この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部または全部を特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html .
この文書は、技術委員会 ISO/TC 22, 道路車両、小委員会 SC 32, 電気および電子部品および一般的なシステムの側面によって作成されました。
序章
このドキュメントは、ISO/SAE 21434道路車両 — サイバーセキュリティ エンジニアリングに関連しており、管理システムを監査するための ISO 19011 ガイドラインを自動車分野に拡張しています。
このドキュメントは、自動車のサプライ チェーンのあらゆる部分で自動車のサイバーセキュリティ エンジニアリングに関与する組織、および監査を実施する必要がある組織を対象としています。この文書は、さまざまな範囲の監査に使用できます。
このドキュメントは、自動車のサイバーセキュリティ エンジニアリング監査プログラムの範囲に適合するように調整されています。このドキュメントのサイバーセキュリティ監査は、組織レベルでのサイバーセキュリティ活動を対象としています。過去のプロジェクトの結果は、実装および適用されたプロセスの証拠として使用できますが、プロジェクトおよび製品レベルはこのドキュメントの焦点ではありません。
この文書は、監査プログラムの管理、マネジメントシステム監査の計画と実施、および監査チームの能力と評価に関するガイドラインを提供します。監査は、さまざまな監査基準に対して実施できます。このドキュメントは、ISO/SAE 21434 の目的に基づいた一連の監査基準を提供します。さらに、付録 A には、適応可能な質問票の例が含まれています。
この文書は、内部監査 (第一者)、組織が外部関係者に対して実施する監査 (第二者)、および第三者が実施する外部監査 (認証目的など) に使用できます。この文書は、監査員のトレーニングや要員の認定に携わる組織にも役立ちます。
1 スコープ
ISO 19011 のガイドラインに加えて、このドキュメントは、サプライ チェーン全体で道路車両のサイバーセキュリティの達成に貢献する組織に、次のガイドラインを提供します。
- サイバーセキュリティ管理システム (CSMS) の監査プログラムの管理。
- 組織の CSMS 監査を実施する。
- CSMS 監査員の能力;他の
- CSMS 監査中に証拠を提供します。
CSMS の要素は、ISO/SAE 21434 で説明されているプロセスに基づいています。このドキュメントは、CSMS の内部監査または外部監査を理解または実施する必要がある人、または CSMS 監査プログラムを管理する必要がある人に適用されます。
このドキュメントは、サイバーセキュリティ評価に関するガイドラインを提供しません。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/SAE 21434:2021, 道路車両 — サイバーセキュリティ エンジニアリング
- ISO 19011:2018, 監査マネジメント システムのガイドライン
3 用語と定義
このドキュメントの目的のために、ISO/SAE 21434, ISO 19011, および以下に記載されている用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
監査
プロセス目標が達成される程度を決定するためのプロセスの検査
注記 1: 「監査」は、ISO 19011 および ISO/SAE 21434 で定義されています。ISO/SAE 21434 の定義は、このドキュメントと ISO/SAE 21434 の間の互換性をサポートするために、このドキュメントで使用されています。
[SOURCE:ISO/SAE 21434:2021, 3.1.6, modified — エントリに注 1 が追加されました。]
3.2
サイバーセキュリティ管理システム
CSMS
道路車両に対する脅威に関連する リスク (3.3) を管理し、脅威から保護するための組織のプロセス、責任、およびガバナンスを定義する体系的なリスクベースのアプローチ。
[出典:リファレンス [9], 2.3, 修正 — アプリケーション ドメインを明確にするために「道路」を追加、「治療」を「管理」に置き換え、「サイバー」を削除、「サイバー攻撃」を「脅威」に置き換え]
3.3
危険
サイバーセキュリティリスク
攻撃の実現可能性と影響の観点から表現された道路車両のサイバーセキュリティに対する不確実性の影響
注記 1: ISO 19011 では、リスクという用語のより広い定義を使用しています。
[SOURCE:ISO/SAE 21434:2021, 3.1.29, modified — エントリに注 1 が追加されました。]
3.4
サプライチェーン
リンクされた一連のリソースとプロセスを持つ一連の組織。それぞれが顧客、サプライヤー、またはその両方として機能し、発注、契約、またはその他の正式な調達契約の締結時に確立された連続的なサプライヤー関係を形成します。
注記1:サプライチェーンには、車両の製造、設計、開発に関与する組織、またはサービスの運用、管理、および提供に関与するサービスプロバイダーが含まれます。
注記2:サプライチェーンの見方は、顧客の位置に関連しています。
[出典:ISO/IEC 27036-1:2021, 3.10, 修正 — 「取得者」を「顧客」に置き換え、注記 1 を修正。
参考文献
| [1] | ISO Guide 73, リスク管理 — 語彙 |
| [2] | ISO 9001, 品質管理システム — 要件 |
| [3] | ISO/IEC 17000, 適合性評価 - 語彙と一般原則 |
| [4] | ISO/IEC 17021-1, 適合性評価 — マネジメントシステムの監査および認証を提供する機関の要件 — 1: 要件 |
| [5] | ISO 2626, 道路車両 — 機能安全 |
| [6] | ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙 |
| [7] | ISO/IEC 27036-1:2021, サイバーセキュリティ — サプライヤーとの関係 — 1: 概要と概念 |
| [8] | IATF 16949, 自動車生産および関連するサービス部品組織の品質管理システム要件 |
| [9] | UN E/ECE/TRANS/505/Rev.3/Add.154 — 国連規則 No. 155, サイバーセキュリティおよびサイバーセキュリティ管理システムに関する車両の承認に関する統一規定[オンライン 2021 年 3 月 [2021 年 3 月 24 日閲覧 https://unece.org/sites/default/files/2021-03/R155e.pdf で入手可能 |
| [10] | VDA QMC ワーキング グループ 13/ AUTOMOTIVE SIG. Automotive SPICE Process Assessment/ Reference Model, バージョン 3.1 [オンラインベルリン: VDA QMC, 2017 年 11 月。 http://www.automotivespice.com/fileadmin/software -download/AutomotiveSPICE _PAM _31 で入手可能。 pdf |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 22, Road vehicles, Subcommittee SC 32, Electrical and electronic components and general system aspects.
