对于已连接的产品,这通常意味着及早回答两个问题。 18031EN 18031 是否适用于该产品,需要将该产品生态系统的哪些部分纳入评估?
这个页面适用于那些已经知道EN 18031的团队,这可能是相关的,需要一种确定范围的实用方法。
一个很好的范围评估帮助您回答:
产品是否符合有关网络安全要求
EN 18031 部分可能是最重要的
哪些产品组件需要审核
哪些团队需要参与
什么应该移动到需求在下一个映射中
范围内应包含的内容
在许多情况下,范围超出了物理产品。您的评估可能需要包括:
无线电启用设备
伴随移动或网络应用
后端或云服务
帐户创建和登录流程
远程管理功能
软件和固件更新路径
储存或传输个人、流量或位置数据
产品支持工序与安全或脆弱性处理
较狭窄的审查一开始往往比较简单,但在小组开始记录控制和责任后来就会造成漏洞。
如何评估设备、应用和后端
应该按照产品的实际运作方式进行有益的范围设计工作。
从产品旅程开始:
产品连接方式
用户如何访问它
依赖的系统
数据移动的地方
如何发送更新
发现安全问题时发生的情况
这便于确定产品是否依赖于硬件本身之外的组件。
范围可能比预期范围更大的信号
2. 如果产品的范围往往更广:
依赖于一个配对的应用程序来进行安装或控制
将数据发送到云平台
处理个人、流量或位置数据
支持远程访问或远程配置
接收固件或软件更新
包括用户帐户、权限或管理员角色
处理付款、转让或存储的价值
如果其中有几项属实,则审查通常所涵盖的范围应大于仅仅设备。
常见错误
团队常常遇到问题时:
将硬件视为完整的产品边界
忽略后端依赖关系
将应用流出审核中
不界定工程、合规和安全之间的所有权。
在商定范围之前开始证据收集
将产品特性与管理范围混合而无需证明链接
这些问题通常在晚些时候造成延误,特别是在需要制图开始时。
什么样的范围很好的输出外观
有益的范围评估应产生一些具体结果。
关于EN 18031 是否相关的
可能涉及的标准部分
一个在设备、应用和后台之间有文档记录的边界内
审核中包含的系统、功能和流程列表
已识别的所有者 下一步
a 干净的握手 用于绘图和证据准备
Cyberexpert 帮助
Cyberexpert 帮助团队从一开始就组织此工作。
使用Cyberexper,团队可以:
评估EN 18031 是否与产品相关。
定义跨设备、 应用程序和后端的范围
确定需要审查的系统和流程
组织需求映射的下一步
为文件和证据工作建立更明确的出发点