7.?Confirmation measure / cybersecurity assessment

ISO26262要求:?此部分標(biāo)準(zhǔn)內(nèi)容較多，不再一一描述。

·ISO26262中的認(rèn)可措施與Automotive SPICE評(píng)估之間的關(guān)系

ISO21434要求:

·執(zhí)行cybersecurity assessment的人員，應(yīng)保持獨(dú)立性（可參考ISO26262獨(dú)立性要求）。

·Cybersecurity assessment需要包括：安全計(jì)劃和安全計(jì)劃中的工作產(chǎn)出物，信息安全風(fēng)險(xiǎn)的處置，安全措施的有效性。

·Assessment report應(yīng)包括結(jié)果：接受、條件接受、拒絕。如果是條件接受，應(yīng)列明接受的條件。

【導(dǎo)入建議】此部分，ISO26262能覆蓋ISO21434的所有要求。ISO21434此部分沒(méi)有太多內(nèi)容，建議項(xiàng)目中，可以按照ISO26262的assessment的流程進(jìn)行操作。

8.?Release for production

ISO26262要求:?有足夠的證據(jù)和信心達(dá)成功能安全（參照assessment report的結(jié)果和安全檔案），才能進(jìn)行產(chǎn)品量產(chǎn)發(fā)布。生產(chǎn)發(fā)布報(bào)告中，要包括如下內(nèi)容：

·發(fā)布人和簽字；

·發(fā)布產(chǎn)品的版本；

·發(fā)布的產(chǎn)品的配置；

·發(fā)布日期。

ISO21434要求:?滿足以下條件，才能進(jìn)行產(chǎn)品量產(chǎn)發(fā)布。

·信息安全檔案中的論據(jù)是令人信服的；

·通過(guò)信息安全評(píng)估；

·對(duì)于post-development的要求被接受。

【導(dǎo)入建議】可以在現(xiàn)有的產(chǎn)品發(fā)布的基礎(chǔ)上，加入信息安全負(fù)責(zé)人的簽字批準(zhǔn)，并定義批準(zhǔn)的準(zhǔn)則：

·信息安全檔案中的論據(jù)是令人信服的；

·通過(guò)了信息安全評(píng)估；

·對(duì)于post-development的要求被接受。

9.?Distributed development

ISO26262要求:

·供應(yīng)商選擇原則，需要考慮供應(yīng)商的功能安全能力；

·RFQ中，對(duì)供應(yīng)商提出滿足ISO26262的正式要求，確定供貨范圍、安全需求、硬件定量目標(biāo)值；

·起草和簽訂DIA；

·開(kāi)發(fā)過(guò)程中，監(jiān)控供應(yīng)商；

·雙方對(duì)于POSD階段的約定。

ISO21434要求:

·供應(yīng)商能力評(píng)估，需要考慮供應(yīng)商信息安全的能力；

·RFQ中，對(duì)供應(yīng)商提出滿足ISO21434的正式要求，確定供貨范圍、安全需求

·雙方的分工，體現(xiàn)在接口開(kāi)發(fā)協(xié)議中。

【導(dǎo)入建議】此處可以參考ISO26262的做法，制訂客戶-供應(yīng)商的接口協(xié)議，明確雙方分工。在接口開(kāi)發(fā)協(xié)議中，還需要明確工作產(chǎn)出物的機(jī)密等級(jí)。