Introduction
This document is related to ISO/SAE 21434 Road vehicles — Cybersecurity engineering and extends ISO 19011 Guidelines for auditing management systems to the automotive domain.
This document is intended for organizations involved in automotive cybersecurity engineering in any part of the automotive supply chain and for organizations needing to conduct audits. This document can be used for audits of varying scope.
This document is adapted to fit the scope of an automotive cybersecurity engineering audit programme. Cybersecurity audits in this document are aimed at cybersecurity activities at the organizational level. While results from past projects can be used as evidence for implemented and applied processes, the project and product levels are not in the focus of this document.
This document provides guidelines on the management of an audit programme, on the planning and conducting of management system audits, as well as on the competence and evaluation of an audit team. An audit can be conducted against a range of audit criteria. This document gives a set of audit criteria based on ISO/SAE 21434 objectives. In addition, Annex A contains an example questionnaire that can be adapted.
This document can be used for internal audits (first party), for audits conducted by organizations on their external parties (second party) and for external audits conducted by third parties (e.g. for the purpose of certification). This document can also be useful to organizations involved in auditor training or personnel certification.
1 Scope
In addition to the guidelines in ISO 19011, this document provides guidelines to organizations that contribute to the achievement of road vehicle cybersecurity throughout the supply chain on:
- managing an audit programme for a cybersecurity management system (CSMS);
- conducting organizational CSMS audits;
- competencies of CSMS auditors; and
- providing evidence during CSMS audits.
Elements of the CSMS are based on the processes described in ISO/SAE 21434. This document is applicable to those needing to understand or conduct internal or external audits of a CSMS or to manage a CSMS audit programme.
This document does not provide guidelines on cybersecurity assessments.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/SAE 21434:2021, Road vehicles — Cybersecurity engineering
- ISO 19011:2018, Guidelines for auditing management systems
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/SAE 21434, ISO 19011 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
audit
examination of a process to determine the extent to which the process objectives are achieved
Note 1 to entry: “Audit” is defined in ISO 19011 and ISO/SAE 21434. The definition of ISO/SAE 21434 is used in this document to support compatibility between this document and ISO/SAE 21434.
[SOURCE:ISO/SAE 21434:2021, 3.1.6, modified — Note 1 to entry has been added.]
3.2
cybersecurity management system
CSMS
systematic risk-based approach defining organisational processes, responsibilities and governance to manage risk (3.3) associated with threats to road vehicles and protect them from threats
[SOURCE:Reference [9], 2.3, modified — added “road” to clarify application domain, replaced “treat” with “manage”, removed “cyber”, replaced “cyber attacks” with “threats”.]
3.3
risk
cybersecurity risk
effect of uncertainty on road vehicle cybersecurity expressed in terms of attack feasibility and impact
Note 1 to entry: ISO 19011 uses a broader definition of the term risk.
[SOURCE:ISO/SAE 21434:2021, 3.1.29, modified — Note 1 to entry has been added.]
3.4
supply chain
set of organizations with a linked set of resources and processes, each of which acts as a customer, supplier, or both to form successive supplier relationships established upon placement of a purchase order, agreement, or other formal sourcing agreement.
Note 1 to entry: A supply chain includes organizations involved in the manufacturing, design and development of vehicles, or service providers involved in the operation, management, and delivery of services.
Note 2 to entry: The supply chain view is relative to the position of the customer.
[SOURCE:ISO/IEC 27036-1:2021, 3.10, modified — “acquirer” replaced by “customer" and Note 1 to entry has been modified.]
Bibliography
| [1] | ISO Guide 73, Risk management — Vocabulary |
| [2] | ISO 9001, Quality management systems — Requirements |
| [3] | ISO/IEC 17000, Conformity assessment — Vocabulary and general principles |
| [4] | ISO/IEC 17021-1, Conformity assessment — Requirements for bodies providing audit and certification of management systems — 1: Requirements |
| [5] | ISO 26262 (all parts), Road vehicles — Functional safety |
| [6] | ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary |
| [7] | ISO/IEC 27036-1:2021, Cybersecurity — Supplier relationships — 1: Overview and concepts |
| [8] | IATF 16949, Quality management system requirements for automotive production and relevant service parts organizations |
| [9] | UN E/ECE/TRANS/505/Rev.3/Add.154 — UN Regulation No. 155, Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system [online]. March 2021 [viewed 2021-03-24]. Available at https://unece.org/sites/default/files/2021-03/R155e.pdf |
| [10] | VDA QMC WORKING GROUP 13/ AUTOMOTIVE SIG. Automotive SPICE Process Assessment/ Reference Model, Version 3.1 [online]. Berlin: VDA QMC, November 2017. Available at: http://www.automotivespice.com/fileadmin/software -download/ AutomotiveSPICE _PAM _31. pdf |