VCS Audit: Cyber security according to ENX standard I DQS

VCS 평가 – 자동차 산업의 차량 사이버 보안

차량의 사이버 보안 아키텍처에 통합된 VCS 구성 요소의 장기 유지 관리를 개발, 제조 또는 책임지고 있습니까? 그렇다면 차량 라이프사이클 전체에서 ISA/SAE 21434의 계약상 보장된 요구 사항을 충족하는지 입증해야 합니다.

VCS 프로그램의 참가자는 계약상 의무가 지속되는 동안 매 3년마다 실시해야 하는 적절한 평가를 통해 이 작업을 수행할 수 있습니다. VCS 인증은 모든 산업에 적용되며 VCS 구성 요소의 모든 관련 수명 주기에 걸쳐 CSMS(사이버 보안 관리 시스템)에 대한 요구 사항을 정의합니다. VCS 평의 전제 조건은 TISAX®에 따른 ISMS(Information Security Management System)와 QMS(Quality Management System)입니다.

모든 VCS 참가자 간의 상호 인식

공급업체와 서비스 제공업체는 평가를 받는 회사에 대해 더 많은 신뢰를 얻습니다

VCS 인증 평가는 3년에 한 번만 수행됩니다

VCS 네트워크에 가입하면 시간과 비용이 절약됩니다

VCS 평가에 대한 기본 정보

VCS는 자동차 산업의 기업들에게 일반적인 평가 및 교환 프로그램입니다. 이는 VCSA(Vehicle Cyber Security Audit) 설문지를 기반으로 합니다. VCS는 국제적으로 표준화된 평가 프로그램으로 국제 표준인 ISO/SAE 21434와 CSMS(Cyber Security Management Systems)를 위한 ISO/PAS 5112의 필수 요소를 구현합니다.

UN R 155에 따라 도로 차량 제조업체는 차량의 사이버 보안을 책임져야 합니다. 이 맥락에서 사이버 보안은 차량의 모든 IT 기반 구성 요소의 보안 및 신뢰성을 나타냅니다. 순수하게 전자적이거나 물리적으로 제어되는 구성 요소와 달리 VCS 구성 요소는 소프트웨어를 기반으로 합니다. 이를 통해 차량은 운전자와 환경에 맞게 운전 행동을 동적으로 조정하고 주차하거나 비상 제동을 시작할 수 있습니다. 항공 분야에서 오랫동안 사용되어 온 바이 와이어 솔루션은 저속(스티어 바이 와이어) 또는 완전 자동 주차 브레이크(브레이크 바이 와이어)에서 더 높은 조향각 덕분에 승객 칸을 위한 새로운 설계 솔루션을 가능하게 하고 도심에서 더 쉽게 이동할 수 있습니다.

도로 차량의 사이버 보안 아키텍처는 차량의 기능을 함께 구현하고 종종 외부 공급업체로부터 제공되는 많은 VCS 구성 요소의 효과적인 상호 작용을 기반으로 합니다. VCS를 사용하면 제조업체는 공급업체로부터 CSMS의 효과적인 규칙에 따라 VCS 구성 요소가 장기적으로 안전하게 설계, 생산 및 유지 관리될 수 있다는 증거를 얻을 수 있습니다. 지금으로부터 10년 후에도 계약 공급업체가 발생한 새로운 안전 문제를 해결하기 위해 구성 요소에 대한 업데이트를 제공할 수 있어야 합니다. VCS 평가는 이러한 약속을 확인하기 위해 설계되었습니다.

TISAX®와 마찬가지로 VCS에는 ENX VCS 평가 결과에 대한 교환 메커니즘이 있습니다. VCS는 ENX 협회의 평가 메커니즘입니다. 유럽의 자동차 제조업체, 자동차 공급업체 및 자동차 협회로 구성된 협회로, VCS 평가 품질을 모니터링하고 VCS 평가 서비스 공급업체의 승인을 제어합니다.

적게 표시

VCS 평가를 통해 귀사에 어떤 이점이 있습니까?

