CN114757556A - 汽车行业信息安全体系可信赖度评估方法及评估系统 - Google Patents

汽车行业信息安全体系可信赖度评估方法及评估系统 Download PDF

Info

Publication number
CN114757556A
CN114757556A CN202210446530.3A CN202210446530A CN114757556A CN 114757556 A CN114757556 A CN 114757556A CN 202210446530 A CN202210446530 A CN 202210446530A CN 114757556 A CN114757556 A CN 114757556A
Authority
CN
China
Prior art keywords
information
security
evaluation
management
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210446530.3A
Other languages
English (en)
Inventor
于芳
杜宏生
林毅
褚宝磊
宋博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sinochem Huacheng Certification Tianjin Co ltd
Original Assignee
Sinochem Huacheng Certification Tianjin Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sinochem Huacheng Certification Tianjin Co ltd filed Critical Sinochem Huacheng Certification Tianjin Co ltd
Priority to CN202210446530.3A priority Critical patent/CN114757556A/zh
Publication of CN114757556A publication Critical patent/CN114757556A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Game Theory and Decision Science (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了汽车行业信息安全体系可信赖度评估方法,包括以下步骤:步骤一:评估准备,完成评估前的一系列准备工作,并获取评估系统审核所需的信息;步骤二:初次审核,对步骤一中的评估准备工作及所获取评估系统审核所需的信息进行初次审核;步骤三:编制评分模型,根据评估模块及其安全过程域编制评分模型;步骤四:正式审核,审核评估模块的安全过程域是否符合,确定计入评估模块得分率的安全过程域;本发明还公开了汽车行业信息安全体系可信赖度评估系统。本发明审核结果的独立性和权威性较高能够被各方认可,且能够保证各需求方能够从该评估系统上快速、准确、全面地查询到信息安全审核的结果。

