品质协会(www.PinZhi.org)

 找回密码
 加入协会

QQ登录

只需一步,快速开始

查看: 7453|回复: 27

IATF 16949 SI 21的实施建议

[复制链接]

16

主题

66

回帖

1

精华

品质协会高级会员

Rank: 4

积分
3154
品质币
3052
职位
1
发表于 2022-10-29 13:26:20 | 显示全部楼层 |阅读模式
IATF  16949 增加了 对 6.1.2.1 条款增加了 :SI -21 ,  具体是“b) 对信息技术系统的网络攻击威胁。” 那么,如何实施这个条款呢?
1、变更理由:
我们看SI-21的变更理由:由于认证组织的信息技术系统中保存着有价值的信息,潜在的网络攻击会给所有认证组织带来风险。组织需要在风险分析中考虑潜在的网络攻击。
这个理由告诉我们应该关注信息系统资料的安全性,对信息系统保持的价值资料,影响其安全性的网络攻击风险应该识别并控制。
2、与SI-21 相关的条款:
  6.1.2.3  应急计划
c) 准备应急计划,以在下列任一情况下保证供应的连续性:关键设备故障(见第8.5.6.1条);外部提供的产品、过程或服务中断;常见自然灾害;火灾;流行病-SI3;公共事业中断;对信息系统的网络攻击-SI3;劳动力短缺;或者基础设施破坏;
   这个条款要求组织应该制定信息系统网络攻击的应急方案,并对方法的有效性进行评审测试培训
7.1.3.1 工厂、设施和设备策划
c) 对支持制造的设备和系统实施网络保护。-SI18
这个条款要求组织:设备和系统的安全要进行网络保护。
  7.2.1 能力-补充
    为减少或消除组织面临的风险,培训和认识还应包括与组织工作环境和员工责任相关的预防信息,例如识别即将发生的设备故障和/或网络攻击未遂的症状。
这个条款要求对设备故障和网络攻击的未遂事件,要给员工培训和认知。
上述 3个条款,从信息系统的网络攻击风险识别开始,制定保护措施、应急计划,并展开员工培训, 全方位的要求做好网络攻击的分析控制。
3、如是系统的实施这个条款呢?
  在ISO 27001中,告诉我们信息安全关注的三个基本特性:机密性、完整性、可用性。  
  机密性和可用性,就像天平的两个秤砣,机密性等级越高,可用性就越差。 从上述三个指标,我们可以综合评价一个信息安全的保护要求。

步骤一:识别信息资产,对资产从上述三个方面判断其重要性。
   资产可以分为: 数据、软件、硬件、人员、文档和服务六大类。
   IATF 的解释中,我们关注数据、软件和硬件,这三大类。
步骤二:对重要资产进行威胁识别.
    什么叫威胁呢? 威胁是指可能导致对系统或组织的损害的不期望事件的潜在原因。
    从这个定义看,要识别威胁先的找到不期望事件,然后找原因即可。  这个类似FMEA分析,找失效模式、然后找原因。  原因从三个方面识别:人为故意、人为非故意、环境方面。
如: 信息资产:邮件服务器。
     不期望事件: 无法访问。
     威胁: 内存卡故障
步骤三: 对重要资产进行脆弱性识别。
   什么叫脆弱性呢? 由于组织缺乏充分的安全控制,组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点。脆弱性从两个方面,一个是资产本身脆弱,一个是管理措施不到位的脆弱。其实也是导致不期望事件的原因。
   如:信息资产:邮件服务器
        不期望事件: 无法访问
        脆弱性: 未按照防火墙、密码设置太简单。
步骤四:进行风险评价。
  我们对信息资产,威胁和脆弱性制定评价准则,然后进行评价,识别不可接受风险,并制定改进措施。
例如:
资产资产价值不期望事件事件可能性事件损失威胁
威胁
脆弱性
严重
风险系数接受程度控制措施
频率
程度
路由器-1
5
无法访问
3
5
未授权访问
2
Cisco未设置密码
3
450
可接受
设置安全密码
漏洞利用
5
CISCO IOS界面被IPv4数据包阻塞
3
1125
不可接受
对数据包进行处置

   最后的话:
   完整的信息安全管理应该导入ISO27001, 目前ISO 27001:2022版已经发布,希望大家重视起来。

来源:微信 公众号:“汽车体系




1. 问答、交流探讨的帖子,回帖时,请不要发纯表情等无价值回帖,无意义,太多了影响用户体验,经常这样账号会被扣分甚至禁号的;
2. 品质协会是个学习、交流分享的平台,所有资料和内容归作者和版权方所有,需要正版标准、资料的请去相关的官方网站等平台购买。
您需要登录后才可以回帖 登录 | 加入协会

本版积分规则

《品质协会规则》|品质币|手机版|品质B2B|联系我们|注册加入协会|品质协会(www.PinZhi.org) |网站地图

GMT+8, 2024-11-15 22:45 , Processed in 0.040897 second(s), 7 queries , Gzip On, Redis On.

Powered by 品质协会 © 2010-2024

品质人,让生活和环境变得更美好!!!

快速回复 返回顶部 返回列表