ISOSAE 21434 汽车网络安全标准理解、实施及内审员培训

课程简介：

目前，大部分汽车发达国家和地区都将智能网联汽车作为汽车产业未来发展的重要方向，纷纷加快产业布局、制定发展规划，通过技术研发、示范运行、标准法规、政策支持等综合措施，加快推动产业化进程。 然而，对于智能汽车许多人几乎没有基本安全防范，对于智能网联汽车来说，引入了汽车自身、物流运输 、保险、娱乐、管理部门和安全隐私的六大变革，使车联网攻击面急速增加，而攻击面的扩展则体现在直接攻击、便携设备攻击以及无线攻击三个部分，它们与外部服务联系愈加紧密，它们也越来越容易受到黑客和网络威胁的影响。在整个智能网联汽车开发的生命周期管理中，如何保证网络安全成为重要的课题，并获得内审员证书。

课程收益：

• 确保学员正确理解和掌握ISO/IEC 21434认可准则及应用要求
• 正确理解和掌握车辆全生命周期开发中的信息安全管理含企业组织层面和项目层面
• 能够掌握汽车网络安全威胁分析和风险评估办法
• 熟悉汽车及产品概念设计阶段、架构层面、系统层面的安全设计
• 掌握汽车软硬件产品网络安全的设计、集成、验证、确认
• 理解汽车网络安全开发中的支持流程、包括需求管理、配置管理、变更管理、监控和事件管理
  1. 网络安全治理与网络安全文化
  2. 信息共享
  3. 管理体系
  4. 工具管理
  5. 信息安全管理
  6. 组织网络安全审计
  7. 供应商能力
  8. 询价
  9. 职责一致
  10. 网络安全监视
  11. 网络安全事态评估
  12. 漏洞分析
  13. 漏洞管理

参训对象：

汽车相关软硬件开发工程师或技术员、车联网产品经理、项目经理、车联网信息安全工程师

授课形式：

知识讲解、案例分析讨论、角色演练、小组讨论、互动交流、游戏感悟、头脑风暴、强调学员参与。

课程大纲：

网络安全法规概览 (R155 CSMS)

1. UNECE机构介绍
2. R155法规条款适用范围
3. 条款正文
4. 附录要求

ISO 21434标准精讲

1. 标准各章节概要介绍
2. 组织级网络安全要求
3. 分布的网络安全活动
4. 持续的网络安全活动
5. 项目依赖的网络安全管理

1. 网络安全职责
2. 网络安全计划与裁剪
3. 重用、通用组件、外部组件
4. 网络安全事例
5. 网络安全评估
6. 开发后发布

1. 威胁分析与风险评估模型 (TARA)

1. 资产识别
2. 威胁场景识别
3. 影响打分
4. 攻击路径分析及攻击可能性打分
5. 风险值识别与风险处置决策

1. 概念阶段

1. 功能项定义
2. 网络安全目标 / 网络安全概念
3. 产品开发 (设计 / 集成验证)
4. 网络安全确认
5. 生产
6. 运行和维护 (网络安全事件响应/更新)
7. 结束网络安全支持和报废

1. 产品开发阶段
2. 开发后阶段
3. 网络安全保障等级 CAL

讲师介绍：高老师

高级讲师、高级项目经理

• 超过20年的信息技术领域工作经验，在IT项目管理、企业架构、解决方案架构、安全和隐私保护、业务连续性/应急响应方面有丰富的经验；
• 曾服务大众中国及宝马中国，作为首席架构师，参与业务领域数字化工作；
• 熟悉汽车行业、科技行业及国际化组织的业务模式和安全&隐私特点，丰富的咨询实施经验；
• 熟知国际国内现有隐私保护知识体系 (IAPP, CDPSE, EXIN, CISP-PIP)；
• IAPP官方亚太授权讲师，CISP-PIP官方授权讲师。
• 汽车行业网络安全能力建设项目实施经验（ISO 21434)

证书：

ISO 27001 LA，ITIL4 MP，IAPP CIPP/E，CIPM, CIPT，Scrum Master / PO，TOGAF Foundation，DAMA CDMP，ISACA CDPSE，EXIN DPO，ASPICE Provisional Assessor；Europrivacy Implementer / Auditor

会员：

ISACA会员，IEEE会员，OWASP会员，DAMA中国会员，IAPP会员，CSA中国区会员，CCF会员，SAE会员；

讲师资格：

IAPP官方授权亚太地区讲师(CIPP/E, CIPM, CIPT)；CISP-PIP授权讲师；CSA授权讲师(GCR CDSP及CZTP)。

服务过的主要企业：

宝马中国，华晨宝马，大众汽车，大众变速器，长城汽车，极氪，智己，亿咖通，寰福，华为，滴滴，小米，腾讯，极客嘉，安霸，快手，商汤，石头科技，恒瑞医药，甄云，360，吉咖，福瑞泰克，腾讯，磐沄科技……