Description

汽车行业信息安全体系可信赖度评估方法及评估系统
技术领域
本发明涉及汽车行业信息安全体系技术领域,尤其涉及汽车行业信息安全体系可信赖度评估方法及评估系统。
背景技术
信息安全管理体系国标GB/T 22080-2016等同采用国际标准ISO/IEC 27001:2013,该系列标准将信息安全定义为保持信息的保密性、完整性和可用性,还包括真实性、可核查性、不可否认性和可靠性等,其中保密性、完整性和可用性是信息安全最为重要的三个维度。该标准基于持续的风险评估,建立和实施信息安全管理体系,并对体系的运行进行监督、评审和改进,采用PDCA模型作为实施、运行、监视和改进信息安全管理体系的过程方法。据不完全统计,2020年我国汽车行业获得信息安全管理体系认证的企业仅有百家左右,其中一个很重要的原因是通用的GB/T 22080(ISO/IEC 27001)信息安全管理体系认证不能完全覆盖汽车行业企业特殊要求。
因此,汽车行业企业出于合规性、信息安全管理和风险防控的目的,急需建立一套符合我国汽车行业客观现状的、可信赖的信息安全体系评估标准和规则以应对这一严峻形势,并为国内主机厂及供应链提升信息安全管理水平提供支持的评估体系。因此,建立适用于我国汽车行业的信息安全体系可信赖度评估机制迫在眉睫。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的汽车行业信息安全体系可信赖度评估方法及评估系统。
为了实现上述目的,本发明采用了如下技术方案:
汽车行业信息安全体系可信赖度评估方法,包括以下步骤:
步骤一:评估准备,完成评估前的一系列准备工作,并获取评估系统审核所需的信息;
步骤二:初次审核,对步骤一中的评估准备工作及所获取评估系统审核所需的信息进行初次审核;
步骤三:编制评分模型,根据评估模块及其安全过程域编制评分模型;
步骤四:正式审核,审核评估模块的安全过程域是否符合,确定计入评估模块得分率的安全过程域,对符合的安全过程域进行评分并生成评分得分率和图表报告;
步骤五:编写纠正方案及审核,对步骤三中的不符合的安全过程域进行编写纠正方案,并对纠正方案进行审核;
步骤五:实施纠正方案,对步骤四中的纠正方案进行实施;
步骤六:跟踪审核,对步骤四中生成的评分得分率和图表报告和步骤五中完成纠正方案的结果进行跟踪审核;
步骤七:授予体系标签;步骤六中跟踪审核结果通过即授予体系标签。
作为本发明的进一步改进,所述步骤三中的评估模块包括信息安全体系管理;信息安全保障;信息资产安全;系统和网络安全;车联网安全管理;原型车和原型件安全;供方安全管理;合规性管理。
作为本发明的进一步改进,所述信息安全体系管理包括以下安全过程域:信息安全策略,体系的策划及管理,风险管理,人力资源安全;
所述信息安全保障包括以下安全过程域:物理和环境安全,信息安全事件管理,业务连续性管理;
所述信息资产安全包括以下安全过程域:信息识别,信息访问控制,信息加密,信息存储,信息传输,信息备份;
所述系统和网络安全包括以下安全过程域:信息系统获取,信息系统开发,信息系统运维,网络安全管理,工控网络系统管理;
所述车联网安全管理包括以下安全过程域:项目管理中的信息安全,车载网络安全管理;
所述原型车和原型件安全包括以下安全过程域:样车样件接收和设计,样车样件生产和使用,样车样件运输;
所述供方安全管理包括以下安全过程域:供方确定,供方的管理,供方的变更管理;
所述合规性管理包括以下安全过程域:符合性管理,个人信息保护,网络安全法规,数据安全法规。
进一步,评价过程中选取部分可量化的安全过程域利用熵值赋权法,根据各所述安全过程域的评分,分别确定各所述安全过程域评分的权重;
根据各所述安全过程域评分的权重获取所述汽车行业信息安全体系可信赖度的总评分;
将所述汽车行业信息安全体系可信赖度的总评分与设定的可信赖阈值进行比较,若所述汽车行业信息安全体系可信赖度的总评分不小于所述可信赖阈值,则所述信息安全体系可信赖度处于较高水平,反之则所述信息安全体系可信赖度处于较低水平。
进一步,获取特定所述汽车行业信息安全体系的信息识别正确率α,并确定所述信息识别的评分e1
Figure BDA0003617131840000041
其中αmin表示所述信息识别正确率的最小值,αmax表示所述信息识别正确率的最大值;
获取特定所述汽车行业信息安全体系的信息存储报错率βos
βos=p1f1+p2f2
其中p1为信息存储内容错误在信息存储报错率中所占的权重,f1为信息存储内容错误占信息存储报错的比例,p2为信息存储内容丢失在信息存储报错率中所占的权重,f2为信息存储内容丢失占信息存储报错的比例;
获取汽车行业信息安全体系平均信息存储设备故障率βps,根据βos及βps确定信息存储的评分e2
Figure BDA0003617131840000042
其中
Figure BDA0003617131840000043
为信息存储报错率的最大值,
Figure BDA0003617131840000044
为信息存储报错率的最小值,
Figure BDA0003617131840000045
为信息存储设备故障率的最大值,
Figure BDA0003617131840000046
为信息存储设备故障率的最小值;
获取特定所述汽车行业信息安全体系的网络安全管理问题风险系数δns
δns=p1f1+p2f2+p3f3+p4f4
其中p1为网络连接故障概率在网络安全管理问题中所占的权重,f1为网络连接故障概率在网络安全管理问题中所占的比例,p2为网络设备故障概率在网络安全管理问题中所占的权重,f2为网络设备故障概率在网络安全管理问题中所占的比例,p3为网络安全软件故障概率在网络安全管理问题中所占的权重,f3为网络安全软件故障概率在网络安全管理问题中所占的比例,p4为人为故障概率在网络安全管理问题中所占的权重,f4为人为故障概率在网络安全管理问题中所占的比例;
确定所述网络安全管理的评分e3
Figure BDA0003617131840000051
其中
Figure BDA0003617131840000052
为网络安全管理问题风险系数的最大值,
Figure BDA0003617131840000053
