解，workshop、 练习及考试等方式对ISO 21434道路车辆网络安全工程标准的解读，促进学员对标准的理解和应用。

课程收益

• 调整/裁剪必要的活动以支持车辆网络安全生命管理，开发，生产，运行，符合和报废；
• 依据案例实践实现ISO 21434部署与实施；
• 理解并实施整个开发过程中的网络安全方面 的知识，包括需求规范，设计，实施，集成， 验证，确认和配置；
• 理解判定风险类型的网络安全确保等级CALs的基于风险的方法；
• 应用CALs来实现可接受的残余风险；
• 提供确保充分的及可接受的达成网络安全的确认和确认措施的要求。

课程对象

项目经理、网络安全经理、开发测试人员、质量保证人员等。

课程大纲

第一天：

· 第一节 ISO 21434的介绍与概述

• 通过讲解的方式，为学员讲述网络安全的背景、汽车 网络安全的驱动力、网络安全标准的框架、网络安全基础的术语及概念、网络安全管理框架、CAL的定义、 SAE J3061与ISO 21434相关的概念。通过本节的讲解， 学员应当能够知晓部分汽车的网络安全事件，判断特 定产品的网络安全的相关性、识别公司内部的可能与ISO 21434相关的流程、识别公司内部有可能从ISO 21434受益的产品。

· 第二节 整体网络安全管理 (I)

• 通过标准讲解及示例讲解的方式，为学员呈现公司级网络安全管理相关的要求和满足要求的方法， 包括：网络安全公司级管理要求、网络安全文化的搭 建、网络安全管理系统的搭建、组织的网络安全审核 等。通过本节的内容，学员可以规划和进行公司及的网络安全管理活动。

· 第二节 整体网络安全管理 (II)

• 通过标准讲解及示例讲解的方式，为学员呈现 公司级网络安全管理相关的要求和满足要求的方法， 包括：网络安全公司级管理要求、网络安全文化的搭 建、网络安全管理系统的搭建、组织的网络安全审核等。通过本节的内容，学员可以规划和进行公司及的网络安全管理活动。

· 第三节 项目网络安全管理

• 通过讲解及练习的方式，为学员讲解在特定项目的网络安全活动的管理活动，包括制定项目的网络安全相关的角色与责任、网络安全生命周期的裁剪、网络安全计划的制订、项目重用分析、针对无相关环境组件的开发、标准件的使用、网络安全档案、网络安全评估以及发布生产等活动。通过本节的内容，学员能够为特定项目制定该项 目的网络安全开发所需的各个角色，并依据项目的具体情况识别需要进行的网络安全活动、制定网络安全计划，并依据计划对网络安全活动进行监控与调整，并依据制定的网络安全管理策略对网络安全活动进行评估，编写网络安全档案，支持网络安全开发后的生产发布活动。

· 第四节 概念阶段-相关项定义

• 通过练习+评讲的方式，让学员针对特定的系统进行网络安全活动中的相关项定义。在本节中，学员将通过特 定系统，如安全气囊系统（或其他客户指定的系统）进行 网络安全工程活动的实际开发活动中的第一个活动——相关项定义，为后续的网络安全开发收集必要的信息，以支持后续的网络安全开发活动。

· 第五节 概念阶段-威胁分析及风险评估 (I)

• 通过练习+评讲的方式，让学员针对特定的系统进行网络安全活动中的威胁分析和风险评估活动。在本节中， 学员将通过基于第四节中制定的相关项定义, 识别相关项中需要保护的资产，并基于该识别的资产进一步识别损毁场 景。在获得相关的损毁场景后，依据标准要求进行其影响分析。

第二天：

· 第五节  概念阶段-威胁分析及风险评估 (II)

• 通过练习+评讲的方式，让学员针对特定的系统进行网络安全活动中的威胁分析和风险评估活 动。在本节中，学员将通过基于第四节中制定的相关项定义, 识别相关项中需要保护的资产，并基于该识别的资产进一步识别损毁场景。在获得相关的损毁场景后，依据标准要求进行其影响分析。

