管理系統整合

與其他管理系統的關係

ISO 21434 的 CSMS 不應孤立存在，需與下列管理系統整合：

                ┌─────────────────────┐
                │     CSMS            │
                │   (ISO 21434)       │
                └──────────┬──────────┘
                           │
        ┌──────────────────┼──────────────────┐
        │                  │                  │
┌───────▼──────┐   ┌───────▼──────┐   ┌───────▼──────┐
│     ISMS     │   │     QMS      │   │  Safety Mgmt │
│ (ISO 27001)  │   │ (ISO 9001 +  │   │ (ISO 26262)  │
│ IT 資訊安全   │   │  IATF 16949) │   │ 功能安全      │
└──────────────┘   └──────────────┘   └──────────────┘

CSMS vs ISMS

整合點：

• 公司開發環境的安全（如原始碼庫被入侵）= ISMS 範疇
• 但開發環境影響車輛資安 → 兩者交互
• HSM、簽章金鑰管理 = 兩者皆涉及

CSMS vs QMS

整合點：

• 文件管理、版本控制、變更管理可共享
• 內部稽核流程可整合
• 矯正措施 (CAPA) 機制可共用

CSMS vs Safety Mgmt

→ 詳見 01-Foundations/03-Cybersecurity-vs-Safety

整合點：

• Item Definition 共享
• 部分 V-Model 階段對齊
• Joint Review（Safety + Security）
• 共享 HIL/Test 平台

整合策略選項

選項 A：完全獨立

ISMS    QMS    CSMS    Safety
 ↓       ↓      ↓        ↓
獨立    獨立    獨立    獨立
文件    文件    文件    文件

優點：清楚分工
缺點：重複工、整合風險

選項 B：共用基礎，獨立內容（建議）

        ┌──────────────────────┐
        │ 共用：文件控制、稽核、 │
        │       培訓平台、CAPA  │
        └─┬────┬────┬────┬─────┘
          │    │    │    │
        ISMS  QMS  CSMS Safety
        各自專業內容

選項 C：完全整合（IMS - Integrated Management System）

單一手冊涵蓋四個標準
單一稽核

優點：效率
缺點：可能模糊邊界、稽核員需多重專業

共享資源建議

文件層級對應

Policy 層 (政策)
   └── 公司資安政策（涵蓋 ISMS + CSMS 共通原則）
        │
Process 層 (流程)
   ├── ISMS 流程
   ├── CSMS 流程（含 TARA、CIA）
   ├── QMS 流程
   └── Safety 流程
        │
Procedure 層 (程序)
   └── 各流程下的具體操作程序
        │
Record 層 (紀錄)
   └── 執行證據

證照考點

Related Notes

• 02-Organizational-Management/01-CSMS-Overview
• 01-Foundations/03-Cybersecurity-vs-Safety
• 02-Organizational-Management/06-Audit-and-Assessment

Practice

• 02-Organizational-Management/Practice-CSMS