VDA 汽車網絡安全 ASPICE模型理解實施和內部評估員

ASPICE for Cybersecurity 模型（VDA QMC） 理解實施和內部評估員培訓
課程對象：本課程適合于引入或實施ASPICE or Cybersecurity 的系統(tǒng)級開發(fā)和軟件級開發(fā)工程師、項目經理、PPQA、CM、EPG、企業(yè)軟件開發(fā)過程內部評估員和供應商軟件開發(fā)過程評估員、開發(fā)外包方管理人員等人員；
課程參加人員與參加前提：企業(yè)軟件開發(fā)過程內部評估員和供應商軟件開發(fā)過程評估員、項目經理、軟件開發(fā)人員、PPQA、CM、EPG等，參與者應該具備一定年限的管理經驗和工程技術經驗。
課程背景：
現代汽車產品，創(chuàng)新和附加值越來越依賴于汽車電子和軟件以及車輛之間、車輛和其他設施之間的互聯互通，而這些創(chuàng)新需要獲得信息安全的保障（網絡安全威脅、漏洞、攻擊方法等對應的緩解措施）方能上市并給予終端客戶以信賴。
歐盟針對車輛信息安全的法規(guī)ECE R155和R156已經正式發(fā)布。并將于2022年7月作為車型審批的準入標準。ISO/SAE 21434標準作為滿足R155和R156法規(guī)的重要技術標準，為滿足R155和R156法規(guī)提供了廣泛認可的實踐方法。
而對于 OEM 和Tier -x 增加的要求，需評估新產品開發(fā)項目的網絡安全工程開發(fā)的過程能力并形成評估報告，故 VDA QMC 基于ISO21434 開發(fā)了 ASPICE for Cybersecurity 過程參考和評估模型，用于指導網絡安全工程開發(fā)的過程改進和過程能力評估。
參加學員預備知識：
預習ASPICE模型；
預習ASPICE for Cybersecurity模型
課程目標（課程收益）：
1.學習掌握汽車網絡安全相關產品設計、開發(fā)與管理；能幫助企業(yè)開發(fā)和管理網絡安全產品。?
2.熟悉WP.29/UNECE R155，ISO/SAE21434，ASPICE網絡安全國際法規(guī)和標準要求。
3..理解ASPICE for Cybersecurity 過程參考和評估模型 各過程之具體要求；理解每個過程的流程邏輯；
4. 應用評估方法評估組織的開發(fā)過程，并形成文件化信息（報告），掌握評估方法和評估過程的具體實施，通過大量的實例練習，掌握組織或供應商軟件開發(fā)過程能力評估之內部評估技能，如評估計劃編寫、提問單編寫、文檔評審、訪談、評估報告的編寫等；
課程亮點： “零接觸”授課，小班化管理，學習流程全管控， 知識點密集，豐富案例
培訓證書：完成全部課程并通過測試，頒發(fā)《ASPICE for Cybersecurity 模型和企業(yè)內部評估員培訓》培訓合格證書；
培訓時間：
4天，（課程大綱中全部內容，沒有ASPICE 評估方法培訓和評估經歷的公司，可以選擇4天課程)
3天，(第九、十部分，刪除，有ASPICE 評估方法培訓和評估經歷的公司，可以選擇3天課程)；
課程大綱：
模塊
時間
培訓內容
第一部分：網絡安全范圍和驅動或挑戰(zhàn)
第一天上午
9:00-10：00
?范圍：安全與網絡安全、差異
驅動：汽車網絡安全挑戰(zhàn)與案例
網絡安全基礎知識
總結、學員提問與答疑
第二部分： 網絡安全標準：?UNECE
第一天上午
10:10-12：00
網絡安全標準：
?UNECE（聯合國歐洲經濟委員會）網絡安全法規(guī)
ISO/SAE21434:2021
網絡安全 ASPICE
網絡安全 ASPICE 指南
總結、學員提問與答疑第三部分：TARA 威脅分析和風險評估七步法
第一天下午：13:30-16:30
網絡安全資產
網絡安全屬性、威脅/威脅場景
網絡安全影響評級
網絡安全攻擊路徑
網絡安全攻擊可行性評級
網絡安全風險等級確定
網絡安全風險處理決策總結、學員提問與答疑第四部分：MAN7.網絡安全 風險管理
第二天 上午：
TARA 威脅分析和風險評估七步法 小組練習
風險管理方法與范圍
MAN7.網絡安全 風險管理過程 BP 解讀（非ASPICE VDA 范圍）
總結、學員提問與答疑
第五部分：從網絡安全資產到網絡安全目標和要求(SEC.1)
以及網絡安全實施(SEC.2)
從網絡安全資產到網絡安全目標和要求(SEC.1) BP解讀
以及網絡安全實施(SEC.2) BP解讀
總結、學員提問與答疑
第六部分：網絡安全的測試策略
SEC.3 SEC.4. MITRE ?Attack Navigator攻擊路徑 導航器（仿真環(huán)境）
第二天下午13:30-15:00
驗證和確認過程以及他們的基本做法
滲透測試
驗證和確認方法和工具的例子、驗證和確認之的區(qū)別
網絡安全的測試策略
SEC.3 風險處理驗證過程 BP解讀 SEC.4. 風險處理確認過程 BP解讀MITRE攻擊路徑 導航器（仿真環(huán)境）
第七部分：ACQ.2 供應商要求和選擇
第二天下午
15:00-16:30
ACQ.2 供應商要求和選擇過程：BP解讀
第八部分：“不變的”ASPICE 原過程，增加的附加說明
第三天：
上午13:30-12:00
下午：13:30-16:30
?ACQ.3, 合同協(xié)議過程BP 解讀（非ASPICE VDA 范圍）
ACQ.4, 供應商監(jiān)控過程BP 解讀（非ASPICE VDA 范圍）
ACQ 14, 招標過程BP 解讀（非ASPICE VDA 范圍）
ACQ.15, 供應商資格鑒定過程BP 解讀（非ASPICE VDA 范圍）
SYS.1 需求挖掘過程BP 解讀（非ASPICE VDA 范圍）
SYS.2.3.4.5 系統(tǒng)工程過程BP 解讀
SWE, 1.2.3.4.5.6軟件工程過程過程BP 解讀
SUP.1, 質量保證過程BP 解讀SUP.8,配置管理過程BP 解讀
MAN.3, 項目管理過程BP 解讀
MAN.5 風險管理過程BP 解讀（非ASPICE VDA 范圍）
第九部分：評估過程和評估方法
第四天上午：9:00-12:00
評估過程啟動和概述
評級
評估過程概述
訪談與筆記技巧
文檔評審
能力級別1 PAM詳細細節(jié)
練習：能力級別1評估練習
第四天下午：13：30-15：30
能力級別2-3 PAM詳細細節(jié)
練習：能力級別2-3評估練習
評級指南
第十部分：汽車網絡安全 ASPICE 項目推行計劃
第四天下午：15：40-16：30
IDEAL模型與階段、階段主要活動
汽車網絡安全ASPICE 過程改進項目詳細推行計劃
課程總結、學員提問與答疑
第十一部分：課程考試
第四天下午：16：30-17：00
課程考試

周得良老師的其它課程