51、工作产品评估与零信任即服务：降低数据泄露成本的策略

工作产品评估与零信任即服务：降低数据泄露成本的策略

1. 工作产品评估相关内容

1.1 问题与特征的关联

问题和特征紧密相关。当考虑满足ASPICE和网络安全要求的典型工作产品的特征时，相关问题也会自然被考虑到。

1.2 评估时间的缩减建议

SOQRATES工作组普遍认为，相关建议可能会减少完成评估所需的时间。为了确认这些建议能节省时间，必须进行涵盖ASPICE和网络安全流程的多项评估。

1.3 ASPICE评估流程概述

ASPICE定义了评估能力等级在0 - 5范围内的流程。评估一个流程的属性时，会使用NPLF方案。ASPICE流程涵盖系统开发、软件开发、支持、管理和采购等主题。此外，ASPICE for Cybersecurity定义了采购（ACQ.2）、网络安全风险管理（MAN.7）和安全工程流程（SEC.1 - SEC.4）。如果评估范围同时包含这两种类型的评估，将会花费大量时间。

1.4 聚焦工作产品缩短评估流程

聚焦工作产品有助于缩短评估过程。这使在给定范围内进行评估的评估人员能够缩短评估时间。因为所使用的工作产品相同，或者一个输出工作产品至少可以是另一个的组成部分，所以这种缩短评估执行时间的方法是可行的。

1.5 不同评估的执行顺序

研究发现，Automotive SPICE for Cybersecurity评估遵循ASPICE定义的非常正式的程序，其评估答案可用于ISO 21434产品评估。而ISO 21434产品评估侧重于工作产品的技术细节，如17 - 11软件需求规格说明，且不会为Automotive