ISO/SAE 21434:2021 合规审核清单
用途主机厂 / Tier1 审核、认证、CSMS 体系、TARA、网络安全案例交付直接套用格式6 列 → 章节号章节名称核心要求必须输出物审核要点适用 R155 。章节号章节名称核心合规要求必须输出物Deliverables审核检查点对接 UN R1554一般考虑风险导向、全生命周期、裁剪原则、与功能安全协同网络安全计划、裁剪说明、生命周期定义文档裁剪是否有理由、是否覆盖全生命周期CSMS / 全生命周期5组织级网络安全管理方针、职责、能力、文档、变更、审计、持续改进网络安全方针、组织职责矩阵、培训记录、变更流程、内审报告管理层承诺、权限分离、资源保障CSMS 主体要求6项目级网络安全管理项目计划、供应商接口、安全档案、安全案例、放行项目网络安全计划、网络安全档案、网络安全案例、放行批准计划可执行、安全案例可追溯车型认证 / 放行7分布式网络安全活动OEM - 供应商责任、接口安全、要求传递、证据互认供应商安全要求、RASIC 矩阵、接口控制文档、供应商评估报告责任不空白、接口有安全约束供应链安全8持续网络安全活动监控、事件响应、漏洞管理、风险再评估、威胁情报监控日志、事件响应报告、漏洞台账、风险再评估报告漏洞闭环、事件可追溯R155 漏洞 / 事件响应9概念阶段项目定义、资产识别、初始 TARA、网络安全目标与要求Item 定义、资产清单、初始 TARA、网络安全目标、网络安全规范资产完整、TARA 覆盖关键项TARA / Annex 510产品开发需求分解、安全设计、安全实现、验证、集成安全需求、安全架构、安全设计说明、测试用例 / 报告、安全代码安全需求落地到设计开发安全11网络安全验证整车 / 系统验证、渗透 / 模糊 / 攻防、偏差处置、安全案例确认验证计划、渗透测试报告、模糊测试报告、最终网络安全案例验证覆盖 TARA 场景车型验证 / 放行12生产生产安全、密钥注入、固件烧录、防篡改、出厂检查生产安全规范、密钥管理流程、烧录记录、出厂安全检查单密钥可控、生产无后门生产环节安全13运行与维护监控、诊断安全、OTA、事件响应、维保、数据保护OTA 流程、运维手册、诊断安全策略、事件响应计划OTA 安全、漏洞可修复R155 运维 / 更新14退役与支持终止数据销毁、密钥擦除、支持终止、合规告知退役计划、数据销毁记录、支持终止公告隐私保护、数据不可恢复数据合规15TARA 方法资产→威胁→漏洞→影响→攻击可行性→风险→处置完整 TARA 报告、风险清单、处置措施、风险接受记录方法一致、评级可复现R155 Annex 5 强制附加ISO21434 高频审核 “交付物清单”网络安全方针 / 组织 CSMS项目网络安全计划网络安全裁剪说明资产清单C/I/ATARA 报告含 Annex5 威胁映射网络安全目标 网络安全需求安全架构 / 设计 / 实现文档供应商网络安全要求与评估渗透测试 / 模糊测试报告网络安全验证报告网络安全案例Cybersecurity Case事件响应计划与记录漏洞管理台账OTA 安全流程生产 / 密钥 / 烧录安全记录退役 / 数据销毁流程