为网络安全管理问题风险系数的最小值;
获取特定所述汽车行业信息安全体系的样车样件生产和使用一致性比率γ,并确定所述样车样件生产和使用的评分e4
Figure BDA0003617131840000054
其中γmax为样车样件生产和使用一致性比率的最大值,γmin为样车样件生产和使用一致性比率的最小值;
获取特定所述汽车行业信息安全体系的风险管理的评分e5,其中一级风险转化为二级风险的比率为k12,二级风险转化为三级风险的比率为k23,一级风险转化为三级风险的比率为k13
Figure BDA0003617131840000061
Figure BDA0003617131840000062
Figure BDA0003617131840000063
Figure BDA0003617131840000064
其中p12为汽车行业信息安全体系的风险管理中一级风险转化为二级风险情况,p23为汽车行业信息安全体系的风险管理中二级风险转化为三级风险情况,p13为汽车行业信息安全体系的风险管理中一级风险转化为三级风险情况;
根据各所述安全过程域的评分,分别确定各所述安全性指数评分的权重,对各所述安全过程域的评分进行正态分布拟合,得到一维n阶矩阵A1×n
A1×n=[a1,…,an],
其中n为所述安全过程域的评分的个数,n=1,…,5,
其中,a1为落入区间(μ+3σ,+∞)的所述安全过程域的评分样本数,a2为落入区间(μ+2σ,μ+3σ)的所述安全过程域的评分样本数,a3为落入区间(μ-2σ,μ+2σ)的所述安全过程域的评分样本数,a4为落入区间(μ-3σ,μ-2σ)的所述安全过程域的评分样本数,a5为落入区间(-∞,μ-3σ)的所述安全过程域的评分样本数,μ为正态分布的期望值,σ为正态分布的标准差;
进而获取一维n阶矩阵B1×n
B1×n=[b1,…,bn];
其中bn为所述矩阵A1×n中特定元素an落入各个区间的概率,
Figure BDA0003617131840000071
根据所述bn进而计算各所述安全过程域的评分的熵Cn,
Figure BDA0003617131840000072
根据各所述安全过程域的评分的熵Cn,获取各所述安全过程域的评分的熵权重矩阵D1×n
D1×n=[d1,…,dn],
其中,dn为第n个所述安全过程域的评分的熵权重,
Figure BDA0003617131840000073
作为本发明的进一步改进,所述步骤二中初次审核包括生成初次审核报告。
作为本发明的进一步改进,所述步骤五中纠正方案审核包括生成纠正方案审核报告。
作为本发明的进一步改进,所述步骤六中跟踪审核包括生成跟踪审核报告。
作为本发明的进一步改进,所述步骤七中授予体系标签时,会向评估系统上传审核及评估报告并对外发布标签共享。
汽车行业信息安全体系可信赖度评估系统,用以辅助实现权利要求1所述的汽车行业信息安全体系可信赖度评估方法。
汽车行业信息安全体系可信赖度评估系统,包括网络安全分析子系统和可信赖度评估子系统;
其中可信赖度评估子系统包括网站登录用户注册模块;
评估系统参与者注册模块,用于获取参与者ID;
评估范围注册模块,用于获取范围ID;
评估系统审核所需信息填写模块,用于获取评估系统审核所需的评估模块信息;
信息获取模块,用于获取信息并发送至信息存储模块和目标确定模块;
目标确定模块,用于从获取的信息中确定所要分析评估的目标信息;
信息存储模块,用于对信息进行存储;
风险分析模块,用于对目标信息的安全性进行分析;
评估系统审核及结果反馈模块,用于评估审核评估系统审核所需信息填写模块获取的评估系统审核所需信息,并生成评估结果;
风险管理模块,根据评估结果来对风险信息进行管理;
其中网络安全分析子系统包括网络安全处理器模块,用于对各信息进行处理;
网络异常分析模块,用于对网络异常状况进行识别和分析;
身份识别模块,用于对登录用户及注册参与者的身份信息进行验证,若身份验证通过,则允许操作人员进行相关操作,若身份验证未通过,则不允许操作人员进行操作;
网络巡查模块,用于对网络状况进行巡查,以保证网络的安全运行;
病毒扫描模块,用于对网络病毒进行扫描和分析;
密钥生成模块,用于生成网络密钥;
密钥解密模块,用于解密网络密钥;
校验模块,用于比对解密密钥和加密密钥是否一致,若比对结果一致,则允许操作人员进行系统运行,若比对结果不一致,则不允许操作人员进行系统运行。
汽车行业信息安全体系可信赖度评估系统,执行过程中包括以下步骤:
S01:由评估任务负责人建立评估任务,并设置任务中包含的角色及权限,所述角色包含管理员、评估人员、受评方人员,不同角色的人员拥有不同的登录ID、密码及操作权限,一般情况下管理员拥有全部权限,评估人员拥有录入评估内容及修改系统给出的评估建议等的权限,受评方人员拥有对评估内容进行批注及确认的权限;
S02:所述角色对应的人员登录系统并输入所述角色的基础信息,使用过程中基础信息数据可可对已录入人员信息进行保存,所述管理员及所述评估人员可从基础信息数据库调取对应的基础信息完成输入;
所述受评方人员输入基础信息的方式包括手动录入、证件识别,手动录入一般选择键盘或手写笔等外设设备进行信息的直接录入,证件识别一般对人员身份证或工作证信息进行识别,并将识别到的信息分类导入基础信息的对应位置,等待确认;
S03:所述评估人员录入评估内容,评估内容包括评估过程中的文字及图像记录,录入方式包括手动录入、语音识别、图像识别,录入过程与评估同步进行,录入的评估内容经受评方人员确认后评估人员不能再进行修改,如需修改需由管理员设置修改权限,录入过程可由所述管理员设置是否对评估现场图像及语音进行现场录制;
S04:所述评估系统调取所述评分模型,将录入的评估内容与评估数据库中的数据进行分析比对,根据分析对比结果及所述评分模型给出评分建议,评分模型包括8个模块,30个PA,对每个PA进行评分0-5分。系统根据设置的企业性质不同,确认PA的适用性。如某项PA不适用时,该PA不计入该模块的得分率计算;
S05:所述评估人员可对所述评估系统给出的所述评分建议进行修改,修改所述评分建议过程中需在对被修改的评分写明修改原因,修改后评估人员可对评分进行确认;
S06:所述评估系统根据所述评估人员修改后的所述评分建议给出纠正方案建议;