· 第五节  概念阶段-威胁分析及风险评估 (III)

• 通过练习+评讲的方式，让学员针对特定的系统进行网络安全活动中的威胁分析和风险评估活 动。在本节中，学员将通过基于第四节中制定的威胁的影响评估、攻击可行性评估来进行风险值判定， 并依据获得的风险值判断对该风险的处置决议。

· 第六节  概念阶段-制定网络安全目标及网络安全声明

• 通过练习+评讲的方式，让学员针对特定的系统进 行网络安全活动中的网络安全目标的制定。本节中，学员 将基于第五节的风险判定结果，对识别的风险制定网络安全目标或网络安全声明。

· 第七节 概念阶段-网络安全概念制定 (I)

• 通过练习+评讲的方式，让学员针对特定的系统创 建网络安全概念。本节中，学员将基于制定的网络安全目 标制定将在特定系统，如安全气囊或客户指定的系统上需 要实现的网络安全概念，包括指定网络安全需求。

· 第七节 概念阶段-网络安全概念制定 (II)

• 通过练习+评讲的方式，让学员针对特定的系统创建网络安全概念。本节中，学员将基于制定的网络安全目标制定将在特定系统，如安全气囊或客户指定的系统上需要实现的网络安全概念，包括制定网络安全架构，分配网络安全需求等。

· 第八节  产品开发阶段-网络安全规范制定 (I)

• 通过练习+评讲的方式，让学员针对特定的系统进 行网络安全活动中的网络安全概念，制定网络安全规范。 在本节中，学员将基于第七节制定的网络安全概念分析并 获得需要在产品设计中实现的需求规范。

· 第八节  产品开发阶段-网络安全规范制定 (II)

• 通过练习+评讲的方式，让学员针对特定的系统进行网络安全活动中的网络安全概念，制定网络安全规范。在本节中，学员将基于第八节制定的 网络安全需求规范，并识别需要的架构设计，并依据其进行后续的软硬件开发。

· 第九节 产品开发阶段-集成与验证

• 通过练习+评讲的方式，让学员针对特定的系统进行网络安全活动中的网络安全规范，制定集成与验证活动。在本节中，学员将基于制定的网络安全规范，设计基于需求的网络安全集成与验证策略。设计基于需求的网络安全集成与验证的测试规范。

· 第十节 产品开发阶段-网络安全确认

• 通过练习+评讲的方式，让学员针对特定的系统进行 网络安全活动中的网络安全概念，制定网络安全确认策略 与规范。本节中，学员将根据网络安全概念、网络安全目标等设计并选择网络安全确认策略，并编制网络安全确认 报告。

· 第十一节  网络安全发布

• 通过讲解的方式，让学员了解网络安全发布的过程和要求。本节中，学员将了解网络安全发布的节点、要求， 并能够参与或主导网络安全发布相关工作。

· 第十二节  生产、运行、维护和报废阶段的 网络安全活动

• 通过讲解的方式，让学员了解网络安全在生产、运行、 服务和报废阶段的相关要求。本节中，学员将了解网络安 全活动在生产、运行、服务和报废阶段的主要要求，并知晓如何将其沟通至相关的角色。

· 第十三节 持续性安全活动

• 通过讲解+练习的方式，让学员了解持续性网络安全活动的要求。本节中，学员将了解网络安全监控、网络安 全事件评估、漏洞分析、漏洞管理等相关内容，从而能够为特定项目执行网络安全持续性安全活动。

· 第十四节 网络安全支持流程

• 通过讲解的方式，引入支持网络安全活动所需的支持过程。在本节中，学员将了解哪些QMS的流程能够支持网络安全活动，哪些特殊的网络安全支持流程需要在组织中进行部署和执行，特别是网络安全分布式开发流程。

· 考试

报名方式

请联系：杨小姐    021-53397720    freya.yang@intertek.com