ISO/SAE 21434 學習地圖 (MOC)

本站為 ISO/SAE 21434:2021 Road vehicles — Cybersecurity engineering 證照準備筆記。
涵蓋 Clause 4 ~ Clause 15 與主要 Annex，搭配 TARA 方法、UN R155/R156 對應、練習題。

學習路徑建議 (Recommended Path)

Week 1: Foundations + 組織治理
  └─ 01-Foundations → 02-Organizational-Management → 03-Project-Dependent

Week 2: 分散式開發 + 持續資安
  └─ 04-Distributed-CS-Activities → 05-Continual-Cybersecurity

Week 3: 開發生命週期 (Concept → Validation)
  └─ 06-Concept-Phase → 07-Product-Development → 08-Cybersecurity-Validation

Week 4: 後開發階段 + TARA 深化
  └─ 09-Production → 10-Operations-Maintenance → 11-EndOfSupport → 12-TARA-Methods

Week 5: Annex + 練習題衝刺
  └─ 13-Annexes-Tools → 14-Exam-Practice → 00-Dashboard/Quick-Reference

主題地圖 (Topic Map)

01-Foundations｜基礎觀念

• ISO 21434 標準總覽
• 關鍵術語與定義 (Clause 3)
• 資安 vs. 功能安全 (Cybersecurity vs Safety)
• 資安工程生命週期總覽 (Clause 6 框架)
• 法規地景 UN R155/R156/WP.29

02-Organizational-Management｜組織層級資安管理 (Clause 5)

• CSMS 網路安全管理系統總覽
• 資安文化與能力管理
• 管理系統（資訊安全、品質、組織政策）
• 工具管理與工具評估
• 資訊共享 (Information Sharing)
• 稽核與資安評估

03-Project-Dependent｜專案層級資安管理 (Clause 6)

• 資安計畫 (Cybersecurity Plan)
• 角色與責任分配 (RASIC)
• 裁適 (Tailoring)
• 重用 (Reuse) 與 OTS 元件
• 脈絡外元件 (Out-of-Context Component)
• 資安案例與評估報告 (Cybersecurity Case / Assessment)
• 發行至後開發階段 (Release for Post-Development)

04-Distributed-CS-Activities｜分散式資安活動 (Clause 7)

• 客戶與供應商互動
• 資安界面協議 (CIA)
• 供應商能力評估 (RFQ + Capability)

05-Continual-Cybersecurity｜持續性資安活動 (Clause 8)

• 資安監控 (CS Monitoring)
• 資安事件評估
• 弱點分析
• 弱點管理

06-Concept-Phase｜概念階段 (Clause 9)

• Item 定義
• 資安目標 (Cybersecurity Goals)
• 資安主張 (Cybersecurity Claims)
• 資安概念 (Cybersecurity Concept)

07-Product-Development｜產品開發 (Clause 10)

• 設計階段：資安需求與架構
• 整合與驗證 (Integration & Verification)
• 弱點與漏洞分析（開發階段）
• HW/SW/介面 資安考量

08-Cybersecurity-Validation｜資安驗證 (Clause 11)

• 驗證目標與策略
• 驗證方法（滲透測試/Fuzz/模糊測試）

09-Production｜生產 (Clause 12)

• 生產資安控制
• 金鑰/憑證植入 (Provisioning)

10-Operations-Maintenance｜營運與維護 (Clause 13)

• 資安事件回應
• 更新管理（含 OTA）

11-EndOfSupport-Decommission｜終止支援與除役 (Clause 14)

• 終止支援 (EoS) 通知與條件
• 除役 (Decommissioning)

12-TARA-Methods｜TARA 方法 (Clause 15 + Annex)

• TARA 流程總覽
• 資產識別
• 威脅情境 (Threat Scenario)
• 衝擊評等 (SFOP)
• 攻擊路徑分析 (Attack Path)
• 攻擊可行性評等 (Attack Feasibility)
• 風險判定 (Risk Determination)
• 風險處置 (Risk Treatment) + CAL

13-Annexes-Tools｜附錄與工具

• CAL：資安保證等級
• 對應 UN R155 表
• STRIDE / DREAD 補充
• 攻擊樹 (Attack Trees)

14-Exam-Practice｜練習題（依章節）

• 每個主資料夾內含對應 Practice-*.md，本資料夾為 綜合模擬題。
• 模擬試題 1：基礎觀念 + Lifecycle
• 模擬試題 2：TARA + Risk Treatment
• 模擬試題 3：跨章節情境題

學習工具 (Study Tools)

• 🗺️ Quick Reference 速查表 — 一頁速覽全標準
• ⚠️ 常見考試陷阱 — 易混淆觀念整理

標籤索引 (Tag Index)

規則 (Tagging Rules)

• 一律 英文小寫 + kebab-case
• 層級：top → domain → detail → technique → note-type
• 細節標籤需附上 parent domain tag

主要標籤

• 領域：#iso-21434, #cybersecurity, #automotive
• 階段：#concept, #development, #validation, #production, #operations, #post-development
• 方法：#tara, #stride, #attack-tree, #risk-assessment
• 治理：#csms, #cs-plan, #audit, #tailoring
• 對應：#un-r155, #un-r156, #unece-wp29
• 風險：#impact-rating, #attack-feasibility, #cal, #risk-treatment
• 筆記類型：#concept-note, #practice, #moc, #quick-ref

非核心主題政策 (Non-core Topics)

下列主題在 ISO 21434 中非考試核心，僅做背景理解，不深入：

• 詳細加密演算法數學推導（AES/RSA/ECC 內部運算）
• 具體攻擊技術細節（屬於滲透測試訓練範疇）
• 特定 OEM 內部流程（不在標準範圍內）

Related

• 00-Dashboard/Quick-Reference
• 00-Dashboard/Exam-Traps
• 01-Foundations/01-Standard-Overview