S07:所述评估人员给出评估结论,并通过所述评估系统提交所述管理员进行审核确认。
本发明的有益效果:
1、通过本发明的汽车行业信息安全体系可信赖度评估系统审核通过的供应商,其审核结果能够被各方认可。
2、各供应商的审核结果及评估报告均上传至评估系统,并对外共享发布,进而保证各需求方能够从该评估系统上快速、准确、全面地查询到信息安全审核的结果。
3、审核过程可进行全流程影音记录,且评估内容及评分结构均不可随意修改,评估证据链清晰,保证评估结果的公平公正。
附图说明
图1为本发明提出的汽车行业信息安全体系可信赖度评估方法的示意框图;
图2为本发明提出的汽车行业信息安全体系可信赖度评估系统的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
参照图1,汽车行业信息安全体系可信赖度评估方法,包括以下步骤:
步骤一:评估准备,完成评估前的一系列准备工作,并获取评估系统审核所需的信息;
步骤二:初次审核,对步骤一中的评估准备工作及所获取评估系统审核所需的信息进行初次审核,初次审核包括生成初次审核报告;
步骤三:编制评分模型,根据评估模块及其安全过程域编制评分模型;
步骤四:正式审核,审核评估模块的安全过程域是否符合,确定计入评估模块得分率的安全过程域,对符合的安全过程域进行评分并生成评分得分率和图表报告;
步骤五:编写纠正方案及审核,对步骤三中的不符合的安全过程域进行编写纠正方案,并对纠正方案进行审核,纠正方案审核包括生成纠正方案审核报告;
步骤五:实施纠正方案,对步骤四中的纠正方案进行实施;
步骤六:跟踪审核,对步骤四中生成的评分得分率和图表报告和步骤五中完成纠正方案的结果进行跟踪审核,跟踪审核包括生成跟踪审核报告;
步骤七:授予体系标签;步骤六中跟踪审核结果通过即授予体系标签,授予体系标签时,需向评估系统上传审核及评估报告并对外发布标签共享。
步骤三中的评估模块包括信息安全体系管理;信息安全保障;信息资产安全;系统和网络安全;车联网安全管理;原型车和原型件安全;供方安全管理;合规性管理。
信息安全体系管理包括以下安全过程域:信息安全策略,体系的策划及管理,风险管理,人力资源安全;
信息安全保障包括以下安全过程域:物理和环境安全,信息安全事件管理,业务连续性管理;
信息资产安全包括以下安全过程域:信息识别,信息访问控制,信息加密,信息存储,信息传输,信息备份;
系统和网络安全包括以下安全过程域:信息系统获取,信息系统开发,信息系统运维,网络安全管理,工控网络系统管理;
车联网安全管理包括以下安全过程域:项目管理中的信息安全,车载网络安全管理;
原型车和原型件安全包括以下安全过程域:样车样件接收和设计,样车样件生产和使用,样车样件运输;
供方安全管理包括以下安全过程域:供方确定,供方的管理,供方的变更管理;
合规性管理包括以下安全过程域:符合性管理,个人信息保护,网络安全法规,数据安全法规。
评价过程中选取安全过程域中的信息识别、信息存储、网络安全管理、样车样件生产和使用、风险管理5项指标进行量化评估,利用熵值赋权法,根据各安全过程域的评分,分别确定各安全过程域评分的权重;
根据各安全过程域评分的权重获取汽车行业信息安全体系可信赖度的总评分;
将汽车行业信息安全体系可信赖度的总评分与设定的可信赖阈值进行比较,若汽车行业信息安全体系可信赖度的总评分不小于可信赖阈值,则信息安全体系可信赖度处于较高水平,反之则信息安全体系可信赖度处于较低水平。
获取特定汽车行业信息安全体系的信息识别正确率α,并确定信息识别的评分e1
Figure BDA0003617131840000131
其中αmin表示信息识别正确率的最小值,αmax表示信息识别正确率的最大值;
获取特定汽车行业信息安全体系的信息存储报错率βos
βos=p1f1+p2f2
其中p1为信息存储内容错误在信息存储报错率中所占的权重,f1为信息存储内容错误占信息存储报错的比例,p2为信息存储内容丢失在信息存储报错率中所占的权重,f2为信息存储内容丢失占信息存储报错的比例;
获取汽车行业信息安全体系平均信息存储设备故障率βps,根据βos及βps确定信息存储的评分e2
Figure BDA0003617131840000141
其中
Figure BDA0003617131840000142
为信息存储报错率的最大值,
Figure BDA0003617131840000143
为信息存储报错率的最小值,
Figure BDA0003617131840000144
为信息存储设备故障率的最大值,
Figure BDA0003617131840000145
为信息存储设备故障率的最小值;
获取特定汽车行业信息安全体系的网络安全管理问题风险系数δns
δns=p1f1+p2f2+p3f3+p4f4
其中p1为网络连接故障概率在网络安全管理问题中所占的权重,f1为网络连接故障概率在网络安全管理问题中所占的比例,p2为网络设备故障概率在网络安全管理问题中所占的权重,f2为网络设备故障概率在网络安全管理问题中所占的比例,p3为网络安全软件故障概率在网络安全管理问题中所占的权重,f3为网络安全软件故障概率在网络安全管理问题中所占的比例,p4为人为故障概率在网络安全管理问题中所占的权重,f4为人为故障概率在网络安全管理问题中所占的比例;
确定网络安全管理的评分e3
Figure BDA0003617131840000151
其中
Figure BDA0003617131840000152
为网络安全管理问题风险系数的最大值,
Figure BDA0003617131840000153
为网络安全管理问题风险系数的最小值;
获取特定汽车行业信息安全体系的样车样件生产和使用一致性比率γ,并确定样车样件生产和使用的评分e4
Figure BDA0003617131840000154
其中γmax为样车样件生产和使用一致性比率的最大值,γmin为样车样件生产和使用一致性比率的最小值;
获取特定汽车行业信息安全体系的风险管理的评分e5,其中一级风险转化为二级风险的比率为k12,二级风险转化为三级风险的比率为k23,一级风险转化为三级风险的比率为k13
Figure BDA0003617131840000155
