VDA 汽車網(wǎng)絡(luò)安全 ASPICE模型理解實施和內(nèi)部評估員

ASPICE for Cybersecurity 模型（VDA QMC） 理解實施和內(nèi)部評估員培訓(xùn)
課程對象：本課程適合于引入或?qū)嵤〢SPICE or Cybersecurity 的系統(tǒng)級開發(fā)和軟件級開發(fā)工程師、項目經(jīng)理、PPQA、CM、EPG、企業(yè)軟件開發(fā)過程內(nèi)部評估員和供應(yīng)商軟件開發(fā)過程評估員、開發(fā)外包方管理人員等人員；
課程參加人員與參加前提：企業(yè)軟件開發(fā)過程內(nèi)部評估員和供應(yīng)商軟件開發(fā)過程評估員、項目經(jīng)理、軟件開發(fā)人員、PPQA、CM、EPG等，參與者應(yīng)該具備一定年限的管理經(jīng)驗和工程技術(shù)經(jīng)驗。
課程背景：
現(xiàn)代汽車產(chǎn)品，創(chuàng)新和附加值越來越依賴于汽車電子和軟件以及車輛之間、車輛和其他設(shè)施之間的互聯(lián)互通，而這些創(chuàng)新需要獲得信息安全的保障（網(wǎng)絡(luò)安全威脅、漏洞、攻擊方法等對應(yīng)的緩解措施）方能上市并給予終端客戶以信賴。
歐盟針對車輛信息安全的法規(guī)ECE R155和R156已經(jīng)正式發(fā)布。并將于2022年7月作為車型審批的準(zhǔn)入標(biāo)準(zhǔn)。ISO/SAE 21434標(biāo)準(zhǔn)作為滿足R155和R156法規(guī)的重要技術(shù)標(biāo)準(zhǔn)，為滿足R155和R156法規(guī)提供了廣泛認可的實踐方法。
而對于 OEM 和Tier -x 增加的要求，需評估新產(chǎn)品開發(fā)項目的網(wǎng)絡(luò)安全工程開發(fā)的過程能力并形成評估報告，故 VDA QMC 基于ISO21434 開發(fā)了 ASPICE for Cybersecurity 過程參考和評估模型，用于指導(dǎo)網(wǎng)絡(luò)安全工程開發(fā)的過程改進和過程能力評估。
參加學(xué)員預(yù)備知識：
預(yù)習(xí)ASPICE模型；
預(yù)習(xí)ASPICE for Cybersecurity模型
課程目標(biāo)（課程收益）：
1.學(xué)習(xí)掌握汽車網(wǎng)絡(luò)安全相關(guān)產(chǎn)品設(shè)計、開發(fā)與管理；能幫助企業(yè)開發(fā)和管理網(wǎng)絡(luò)安全產(chǎn)品。?
2.熟悉WP.29/UNECE R155，ISO/SAE21434，ASPICE網(wǎng)絡(luò)安全國際法規(guī)和標(biāo)準(zhǔn)要求。
3..理解ASPICE for Cybersecurity 過程參考和評估模型 各過程之具體要求；理解每個過程的流程邏輯；
4. 應(yīng)用評估方法評估組織的開發(fā)過程，并形成文件化信息（報告），掌握評估方法和評估過程的具體實施，通過大量的實例練習(xí)，掌握組織或供應(yīng)商軟件開發(fā)過程能力評估之內(nèi)部評估技能，如評估計劃編寫、提問單編寫、文檔評審、訪談、評估報告的編寫等；
課程亮點： “零接觸”授課，小班化管理，學(xué)習(xí)流程全管控， 知識點密集，豐富案例
培訓(xùn)證書：完成全部課程并通過測試，頒發(fā)《ASPICE for Cybersecurity 模型和企業(yè)內(nèi)部評估員培訓(xùn)》培訓(xùn)合格證書；
培訓(xùn)時間：
4天，（課程大綱中全部內(nèi)容，沒有ASPICE 評估方法培訓(xùn)和評估經(jīng)歷的公司，可以選擇4天課程)
3天，(第九、十部分，刪除，有ASPICE 評估方法培訓(xùn)和評估經(jīng)歷的公司，可以選擇3天課程)；
課程大綱：
模塊
時間
培訓(xùn)內(nèi)容
第一部分：網(wǎng)絡(luò)安全范圍和驅(qū)動或挑戰(zhàn)
第一天上午
9:00-10：00
?范圍：安全與網(wǎng)絡(luò)安全、差異
驅(qū)動：汽車網(wǎng)絡(luò)安全挑戰(zhàn)與案例
網(wǎng)絡(luò)安全基礎(chǔ)知識
總結(jié)、學(xué)員提問與答疑
第二部分： 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)：?UNECE
第一天上午
10:10-12：00
網(wǎng)絡(luò)安全標(biāo)準(zhǔn)：
?UNECE（聯(lián)合國歐洲經(jīng)濟委員會）網(wǎng)絡(luò)安全法規(guī)
ISO/SAE21434:2021
網(wǎng)絡(luò)安全 ASPICE
網(wǎng)絡(luò)安全 ASPICE 指南
總結(jié)、學(xué)員提問與答疑第三部分：TARA 威脅分析和風(fēng)險評估七步法
第一天下午：13:30-16:30
網(wǎng)絡(luò)安全資產(chǎn)
網(wǎng)絡(luò)安全屬性、威脅/威脅場景
網(wǎng)絡(luò)安全影響評級
網(wǎng)絡(luò)安全攻擊路徑
網(wǎng)絡(luò)安全攻擊可行性評級
網(wǎng)絡(luò)安全風(fēng)險等級確定
網(wǎng)絡(luò)安全風(fēng)險處理決策總結(jié)、學(xué)員提問與答疑第四部分：MAN7.網(wǎng)絡(luò)安全 風(fēng)險管理
第二天 上午：
TARA 威脅分析和風(fēng)險評估七步法 小組練習(xí)
風(fēng)險管理方法與范圍
MAN7.網(wǎng)絡(luò)安全 風(fēng)險管理過程 BP 解讀（非ASPICE VDA 范圍）
總結(jié)、學(xué)員提問與答疑
第五部分：從網(wǎng)絡(luò)安全資產(chǎn)到網(wǎng)絡(luò)安全目標(biāo)和要求(SEC.1)
以及網(wǎng)絡(luò)安全實施(SEC.2)
從網(wǎng)絡(luò)安全資產(chǎn)到網(wǎng)絡(luò)安全目標(biāo)和要求(SEC.1) BP解讀
以及網(wǎng)絡(luò)安全實施(SEC.2) BP解讀
總結(jié)、學(xué)員提問與答疑
第六部分：網(wǎng)絡(luò)安全的測試策略
SEC.3 SEC.4. MITRE ?Attack Navigator攻擊路徑 導(dǎo)航器（仿真環(huán)境）
第二天下午13:30-15:00
驗證和確認過程以及他們的基本做法
滲透測試
驗證和確認方法和工具的例子、驗證和確認之的區(qū)別
網(wǎng)絡(luò)安全的測試策略
SEC.3 風(fēng)險處理驗證過程 BP解讀 SEC.4. 風(fēng)險處理確認過程 BP解讀MITRE攻擊路徑 導(dǎo)航器（仿真環(huán)境）
第七部分：ACQ.2 供應(yīng)商要求和選擇
第二天下午
15:00-16:30
ACQ.2 供應(yīng)商要求和選擇過程：BP解讀
第八部分：“不變的”ASPICE 原過程，增加的附加說明
第三天：
上午13:30-12:00
下午：13:30-16:30
?ACQ.3, 合同協(xié)議過程BP 解讀（非ASPICE VDA 范圍）
ACQ.4, 供應(yīng)商監(jiān)控過程BP 解讀（非ASPICE VDA 范圍）
ACQ 14, 招標(biāo)過程BP 解讀（非ASPICE VDA 范圍）
ACQ.15, 供應(yīng)商資格鑒定過程BP 解讀（非ASPICE VDA 范圍）
SYS.1 需求挖掘過程BP 解讀（非ASPICE VDA 范圍）
SYS.2.3.4.5 系統(tǒng)工程過程BP 解讀
SWE, 1.2.3.4.5.6軟件工程過程過程BP 解讀
SUP.1, 質(zhì)量保證過程BP 解讀SUP.8,配置管理過程BP 解讀
MAN.3, 項目管理過程BP 解讀
MAN.5 風(fēng)險管理過程BP 解讀（非ASPICE VDA 范圍）
第九部分：評估過程和評估方法
第四天上午：9:00-12:00
評估過程啟動和概述
評級
評估過程概述
訪談與筆記技巧
文檔評審
能力級別1 PAM詳細細節(jié)
練習(xí)：能力級別1評估練習(xí)
第四天下午：13：30-15：30
能力級別2-3 PAM詳細細節(jié)
練習(xí)：能力級別2-3評估練習(xí)
評級指南
第十部分：汽車網(wǎng)絡(luò)安全 ASPICE 項目推行計劃
第四天下午：15：40-16：30
IDEAL模型與階段、階段主要活動
汽車網(wǎng)絡(luò)安全ASPICE 過程改進項目詳細推行計劃
課程總結(jié)、學(xué)員提問與答疑
第十一部分：課程考試
第四天下午：16：30-17：00
課程考試

周得良老師的其它課程