SAEJ3061是ISO/SAE21434的前身，該指南通過以下方式為汽車網(wǎng)絡(luò)安全建立了一套高級指導(dǎo)原則，包括：

–定義完整的生命周期流程框架

–就常見的現(xiàn)有工具和方法提供相關(guān)信息

–給出信息安全的基本指導(dǎo)原則

–總結(jié)下一步的標(biāo)準(zhǔn)制定

SAEJ3061指出，信息安全有一個適當(dāng)?shù)纳芷冢撝芷诘亩x類似于ISO26262中描述的流程框架。此外，對于功能安全和信息安全，是要使二者維持在同一安全水平上且相互獨立，還是要使二者的過程互相集成，在這點上并沒有限制。

該指南還建議對潛在威脅進(jìn)行初步評估，同時對與信息安全相關(guān)或關(guān)聯(lián)的系統(tǒng)進(jìn)行風(fēng)險評估，以確定是否存在可能導(dǎo)致違反安全規(guī)定的信息安全威脅?；诖?，發(fā)表了有關(guān)SAEJ3061應(yīng)用的報告。

盡管其他標(biāo)準(zhǔn)(例如IEC62443或ISO27000系列)并不是直接針對汽車系統(tǒng)的，但這些標(biāo)準(zhǔn)涉及到汽車的生產(chǎn)和后端系統(tǒng)。

在ISO26262(2011)和SAEJ3061的背景下，本文回顧了適用的威脅分析方法以及SAEJ3061指南中對于威脅分析和風(fēng)險評估方法(TARA)的建議。除了對適用分析方法以及提出的威脅分析方法進(jìn)行評估之外，本文還根據(jù)ISO26262(2011)和SAEJ3061對復(fù)雜汽車系統(tǒng)的功能安全和信息安全相關(guān)方面的信任邊界和攻擊向量識別進(jìn)行了研究。本文提出了一種在現(xiàn)有的ASPICE環(huán)境中用于集成信息安全和功能安全工程的結(jié)構(gòu)化方法。

除此之外，本文介紹了ISO/SAE21434的發(fā)展和現(xiàn)狀?；谕{模型的安全分析工具和一種名為RISKEE的汽車網(wǎng)絡(luò)安全風(fēng)險評估方法，提出了新的安全分析工具—ThreatGet。該方法能夠通過攻擊圖和鉆石模型并結(jié)合FAIR來評估和計算風(fēng)險。同時，探討了正在進(jìn)行的安全系統(tǒng)開發(fā)，審查了方法指南的現(xiàn)狀，并首次對將汽車網(wǎng)絡(luò)安全與現(xiàn)有流程融合進(jìn)行了評估。

選擇ISO 21434的等級是根據(jù)企業(yè)的具體情況和需求來確定的。以下是一些指導(dǎo)原則：

1. 了解標(biāo)準(zhǔn)要求：詳細(xì)了解ISO 21434標(biāo)準(zhǔn)的要求和各個等級的定義。明確標(biāo)準(zhǔn)對汽車網(wǎng)絡(luò)安全的要求，以及不同等級之間的差異。

2. 風(fēng)險評估：進(jìn)行全面的風(fēng)險評估，評估企業(yè)的車輛和系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險和潛在威脅。根據(jù)風(fēng)險評估結(jié)果，確定需要達(dá)到的最低安全等級。

3. 業(yè)務(wù)需求和客戶要求：考慮企業(yè)的業(yè)務(wù)需求和客戶的要求，以及合規(guī)性和市場競爭要求。如果業(yè)務(wù)和客戶對網(wǎng)絡(luò)安全有較高的要求，可能需要選擇更高的安全等級。

4. 資源和預(yù)算：評估企業(yè)可用的資源和預(yù)算，包括人員、技術(shù)工具和設(shè)施等。確保選擇的安全等級在企業(yè)能力和資源范圍內(nèi)可實施。

5. 持續(xù)改進(jìn)：考慮企業(yè)未來的發(fā)展和持續(xù)改進(jìn)計劃。選擇一個適當(dāng)?shù)陌踩燃?，有助于滿足未來的需求，并能夠適應(yīng)不斷變化的網(wǎng)絡(luò)安全威脅。

最終的選擇應(yīng)該是基于綜合考慮以上因素，并根據(jù)企業(yè)的具體情況進(jìn)行權(quán)衡和決策。建議尋求專業(yè)的咨詢和指導(dǎo)來幫助企業(yè)做出明智的選擇。

關(guān)于我們

華菱咨詢成立于2001年，是長三角，珠三角、京津冀和西南地區(qū)具有影響力的咨詢機(jī)構(gòu)。專注于標(biāo)準(zhǔn)體系咨詢、產(chǎn)品認(rèn)證咨詢、企業(yè)管理項目咨詢以及相關(guān)教育訓(xùn)練的顧問公司。公司已在北京、上海、深圳、杭州、、江西、西安設(shè)立了分支機(jī)構(gòu)。經(jīng)過20多年的發(fā)展，現(xiàn)已成為江蘇省咨詢協(xié)會理事單位、蘇州工商聯(lián)咨詢協(xié)會理事單位、北京企業(yè)管理咨詢協(xié)會會員單位、上海認(rèn)證協(xié)會會員單位、上海咨詢協(xié)會會員單位、廣東省咨詢協(xié)會會員單位；同時也被評為江蘇省和廣東省優(yōu)秀管理咨詢機(jī)構(gòu)。