青骥原创编译 | 《汽车信息安全管理指南》 – 作者:汽车信息安全

3.png

Hi同路人,这里是青骥信息安全公益小组,前期依次介绍BP系列的《应急响应》、《第三方合作管理》、《威胁检测监控与分析》和《汽车信息安全风险评估与管理指南》,在风险评估与管理指南里我们还重点分享了风险评估与管理的关键要素,推文发到智能网联汽车创新联盟信息安全工作组的微信群后,阿里巴巴满志勇老师提了句“要想做方案,先做风险建模和评估”,其实这也一语点破了风险评估的重要性,信息安全技术方案的前提就是建立在风险评估的基础上的。本篇将从整体视角与您分享汽车信息安全管理相关内容。本期统筹编译为公益翻译团荣誉创始成员@龚桓毅 同学,校稿为核心团队成员@林凯老师,为他们的无私奉献点赞。

  

– 主理人:李强 @Keellee

图片1.png

本 篇 概 述

前期几篇文章主要对信息安全的核心技术要素进行了介绍,那些都是信息安全工作中的关键部分。如果我们的信息安全工作要从零开始,又该如何开展信息安全项目的设计和建设工作呢?这也是我们今天原创编译内容的重点。BP本部分重点介绍了治理框架的三要素:设计、建设和运营

1. 设计汽车信息安全项目

在项目启动初期,首先需要定义信息安全业务所涉及的范围,主要目的还是确定相应的责任,责权分配清晰有助于工作的开展。

要确定汽车生态系统范围的话,那就得考虑产品设计、生产和供应链、车联网服务、售后服务、外部政策制度。在确定信息安全项目范围时,与网络安全重点相关的包括网络安全风险容忍度、网络安全的复杂性、企业风险管理工作以及现有的全公司范围的网络安全领域。

再谈谈信息安全的使命和愿景,每个公司业务不同,其信息安全的侧重点也有所差异,本文档给了些潜在的主题,包括客户安全,隐私,安心,安全需求等等核心诉求,其作用也是为了确定项目的业务中的地位,而愿景也可以更有前瞻性的显示项目希望在未来实现的目标。

最后确定整体业务的关键功能,也是按照公司业务有所侧重,包括网络安全风险管理、网络安全合规性、网络安全研究等等,设计之初,从其中某一个技术要点入手,然后不断的扩展,逐渐完善信息安全业务的覆盖度。

2. 建设汽车信息安全项目

安全本身是车辆的附属功能,其成本效益不好衡量,面对的未来不确定事件的提前防备,按照人们短浅的视野,一般都会心存侥幸,所以安全工作很难自下而上的运行,必须要依靠公司的政策,高层管理者自上而下的推动,才能有效的促进信息安全工作的开展。

那么公司汽车信息安全建设初期,就必须要获得高层领导的支持,在组织内部进行授权。汽车信息安全组织领导者需要直接接触到执行管理层,并且领导需要直接向公司的CEO汇报,直接在执行官的领导下开展工作,有权作出预算和人事的决定,包括分配资源,解决问题和冲突的优先事项。

解决了领导者赋能的问题之后,我们再开始讨论汽车信息安全项目整个人员配备的模型,按职能方式进行的话,以汽车模块划分,每个团队必须要有信息安全责任人,比如电子电器、动力系统、自动驾驶模块和娱乐系统等都要单独设立信息安全团队。当然也可以各模块的信息安全的工作统一归单个的信息安全团队负责。

按照地理区域划分的话,如果是个全球公司,比如北美、欧洲、亚洲、拉丁美洲都相应的要设立信息安全团队,各区域的信息安全团队隶属于信息安全团队总部,直接汇报给公司CEO。

如果想从事汽车信息安全的工作,或者说招聘相关的专业人才,应该具备哪些技术背景呢?那也得有产品本身、网络安全专业知识、风险管理知识等等相关知识技能,当然也需要相关的理工科的专业背景。

3. 运营汽车信息安全项目

正常的运营还是需要制定相应的政策和流程,政策和流程是明确的、易于遵循的、众所周知的,对于必须遵守这些政策和流程的人(包括车辆网络安全项目内部和外部的人,以及负责批准例外情况的人)是可用的。