VCS 구성 요소의 서비스 제공업체 또는 공급업체로서 구성 요소의 사이버 보안을 결정하는 특정 활동에 대해 제조업체에 책임을 지게 됩니다. VCS 평가를 통해 DQS의 적합성 증명을 받을 뿐만 아니라 위험 관리에도 적극적으로 참여할 수 있습니다. 특히 매우 장기적인 의무와 관련하여, 당사는 귀하의 조치가 장기적으로 적합한지 확인하는 데 도움을 드릴 수 있습니다. 과거에는 이러한 평가가 주로 제조업체 자체에서 수행되었습니다. VCS 네트워크에 등록된 참가자는 공통 온라인 플랫폼을 통해 평가 서비스 제공업체를 선택하고 VCS평가를 의뢰할 수 있습니다. 회사의 이점이 단점보다 큽니다:

서로 다른 클라이언트에 의한 중복 및 다중 평가를 피할 수 있어 시간과 비용을 절약할 수 있습니다.
VCS 참가자에 대한 전사적 평가인식
일관된 평가 프로세스를 보장하는 조화된 VCSA 평가 카탈로그 덕분에 신뢰할 수 있는 결과를 얻을 수 있습니다.
"VCS 개발", "VCS 프로덕션" 또는 "VCS Operations & Maintenance"라는 하나 이상의 VCS 레이블을 사용하여 평가 대상 조직에 대한 신뢰를 높입니다.

평가가 성공하면 VCS 온라인 플랫폼에서 VCS 레이블을 받게 됩니다. 이러한 레이블은 인증서와 유사하며 VCS 공급업체로서의 역량을 확인하는 역할을 합니다.

적게 표시

VCS는 어떻게 진행됩니까?

VCS에서 참가자는 공급업체에 대한 정보를 제공받고자 하는 제조업체와 같은 "정보 소비자"(수동적), 제조업체의 주문을 받기 위해 적합성을 평가받고자 하는 VCS 공급업체 또는 서비스 제공업체와 같은 두 가지 역할을 수행할 수 있습니다.

회사는 또한 두 참여자 역할을 모두 수행할 수 있습니다. VCS에 정보 기여자로 참여하려는 사람은 다음 네 가지 주요 단계를 수행해야 합니다:

1. www.enx.com/VCS 에서 온라인으로 등록하세요

2. DQS와 같은 ENX 승인 평가 서비스 제공업체 선택

3. ENX VCS 평가를 진행합니다.

4. VCS 온라인 플랫폼에서 평가 결과를 공유합니다.

VCS 결과에 관심이 있는 회사는 ENX에 "Information Consumer"로 등록할 수 있습니다. 각 Information Consumer에 대해 현재 VCS 상태를 공유할지 여부를 결정할 수 있습니다.

적게 표시

VCS 평가는 어떻게 진행됩니까?

VCS 평가를 시작하기 전에 회사에서 명확한 범위를 정의해야 합니다. 여기에는 회사에서 담당하는 VCS 작업을 결정하는 작업이 포함됩니다. 이러한 작업이 VCS 개발 작업인 경우 "VCS 개발"의 요구 사항을 충족해야 합니다. 회사에서 VCS 구성 요소의 안전한 생산 및 기본 구성을 담당하는 경우 "VCS 프로덕션"의 요구 사항을 충족해야 합니다. 회사에서 VCS 구성 요소의 장기 운영 및 유지 관리를 담당하는 경우 "VCS Operations & Maintenance"의 요구 사항을 충족해야 합니다.

중앙 사이버 보안 관리 시스템은 CSMS를 주로 제어하는 사이트에서 평가를 받게 됩니다. 중앙 CSMS의 효과는 CSMS의 VCS 활동이 수행되는 사이트에서 평가됩니다. 따라서 이러한 분산 VCS 활동이 수행되는 모든 위치는 평가 범위에 포함됩니다. 그러나 평가 과정에서 실제로 평가에 포함되는 사이트를 결정하기 위해 VCS 프로젝트의 샘플을 채취합니다. 원칙적으로 문제의 모든 사이트에는 평가 시점에 유효한 TISAX® 레이블이 있어야 합니다.

첫 번째 단계에서는 승인된 평가기관으로 DQS를 선택합니다
두 번째 단계에서는 모든 책임자가 평가팀의 기대에 부응하도록 킥오프 회의를 개최합니다.
세 번째 단계에서는 VCSA 평가 카탈로그를 사용하여 중앙 CSMS의 자체 평가를 수행하고 평가 팀에서 사용할 수 있도록 카탈로그에 참조된 문서 패키지를 컴파일합니다.
네 번째 단계에서 평가팀장은 제공된 모든 문서에 대한 검토를 수행합니다.
다섯 번째 단계에서는 중앙 CSMS가 VCSA 준수 여부를 심사 및 평가합니다.
여섯 번째 단계에서는 위험 기준에 따라 VCS 프로젝트의 무작위 샘플을 선택합니다.
일곱 번째 단계에서는 샘플링된 VCS 프로젝트를 평가하여 CSMS 요구 사항이 구현되었는지 확인합니다. 이는 프로젝트 팀장을 평가하고 ISO/SAE 21434에서 요구하는 작업 제품을 검토하여 수행됩니다.