Figure BDA0003617131840000156
Figure BDA0003617131840000157
Figure BDA0003617131840000158
其中p12为汽车行业信息安全体系的风险管理中一级风险转化为二级风险情况,p23为汽车行业信息安全体系的风险管理中二级风险转化为三级风险情况,p13为汽车行业信息安全体系的风险管理中一级风险转化为三级风险情况;
根据各安全过程域的评分,分别确定各安全性指数评分的权重,对各安全过程域的评分进行正态分布拟合,得到一维n阶矩阵A1×n
A1×n=[a1,…,an],
其中n为安全过程域的评分的个数,n=1,…,5,
其中,a1为落入区间(μ+3σ,+∞)的安全过程域的评分样本数,a2为落入区间(μ+2σ,μ+3σ)的安全过程域的评分样本数,a3为落入区间(μ-2σ,μ+2σ)的安全过程域的评分样本数,a4为落入区间(μ-3σ,μ-2σ)的安全过程域的评分样本数,a5为落入区间(-∞,μ-3σ)的安全过程域的评分样本数,μ为正态分布的期望值,σ为正态分布的标准差;
进而获取一维n阶矩阵B1×n
B1×n=[b1,…,bn];
其中bn为矩阵A1×n中特定元素an落入各个区间的概率,
Figure BDA0003617131840000161
根据bn进而计算各安全过程域的评分的熵Cn,
Figure BDA0003617131840000162
根据各安全过程域的评分的熵Cn,获取各安全过程域的评分的熵权重矩阵D1×n
D1×n=[d1,…,dn],
其中,dn为第n个安全过程域的评分的熵权重,
Figure BDA0003617131840000163
参照图2,本发明还公开了汽车行业信息安全体系可信赖度评估系统,包括网络安全分析子系统和可信赖度评估子系统;
其中可信赖度评估子系统包括网站登录用户注册模块;
评估系统参与者注册模块,用于获取参与者ID,参与者注册过程需要:企业全称、地址和联系电话,企业邓氏编码(D-U-N-S),企业指定联系人和备用联系人信息;
评估范围注册模块,用于获取范围ID,评估范围包括办公场地、研发场地、生产场地、数据中心;
评估系统审核所需信息填写模块,用于获取评估系统审核所需的评估模块信息,具体的,评估模块包括信息安全体系管理;信息安全保障;信息资产安全;系统和网络安全;车联网安全管理;原型车和原型件安全;供方安全管理;合规性管理;
其中信息安全体系管理包括以下安全过程域:信息安全策略,体系的策划及管理,风险管理,人力资源安全;
其中信息安全保障包括以下安全过程域:物理和环境安全,信息安全事件管理,业务连续性管理;
其中信息资产安全包括以下安全过程域:信息识别,信息访问控制,信息加密,信息存储,信息传输,信息备份;
其中系统和网络安全包括以下安全过程域:信息系统获取,信息系统开发,信息系统运维,网络安全管理,工控网络系统管理;
其中车联网安全管理包括以下安全过程域:项目管理中的信息安全,车载网络安全管理;
其中原型车和原型件安全包括以下安全过程域:样车样件接收和设计,样车样件生产和使用,样车样件运输;
其中供方安全管理包括以下安全过程域:供方确定,供方的管理,供方的变更管理;
其中合规性管理包括以下安全过程域:符合性管理,个人信息保护,网络安全法规,数据安全法规;
具体如下表格:
Figure BDA0003617131840000181
上表中,共8个模块,30个PA。对每个PA进行评分0-5分。根据企业性质不同,有的PA会存在不适用的情况。不适用时,该PA不计入该模块的得分率计算;
信息获取模块,用于获取信息并发送至信息存储模块和目标确定模块;
目标确定模块,用于从获取的信息中确定所要分析评估的目标信息;
信息存储模块,用于对信息进行存储;
风险分析模块,用于对目标信息的安全性进行分析;
评估系统审核及结果反馈模块,用于评估审核评估系统审核所需信息填写模块获取的评估系统审核所需信息,并生成评估结果;
风险管理模块,根据评估结果来对风险信息进行管理;
其中网络安全分析子系统包括网络安全处理器模块,用于对各信息进行处理;
网络异常分析模块,用于对网络异常状况进行识别和分析;
身份识别模块,用于对登录用户及注册参与者的身份信息进行验证,若身份验证通过,则允许操作人员进行相关操作,若身份验证未通过,则不允许操作人员进行操作;
网络巡查模块,用于对网络状况进行巡查,以保证网络的安全运行;
病毒扫描模块,用于对网络病毒进行扫描和分析;
密钥生成模块,用于生成网络密钥;
密钥解密模块,用于解密网络密钥;
校验模块,用于比对解密密钥和加密密钥是否一致,若比对结果一致,则允许操作人员进行系统运行,若比对结果不一致,则不允许操作人员进行系统运行。
汽车行业信息安全体系可信赖度评估系统,使用时通过以下步骤辅助评估:
S01:建立评估任务,并设置任务中包含的角色及权限,所述角色包含管理员、评估人员、受评方人员;
S02:所述角色对应的人员登录系统并输入所述角色的基础信息,所述管理员及所述评估人员可从基础信息数据库调取对应的基础信息完成输入;
所述受评方人员输入基础信息的方式包括手动录入、证件识别;
S03:所述评估人员录入评估内容,录入方式包括手动录入、语音识别、图像识别,录入过程与评估同步进行,录入过程可由所述管理员设置是否对评估现场图像及语音进行现场录制;
S04:所述评估系统调取所述评分模型,将录入的评估内容与评估数据库中的数据进行分析比对,根据分析对比结果及所述评分模型给出评分建议;
S05:所述评估人员可对所述评估系统给出的所述评分建议进行修改,修改所述评分建议过程中需在对被修改的评分写明修改原因;
S06:所述评估系统根据所述评估人员修改后的所述评分建议给出纠正方案建议;
S07:所述评估人员给出评估结论,并通过所述评估系统提交所述管理员进行审核确认。
根据上述方法计算出总体分值,根据分值对应的级别得出该企业的信息安全管理可信赖度等级。
级别 信息安全管理可信赖度 总体分值
一级 基本执行级 1
二级 计划跟踪级 2
三级 充分定义级 3
四级 量化控制级 4
五级 持续改进级 5
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。

