IATF 16949 SI 21的实施建议
IATF16949 增加了 对 6.1.2.1 条款增加了 :SI -21 ,具体是“b) 对信息技术系统的网络攻击威胁。” 那么,如何实施这个条款呢?1、变更理由:我们看SI-21的变更理由:由于认证组织的信息技术系统中保存着有价值的信息,潜在的网络攻击会给所有认证组织带来风险。组织需要在风险分析中考虑潜在的网络攻击。这个理由告诉我们应该关注信息系统资料的安全性,对信息系统保持的价值资料,影响其安全性的网络攻击风险应该识别并控制。2、与SI-21 相关的条款:6.1.2.3应急计划c) 准备应急计划,以在下列任一情况下保证供应的连续性:关键设备故障(见第8.5.6.1条);外部提供的产品、过程或服务中断;常见自然灾害;火灾;流行病-SI3;公共事业中断;对信息系统的网络攻击-SI3;劳动力短缺;或者基础设施破坏; 这个条款要求组织应该制定信息系统网络攻击的应急方案,并对方法的有效性进行评审测试培训。
7.1.3.1 工厂、设施和设备策划 c) 对支持制造的设备和系统实施网络保护。-SI18这个条款要求组织:设备和系统的安全要进行网络保护。7.2.1 能力-补充
为减少或消除组织面临的风险,培训和认识还应包括与组织工作环境和员工责任相关的预防信息,例如识别即将发生的设备故障和/或网络攻击未遂的症状。这个条款要求对设备故障和网络攻击的未遂事件,要给员工培训和认知。上述 3个条款,从信息系统的网络攻击风险识别开始,制定保护措施、应急计划,并展开员工培训, 全方位的要求做好网络攻击的分析控制。3、如是系统的实施这个条款呢?在ISO 27001中,告诉我们信息安全关注的三个基本特性:机密性、完整性、可用性。机密性和可用性,就像天平的两个秤砣,机密性等级越高,可用性就越差。 从上述三个指标,我们可以综合评价一个信息安全的保护要求。
步骤一:识别信息资产,对资产从上述三个方面判断其重要性。 资产可以分为: 数据、软件、硬件、人员、文档和服务六大类。 IATF 的解释中,我们关注数据、软件和硬件,这三大类。
步骤二:对重要资产进行威胁识别. 什么叫威胁呢? 威胁是指可能导致对系统或组织的损害的不期望事件的潜在原因。 从这个定义看,要识别威胁先的找到不期望事件,然后找原因即可。这个类似FMEA分析,找失效模式、然后找原因。原因从三个方面识别:人为故意、人为非故意、环境方面。如: 信息资产:邮件服务器。
不期望事件: 无法访问。 威胁: 内存卡故障
步骤三: 对重要资产进行脆弱性识别。
什么叫脆弱性呢? 由于组织缺乏充分的安全控制,组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点。脆弱性从两个方面,一个是资产本身脆弱,一个是管理措施不到位的脆弱。其实也是导致不期望事件的原因。 如:信息资产:邮件服务器
不期望事件: 无法访问 脆弱性: 未按照防火墙、密码设置太简单。步骤四:进行风险评价。
我们对信息资产,威胁和脆弱性制定评价准则,然后进行评价,识别不可接受风险,并制定改进措施。例如:
资产资产价值不期望事件事件可能性事件损失威胁威胁脆弱性严重风险系数接受程度控制措施
频率程度
路由器-15无法访问35未授权访问2Cisco未设置密码3450可接受设置安全密码
漏洞利用5CISCO IOS界面被IPv4数据包阻塞31125不可接受对数据包进行处置
最后的话: 完整的信息安全管理应该导入ISO27001, 目前ISO 27001:2022版已经发布,希望大家重视起来。
来源:微信 公众号:“汽车体系”
{:1_101:} 可以 :) 谢谢分享 谢谢分享 谢谢分享 謝謝分享 {:1_97:} {:1_180:}{:1_180:}