ISO/SAE 21434:2021 合规审核清单

用途:主机厂 / Tier1 审核、认证、CSMS 体系、TARA、网络安全案例交付直接套用

格式:6 列 → 章节号|章节名称|核心要求|必须输出物|审核要点|适用 R155 。

章节号 章节名称 核心合规要求 必须输出物(Deliverables) 审核检查点 对接 UN R155
4 一般考虑 风险导向、全生命周期、裁剪原则、与功能安全协同 网络安全计划、裁剪说明、生命周期定义文档 裁剪是否有理由、是否覆盖全生命周期 CSMS / 全生命周期
5 组织级网络安全管理 方针、职责、能力、文档、变更、审计、持续改进 网络安全方针、组织职责矩阵、培训记录、变更流程、内审报告 管理层承诺、权限分离、资源保障 CSMS 主体要求
6 项目级网络安全管理 项目计划、供应商接口、安全档案、安全案例、放行 项目网络安全计划、网络安全档案、网络安全案例、放行批准 计划可执行、安全案例可追溯 车型认证 / 放行
7 分布式网络安全活动 OEM - 供应商责任、接口安全、要求传递、证据互认 供应商安全要求、RASIC 矩阵、接口控制文档、供应商评估报告 责任不空白、接口有安全约束 供应链安全
8 持续网络安全活动 监控、事件响应、漏洞管理、风险再评估、威胁情报 监控日志、事件响应报告、漏洞台账、风险再评估报告 漏洞闭环、事件可追溯 R155 漏洞 / 事件响应
9 概念阶段 项目定义、资产识别、初始 TARA、网络安全目标与要求 Item 定义、资产清单、初始 TARA、网络安全目标、网络安全规范 资产完整、TARA 覆盖关键项 TARA / Annex 5
10 产品开发 需求分解、安全设计、安全实现、验证、集成 安全需求、安全架构、安全设计说明、测试用例 / 报告、安全代码 安全需求落地到设计 开发安全
11 网络安全验证 整车 / 系统验证、渗透 / 模糊 / 攻防、偏差处置、安全案例确认 验证计划、渗透测试报告、模糊测试报告、最终网络安全案例 验证覆盖 TARA 场景 车型验证 / 放行
12 生产 生产安全、密钥注入、固件烧录、防篡改、出厂检查 生产安全规范、密钥管理流程、烧录记录、出厂安全检查单 密钥可控、生产无后门 生产环节安全
13 运行与维护 监控、诊断安全、OTA、事件响应、维保、数据保护 OTA 流程、运维手册、诊断安全策略、事件响应计划 OTA 安全、漏洞可修复 R155 运维 / 更新
14 退役与支持终止 数据销毁、密钥擦除、支持终止、合规告知 退役计划、数据销毁记录、支持终止公告 隐私保护、数据不可恢复 数据合规
15 TARA 方法 资产→威胁→漏洞→影响→攻击可行性→风险→处置 完整 TARA 报告、风险清单、处置措施、风险接受记录 方法一致、评级可复现 R155 Annex 5 强制

附加:ISO21434 高频审核 "交付物清单"

  1. 网络安全方针 / 组织 CSMS
  2. 项目网络安全计划
  3. 网络安全裁剪说明
  4. 资产清单(C/I/A)
  5. TARA 报告(含 Annex5 威胁映射)
  6. 网络安全目标 & 网络安全需求
  7. 安全架构 / 设计 / 实现文档
  8. 供应商网络安全要求与评估
  9. 渗透测试 / 模糊测试报告
  10. 网络安全验证报告
  11. 网络安全案例(Cybersecurity Case)
  12. 事件响应计划与记录
  13. 漏洞管理台账
  14. OTA 安全流程
  15. 生产 / 密钥 / 烧录安全记录
  16. 退役 / 数据销毁流程

相关推荐
学逆向的26 分钟前
汇编——函数
开发语言·汇编·网络安全
HackTwoHub2 小时前
AntiDebug Mcp、AI逆向绕过前端,Hook 加密接口,抓取 Vue 路由漏洞,接入 MCP 让 AI 自动化挖掘前端漏洞
前端·vue.js·人工智能·安全·web安全·网络安全·系统安全
JS_SWKJ2 小时前
【无标题】
网络安全
学逆向的4 小时前
汇编——修改EIP的值
开发语言·汇编·网络安全
零零信安19 小时前
AI智能体,攻守失衡的催化剂 | 零零信安
人工智能·网络安全·数据泄露·暗网·零零信安
白帽小阳20 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
白帽小阳21 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
HackTwoHub1 天前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构
Eastmount1 天前
[论文阅读] (51)ESWA25 基于启发式优化器的入侵检测系统
论文阅读·网络安全·sci·入侵检测·eswa
白帽小阳1 天前
Typora插件开发指南:打造专属IDE式写作环境
c语言·网络·python·网络安全·github·pygame·护网行动