Claims (10)

1.汽车行业信息安全体系可信赖度评估方法,其特征在于,包括以下步骤:
步骤一:评估准备,完成评估前的一系列准备工作,并获取评估系统审核所需的信息;
步骤二:初次审核,对步骤一中的评估准备工作及所获取评估系统审核所需的信息进行初次审核;
步骤三:编制评分模型,根据评估模块及其安全过程域编制评分模型;
步骤四:正式审核,审核评估模块的安全过程域是否符合,确定计入评估模块得分率的安全过程域,对符合的安全过程域进行评分并生成评分得分率和图表报告;
步骤五:编写纠正方案及审核,对步骤三中的不符合的安全过程域进行编写纠正方案,并对纠正方案进行审核;
步骤五:实施纠正方案,对步骤四中的纠正方案进行实施;
步骤六:跟踪审核,对步骤四中生成的评分得分率和图表报告和步骤五中完成纠正方案的结果进行跟踪审核;
步骤七:授予体系标签;步骤六中跟踪审核结果通过即授予体系标签。
2.根据权利要求1所述的汽车行业信息安全体系可信赖度评估方法,其特征在于,所述步骤三中的评估模块包括信息安全体系管理;信息安全保障;信息资产安全;系统和网络安全;车联网安全管理;原型车和原型件安全;供方安全管理;合规性管理。
3.根据权利要求2所述的汽车行业信息安全体系可信赖度评估方法,其特征在于,所述信息安全体系管理包括以下安全过程域:信息安全策略,体系的策划及管理,风险管理,人力资源安全;
所述信息安全保障包括以下安全过程域:物理和环境安全,信息安全事件管理,业务连续性管理;
所述信息资产安全包括以下安全过程域:信息识别,信息访问控制,信息加密,信息存储,信息传输,信息备份;
所述系统和网络安全包括以下安全过程域:信息系统获取,信息系统开发,信息系统运维,网络安全管理,工控网络系统管理;
所述车联网安全管理包括以下安全过程域:项目管理中的信息安全,车载网络安全管理;
所述原型车和原型件安全包括以下安全过程域:样车样件接收和设计,样车样件生产和使用,样车样件运输;
所述供方安全管理包括以下安全过程域:供方确定,供方的管理,供方的变更管理;
所述合规性管理包括以下安全过程域:符合性管理,个人信息保护,网络安全法规,数据安全法规。
4.根据权利要求3所述的汽车行业信息安全体系可信赖度评估方法,其特征在于,利用熵值赋权法,根据各所述安全过程域的评分,分别确定各所述安全过程域评分的权重;
根据各所述安全过程域评分的权重获取所述汽车行业信息安全体系可信赖度的总评分;
将所述汽车行业信息安全体系可信赖度的总评分与设定的可信赖阈值进行比较,若所述汽车行业信息安全体系可信赖度的总评分不小于所述可信赖阈值,则所述信息安全体系可信赖度处于较高水平,反之则所述信息安全体系可信赖度处于较低水平。
5.根据权利要求4所述的汽车行业信息安全体系可信赖度评估方法,其特征在于,获取特定所述汽车行业信息安全体系的信息识别正确率α,并确定所述信息识别的评分e1
Figure FDA0003617131830000031
其中αmin表示所述信息识别正确率的最小值,αmax表示所述信息识别正确率的最大值;
获取特定所述汽车行业信息安全体系的信息存储报错率βos
βos=p1f1+p2f2
其中p1为信息存储内容错误在信息存储报错率中所占的权重,f1为信息存储内容错误占信息存储报错的比例,p2为信息存储内容丢失在信息存储报错率中所占的权重,f2为信息存储内容丢失占信息存储报错的比例;
获取汽车行业信息安全体系平均信息存储设备故障率βps,根据βos及βps确定信息存储的评分e2
Figure FDA0003617131830000032
其中
Figure FDA0003617131830000033
为信息存储报错率的最大值,
Figure FDA0003617131830000034
为信息存储报错率的最小值,
Figure FDA0003617131830000035
为信息存储设备故障率的最大值,
Figure FDA0003617131830000036
为信息存储设备故障率的最小值;
获取特定所述汽车行业信息安全体系的网络安全管理问题风险系数δns
δns=p1f1+p2f2+p3f3+p4f4
其中p1为网络连接故障概率在网络安全管理问题中所占的权重,f1为网络连接故障概率在网络安全管理问题中所占的比例,p2为网络设备故障概率在网络安全管理问题中所占的权重,f2为网络设备故障概率在网络安全管理问题中所占的比例,p3为网络安全软件故障概率在网络安全管理问题中所占的权重,f3为网络安全软件故障概率在网络安全管理问题中所占的比例,p4为人为故障概率在网络安全管理问题中所占的权重,f4为人为故障概率在网络安全管理问题中所占的比例;确定所述网络安全管理的评分e3
Figure FDA0003617131830000041
其中
Figure FDA0003617131830000042
为网络安全管理问题风险系数的最大值,
Figure FDA0003617131830000043
为网络安全管理问题风险系数的最小值;
获取特定所述汽车行业信息安全体系的样车样件生产和使用一致性比率γ,并确定所述样车样件生产和使用的评分e4
Figure FDA0003617131830000044
其中γmax为样车样件生产和使用一致性比率的最大值,γmin为样车样件生产和使用一致性比率的最小值;
获取特定所述汽车行业信息安全体系的风险管理的评分e5,其中一级风险转化为二级风险的比率为k12,二级风险转化为三级风险的比率为k23,一级风险转化为三级风险的比率为k13
Figure FDA0003617131830000051
Figure FDA0003617131830000052
Figure FDA0003617131830000053
