在完成供應(yīng)商定點(diǎn)后，需識別客戶和供應(yīng)商各自執(zhí)行的網(wǎng)絡(luò)安全活動，通過簽署《網(wǎng)絡(luò)安全接口協(xié)議》確定雙方的職責(zé)。在后續(xù)的分布式開發(fā)活動中，雙方根據(jù)接口協(xié)議完成各自的安全活動，以下是21434提供的一個(gè)《網(wǎng)絡(luò)安全接口協(xié)議》模板：

可以看出，接口協(xié)議的作用是確定21434中規(guī)定的各項(xiàng)網(wǎng)絡(luò)安全活動客戶和供應(yīng)商分別充當(dāng)什么角色。這個(gè)協(xié)議由雙方協(xié)商確認(rèn)，例如，零件的TARA由供應(yīng)商來做，客戶進(jìn)行審批，那么威脅分析和風(fēng)險(xiǎn)評估這項(xiàng)，供應(yīng)商勾選R（Responsible), 客戶勾選A（accountable)。

除了接口協(xié)議，客戶與供應(yīng)商的接口還需要規(guī)定好：

雙方的接口聯(lián)絡(luò)人

信息共享的策略（包括信息共享的流程、工具，漏洞披露的流程等）

安全活動的目標(biāo)里程碑

漏洞和風(fēng)險(xiǎn)的反饋機(jī)制和網(wǎng)絡(luò)安全事件的處理機(jī)制。

小結(jié)

網(wǎng)絡(luò)安全相關(guān)的標(biāo)準(zhǔn)和政策到目前為止出臺僅一年多的時(shí)間，各大整車廠、Tier的安全能力建設(shè)都還在起步階段，因此在初期對于供應(yīng)商的能力評估更多還是基于裁剪給過的體系要求，等到行業(yè)水平達(dá)到一定程度，相關(guān)的認(rèn)證、審核機(jī)制日益成熟，可能會發(fā)展成與ASPICE或16949類似相對標(biāo)準(zhǔn)的評估模式。對于定點(diǎn)后的供應(yīng)商管理，主要基于網(wǎng)絡(luò)安全接口協(xié)議，要求供應(yīng)商提供零件從TARA，安全方案設(shè)計(jì)到測試、生產(chǎn)整個(gè)完整邏輯鏈的實(shí)施證據(jù)。

持續(xù)的網(wǎng)絡(luò)安全活動。

華菱咨詢位于中國長三角、珠三角、京津冀和西南地區(qū)地區(qū)，成立于 2001 年,專注于標(biāo)準(zhǔn)體系咨詢、產(chǎn)品認(rèn)證咨詢、企業(yè)管理項(xiàng)目咨詢以及相關(guān)教育訓(xùn)練的顧問公司。公司已在北京、上海、杭州、廣州、深圳、合肥、江西、西安設(shè)立了分支機(jī)構(gòu)。

經(jīng)過20多年的發(fā)展與實(shí)踐沉淀，華菱咨詢將利用深厚的行業(yè)知識，幫助客戶把握新機(jī)遇，評估和管理風(fēng)險(xiǎn)，以實(shí)現(xiàn)負(fù)責(zé)任的增長。華菱咨詢高績效的跨學(xué)科團(tuán)隊(duì)可幫助客戶滿足監(jiān)管要求，確?？蛻?/strong>及時(shí)了解信息并滿足利益相關(guān)者的需求。華菱咨詢將為客戶提供全面的端到端的服務(wù)，利用技術(shù)的進(jìn)步真正推動業(yè)務(wù)的發(fā)展。

版權(quán)聲明：