管理方面,需要确定相应的工作指标和计划目标,明确每个人的职责和分工,通过计划、进度、风险控制等要素推动汽车信息安全工作的管理。

最后是有效的分配资源,按照业务与资源一致性的原则,定期检讨及重新分配资源。

以上就是本篇的概要内容,其实直接贴出译稿是直接高效的方式,大家下载查阅也很直接。为什么要认真的写概览呢?首先是满足个人学习自我总结的需要,另外希望我们的公众号在专业技术支撑的同时,不乏原创的温度,以及一点点做事的真诚。如果能够通过概览可以节约大家的时间,那么我们的目的也就达到了,再次感谢您的关注与支持!

   –主编: 杨文昌@VincentYang

本文及系列中文编译作品版权归青骥信息安全公益翻译团所有

欢迎您转载分享通过公众号或只是星球回复建议

本期全文PDF版本将在本星球独家发布全,预览详见后文

这是我们与您共建共享的公益知识星球,感谢您的持续关注

这里有免费的干货资料 & 200+ 精英小伙伴

每日不间断放送的汽车及信息安全干货&资讯

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

下为全文预览

Auto-ISAC-安全管理最佳实践V1.3.2-0420_00.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_01.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_02.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_03.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_04.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_05.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_06.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_07.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_08.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_09.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_10.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_11.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_12.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_13.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_14.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_15.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_16.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_17.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_18.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_19.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_20.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_21.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_22.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_23.pngAuto-ISAC-安全管理最佳实践V1.3.2-0420_24.png

微信图片_20200412003255.gif

青骥原创编译 | 《汽车信息安全风险评估与管理指南》

青骥原创编译 | 《汽车信息安全威胁检测监控与分析指南》

青骥原创编译 | 《汽车信息安全应急响应指南》 

青骥原创编译 | 《汽车信息安全执行摘要》中文编译版本概述及全文首发

创事记 | 除了免费放送100+的公益资料干货之外,我们还想 …

行业标准 | 网络数据安全标准体系建设指南 技术文章 l 汽车数字钥匙解决方案

标准介绍 l 车载网络设备信息安全技术要求汽车风险评估方法探讨

重磅发布:2020全球智能网联汽车信息安全报告 

信息安全龙头“360”被曝裁员,比例为15%到20%?

 Hackers Can Clone Millions of Toyota, Hyundai, and Kia Keys 

《网络与信息安全学报》最新论文:基于同态加密和区块链技术的车联网隐私保护方案 

《网络与信息安全学报》最新论文:基于通信特征的 CAN 总线泛洪攻击检测方法

青骥原创编译 | 《汽车信息安全威胁检测监控与分析指南》

青骥原创编译 | 《汽车信息安全应急响应指南》 

青骥原创编译 | 《汽车信息安全执行摘要》中文编译版本概述及全文首发

创事记 | 除了免费放送100+的公益资料干货之外,我们还想 …

行业标准 | 网络数据安全标准体系建设指南 技术文章 l 汽车数字钥匙解决方案

标准介绍 l 车载网络设备信息安全技术要求汽车风险评估方法探讨

重磅发布:2020全球智能网联汽车信息安全报告 

信息安全龙头“360”被曝裁员,比例为15%到20%?

 Hackers Can Clone Millions of Toyota, Hyundai, and Kia Keys 

《网络与信息安全学报》最新论文:基于同态加密和区块链技术的车联网隐私保护方案 

《网络与信息安全学报》最新论文:基于通信特征的 CAN 总线泛洪攻击检测方法


本站欢迎投稿并提供免费定制化行业资料搜集,反馈建议及合作烦请关注公众号

(星球提问或微信后台回复关键词:资料获取

 再次感谢您关注汽车信息安全 相关动态,目前本站除了公众号之外,还有同名的FreeBuF专栏、知识星球、微博以及头条号

希望伴君一路同行,做汽车信息安全知识的践行与传播者

01.jpg

来源:freebuf.com 2020-04-22 12:20:11 by: 汽车信息安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论