Figure FDA0003617131830000054
其中p12为汽车行业信息安全体系的风险管理中一级风险转化为二级风险情况,p23为汽车行业信息安全体系的风险管理中二级风险转化为三级风险情况,p13为汽车行业信息安全体系的风险管理中一级风险转化为三级风险情况;
根据各所述安全过程域的评分,分别确定各所述安全性指数评分的权重,对各所述安全过程域的评分进行正态分布拟合,得到一维n阶矩阵A1×n
A1×n=[a1,…,an],
其中n为所述安全过程域的评分的个数,n=1,…,5,其中,a1为落入区间(μ+3σ,+∞)的所述安全过程域的评分样本数,a2为落入区间(μ+2σ,μ+3σ)的所述安全过程域的评分样本数,a3为落入区间(μ-2σ,μ+2σ)的所述安全过程域的评分样本数,a4为落入区间(μ-3σ,μ-2σ)的所述安全过程域的评分样本数,a5为落入区间(-∞,μ-3σ)的所述安全过程域的评分样本数,μ为正态分布的期望值,σ为正态分布的标准差;
进而获取一维n阶矩阵B1×n
B1×n=[b1,…,bn];
其中bn为所述矩阵A1×n中特定元素an落入各个区间的概率,
Figure FDA0003617131830000061
根据所述bn进而计算各所述安全过程域的评分的熵Cn,
Figure FDA0003617131830000062
根据各所述安全过程域的评分的熵Cn,获取各所述安全过程域的评分的熵权重矩阵D1×n
D1×n=[d1,…,dn],
其中,dn为第n个所述安全过程域的评分的熵权重,
Figure FDA0003617131830000063
6.根据权利要求1所述的汽车行业信息安全体系可信赖度评估方法,其特征在于,所述步骤二中初次审核包括生成初次审核报告,所述步骤五中纠正方案审核包括生成纠正方案审核报告,所述步骤六中跟踪审核包括生成跟踪审核报告。
7.根据权利要求1所述的汽车行业信息安全体系可信赖度评估方法,其特征在于,所述步骤七中授予体系标签时,会向评估系统上传审核及评估报告并对外发布标签共享。
8.汽车行业信息安全体系可信赖度评估系统,其特征在于,用以辅助实现权利要求1所述的汽车行业信息安全体系可信赖度评估方法。
9.根据权利要求8所述的汽车行业信息安全体系可信赖度评估系统,其特征在于,包括网络安全分析子系统和可信赖度评估子系统;
其中可信赖度评估子系统包括网站登录用户注册模块;
评估系统参与者注册模块,用于获取参与者ID;
评估范围注册模块,用于获取范围ID;
评估系统审核所需信息填写模块,用于获取评估系统审核所需的评估模块信息;
信息获取模块,用于获取信息并发送至信息存储模块和目标确定模块;
目标确定模块,用于从获取的信息中确定所要分析评估的目标信息;
信息存储模块,用于对信息进行存储;
风险分析模块,用于对目标信息的安全性进行分析;
评估系统审核及结果反馈模块,用于评估审核评估系统审核所需信息填写模块获取的评估系统审核所需信息,并生成评估结果;
风险管理模块,根据评估结果来对风险信息进行管理;
其中网络安全分析子系统包括网络安全处理器模块,用于对各信息进行处理;
网络异常分析模块,用于对网络异常状况进行识别和分析;
身份识别模块,用于对登录用户及注册参与者的身份信息进行验证,若身份验证通过,则允许操作人员进行相关操作,若身份验证未通过,则不允许操作人员进行操作;
网络巡查模块,用于对网络状况进行巡查,以保证网络的安全运行;
病毒扫描模块,用于对网络病毒进行扫描和分析;
密钥生成模块,用于生成网络密钥;
密钥解密模块,用于解密网络密钥;
校验模块,用于比对解密密钥和加密密钥是否一致,若比对结果一致,则允许操作人员进行系统运行,若比对结果不一致,则不允许操作人员进行系统运行。
10.根据权利要求9所述的汽车行业信息安全体系可信赖度评估系统,其特征在于,包括以下步骤:
S01:建立评估任务,并设置任务中包含的角色及权限,所述角色包含管理员、评估人员、受评方人员;
S02:所述角色对应的人员登录系统并输入所述角色的基础信息,所述管理员及所述评估人员可从基础信息数据库调取对应的基础信息完成输入;
所述受评方人员输入基础信息的方式包括手动录入、证件识别;
S03:所述评估人员录入评估内容,录入方式包括手动录入、语音识别、图像识别,录入过程与评估同步进行,录入过程可由所述管理员设置是否对评估现场图像及语音进行现场录制;
S04:所述评估系统调取所述评分模型,将录入的评估内容与评估数据库中的数据进行分析比对,根据分析对比结果及所述评分模型给出评分建议;
S05:所述评估人员可对所述评估系统给出的所述评分建议进行修改,修改所述评分建议过程中需在对被修改的评分写明修改原因;
S06:所述评估系统根据所述评估人员修改后的所述评分建议给出纠正方案建议;
S07:所述评估人员给出评估结论,并通过所述评估系统提交所述管理员进行审核确认。
CN202210446530.3A 2022-04-26 2022-04-26 汽车行业信息安全体系可信赖度评估方法及评估系统 Pending CN114757556A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210446530.3A CN114757556A (zh) 2022-04-26 2022-04-26 汽车行业信息安全体系可信赖度评估方法及评估系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210446530.3A CN114757556A (zh) 2022-04-26 2022-04-26 汽车行业信息安全体系可信赖度评估方法及评估系统

