1.2??流程體系

·ISO26262要求：組織應(yīng)建立、執(zhí)行并維護(hù)專門的流程體系，并持續(xù)改進(jìn)。 ·ISO21434要求：組織應(yīng)建立和維護(hù)信息安全的規(guī)則和流程，并持續(xù)改進(jìn)。 【導(dǎo)入建議】參照組織級(jí)的功能安全流程體系，建立信息安全流程體系。參考本系列文章中具體每部分的建議。

1.3??溝通機(jī)制

·ISO26262要求：組織應(yīng)建立功能安全領(lǐng)域、信息安全、及與其他領(lǐng)域間的有效溝通機(jī)制。 ·ISO21434要求：組織應(yīng)識(shí)別與信息安全相關(guān)的領(lǐng)域，并建立和維護(hù)各領(lǐng)域之間的溝通渠道。 【導(dǎo)入建議】根據(jù)公司組織架構(gòu)，識(shí)別出組織內(nèi)部會(huì)參與到信息安全活動(dòng)的團(tuán)隊(duì)或和信息安全活動(dòng)相關(guān)的團(tuán)隊(duì)，考慮團(tuán)隊(duì)之間溝通方式。比如針對(duì)信息安全core team，可以從以下三個(gè)方面考慮： ·core team與外部溝通（與第三方認(rèn)證公司溝通、與潛在客戶溝通、參加標(biāo)準(zhǔn)起草、研討會(huì)等） ·core team與其它團(tuán)隊(duì)（QA、功能安全部門、法務(wù)部、生產(chǎn)部等）的橫向溝通 ·core team與其它團(tuán)隊(duì)的縱向溝通，比如與項(xiàng)目信息安全經(jīng)理的溝通（給項(xiàng)目信息安全經(jīng)理提供技術(shù)支持，并對(duì)項(xiàng)目信息安全經(jīng)理的工作產(chǎn)出物進(jìn)行評(píng)審） 關(guān)于功能安全和信息安全之間的交互，可以參考ISO26262-2附錄E：Guidance on potential interaction of functional safety with cybersecurity。?

1.4??資源管理

·ISO26262要求：組織應(yīng)提供實(shí)施功能安全所需的資源（比如：人力資源、工具、數(shù)據(jù)庫(kù)、作業(yè)指南等），并對(duì)實(shí)施功能安全的人員充分授權(quán)。 ·ISO21434要求：組織應(yīng)分配信息安全職責(zé)和相應(yīng)的授權(quán)；組織應(yīng)提供資源以實(shí)施信息安全。 【導(dǎo)入建議】參考組織現(xiàn)有的功能安全資源管理做法，對(duì)信息安全所需的資源進(jìn)行管理： ·在現(xiàn)有的工具列表中，加入信息安全所需的工具，并進(jìn)行管理。E.g.,?滲透測(cè)試的工具、代碼漏洞掃描的工具等。 ·搭建組織級(jí)信息安全組織架構(gòu)和角色定義，至少包括：信息安全核心團(tuán)隊(duì)、信息安全經(jīng)理、信息安全工程師等。 ·制訂每個(gè)信息安全角色的職責(zé)，根據(jù)職責(zé)，給予充分授權(quán)。比如對(duì)信息安全經(jīng)理，有調(diào)配人力資源的權(quán)力，在產(chǎn)品發(fā)布時(shí)，有一票否決權(quán)。 ·其它資源（e.g.?數(shù)據(jù)庫(kù)、作業(yè)指南），放在公司流程體系中管理維護(hù)。 ? 華菱咨詢成立于2001年，是長(zhǎng)三角，珠三角、京津冀和西南地區(qū)具有影響力的咨詢機(jī)構(gòu)。專注于標(biāo)準(zhǔn)體系咨詢、產(chǎn)品認(rèn)證咨詢、企業(yè)管理項(xiàng)目咨詢以及相關(guān)教育訓(xùn)練的顧問(wèn)公司。公司已在北京、上海、深圳、杭州、、江西、西安設(shè)立了分支機(jī)構(gòu)。經(jīng)過(guò)20多年的發(fā)展，現(xiàn)已成為江蘇省咨詢協(xié)會(huì)理事單位、蘇州工商聯(lián)咨詢協(xié)會(huì)理事單位、北京企業(yè)管理咨詢協(xié)會(huì)會(huì)員單位、上海認(rèn)證協(xié)會(huì)會(huì)員單位、上海咨詢協(xié)會(huì)會(huì)員單位、廣東省咨詢協(xié)會(huì)會(huì)員單位；同時(shí)也被評(píng)為江蘇省和廣東省優(yōu)秀管理咨詢機(jī)構(gòu)。