Hi同路人,这里是青骥信息安全公益小组,前期依次介绍BP系列的《应急响应》、《第三方合作管理》、《威胁检测监控与分析》和《风险评估与管理指南》,在风险评估与管理指南里我们还重点分享了风险评估与管理的关键要素,推文发到智能网联汽车创新联盟信息安全工作组的微信群后,阿里巴巴满志勇老师提了句“要想做方案,先做风险建模和评估”,其实这也一语点破了风险评估的重要性,信息安全技术方案的前提就是建立在风险评估的基础上的。本篇将从整体视角与您分享汽车信息安全管理相关内容。本期统筹编译为公益翻译团荣誉创始成员@龚桓毅同学,校稿为核心团队成员@林凯老师,为他们的无私奉献点赞。
-- 主理人:李强 @Keellee
本篇概述
前期几篇文章主要对信息安全的核心技术要素进行了介绍,那些都是信息安全工作中的关键部分。如果我们的信息安全工作要从零开始,又该如何开展信息安全项目的设计和建设工作呢?这也是我们今天原创编译内容的重点。BP本部分重点介绍了治理框架的三要素:设计、建设和运营。
1. 设计汽车信息安全项目
在项目启动初期,首先需要定义信息安全业务所涉及的范围,主要目的还是确定相应的责任,责权分配清晰有助于工作的开展。
要确定汽车生态系统范围的话,那就得考虑产品设计、生产和供应链、车联网服务、售后服务、外部政策制度。在确定信息安全项目范围时,与网络安全重点相关的包括网络安全风险容忍度、网络安全的复杂性、企业风险管理工作以及现有的全公司范围的网络安全领域。
再谈谈信息安全的使命和愿景,每个公司业务不同,其信息安全的侧重点也有所差异,本文档给了些潜在的主题,包括客户安全,隐私,安心,安全需求等等核心诉求,其作用也是为了确定项目的业务中的地位,而愿景也可以更有前瞻性的显示项目希望在未来实现的目标。
最后确定整体业务的关键功能,也是按照公司业务有所侧重,包括网络安全风险管理、网络安全合规性、网络安全研究等等,设计之初,从其中某一个技术要点入手,然后不断的扩展,逐渐完善信息安全业务的覆盖度。
2. 建设汽车信息安全项目
安全本身是车辆的附属功能,其成本效益不好衡量,面对的未来不确定事件的提前防备,按照人们短浅的视野,一般都会心存侥幸,所以安全工作很难自下而上的运行,必须要依靠公司的政策,高层管理者自上而下的推动,才能有效的促进信息安全工作的开展。
那么公司汽车信息安全建设初期,就必须要获得高层领导的支持,在组织内部进行授权。汽车信息安全组织领导者需要直接接触到执行管理层,并且领导需要直接向公司的CEO汇报,直接在执行官的领导下开展工作,有权作出预算和人事的决定,包括分配资源,解决问题和冲突的优先事项。
解决了领导者赋能的问题之后,我们再开始讨论汽车信息安全项目整个人员配备的模型,按职能方式进行的话,以汽车模块划分,每个团队必须要有信息安全责任人,比如电子电器、动力系统、自动驾驶模块和娱乐系统等都要单独设立信息安全团队。当然也可以各模块的信息安全的工作统一归单个的信息安全团队负责。
按照地理区域划分的话,如果是个全球公司,比如北美、欧洲、亚洲、拉丁美洲都相应的要设立信息安全团队,各区域的信息安全团队隶属于信息安全团队总部,直接汇报给公司CEO。
如果想从事汽车信息安全的工作,或者说招聘相关的专业人才,应该具备哪些技术背景呢?那也得有产品本身、网络安全专业知识、风险管理知识等等相关知识技能,当然也需要相关的理工科的专业背景。
3. 运营汽车信息安全项目
正常的运营还是需要制定相应的政策和流程,政策和流程是明确的、易于遵循的、众所周知的,对于必须遵守这些政策和流程的人(包括车辆网络安全项目内部和外部的人,以及负责批准例外情况的人)是可用的。
管理方面,需要确定相应的工作指标和计划目标,明确每个人的职责和分工,通过计划、进度、风险控制等要素推动汽车信息安全工作的管理。
最后是有效的分配资源,按照业务与资源一致性的原则,定期检讨及重新分配资源。
以上就是本篇的概要内容,其实直接贴出译稿是直接高效的方式,大家下载查阅也很直接。为什么要认真的写概览呢?首先是满足个人学习自我总结的需要,另外希望我们的公众号在专业技术支撑的同时,不乏原创的温度,以及一点点做事的真诚。如果能够通过概览可以节约大家的时间,那么我们的目的也就达到了,再次感谢您的关注与支持!
--主编: 杨文昌@VincentYang
下为全文预览
青骥信息安全公益翻译团本期成员
编译:@龚桓毅
校稿:@林凯
主编:@Vincent Yang
主理人:@Keellee
声明:本文来自汽车信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。