Publications (1)

Publication Number Publication Date
CN114757556A true CN114757556A (zh) 2022-07-15

Family

ID=82333664

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210446530.3A Pending CN114757556A (zh) 2022-04-26 2022-04-26 汽车行业信息安全体系可信赖度评估方法及评估系统

Country Status (1)

Country Link
CN (1) CN114757556A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116431835A (zh) * 2023-06-06 2023-07-14 中汽数据(天津)有限公司 汽车认证领域自动化知识图谱构建方法、设备和介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116431835A (zh) * 2023-06-06 2023-07-14 中汽数据(天津)有限公司 汽车认证领域自动化知识图谱构建方法、设备和介质
CN116431835B (zh) * 2023-06-06 2023-09-15 中汽数据(天津)有限公司 汽车认证领域自动化知识图谱构建方法、设备和介质

Similar Documents

Publication Publication Date Title
US20050065839A1 (en) Methods, systems and computer program products for generating an aggregate report to provide a certification of controls associated with a data set
CN110569197A (zh) 一种用于软件可信性评估的可信证据分析与度量方法
CN101964779A (zh) 一种基于能力成熟度模型的资源访问控制方法和系统
GB2483983A (en) Method for risk assessment of financial events
CN111930726B (zh) 基于离线表单的等级保护测评数据采集、分析方法及系统
CN115239315A (zh) 数据流通合规审计系统及合规审计方法
KR20190069959A (ko) Aeo 인증 과정에서의 위험요소 관리 시스템 및 방법
CN114757556A (zh) 汽车行业信息安全体系可信赖度评估方法及评估系统
US20130325731A1 (en) Systems and methods for providing organizational compliance monitoring
CN117216801A (zh) 一种基于人工智能的企业财务数据安全管理系统及方法
Scala et al. Evaluating mail‐based security for electoral processes using attack trees
KR102304231B1 (ko) 계층 구조를 이용한 컴플라이언스 관리 체계 지원 시스템 및 그 방법
KR20200048966A (ko) 무역 관련 업체 인증 시스템 및 방법
CN117056172A (zh) 一种用于系统集成中台的数据集成方法及系统
Power et al. Sharing and analyzing data to reduce insurance fraud
CN110782163A (zh) 企业数据处理方法和装置
CN115994746A (zh) 一种信息实时审核方法、系统、电子设备及存储介质
US20170186105A1 (en) Method to inspect equipment
KR101505079B1 (ko) 정보보호업무 지원시스템 및 방법
CN111885163A (zh) 基于区块链的公检法系统
CN114118694A (zh) 一种基于dsmm的数据安全能力评分和评级方法
CN117726300B (zh) 用于招标代理业务资料校验的自动化智能处理系统
CN117195256B (zh) 一种财务数据处理方法及系统
CN115545870B (zh) 一种政府机关人员工资便携管理系统及方法
CN116629804B (zh) 一种信访督查跟踪管理系统及管理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination