Переваги ENX VCS
1:1 імплементація ISO 21434 та ISO/PAS 5112
Першою гарною новиною є те, що кожен, хто слідкує за ISO 21434 та ISO/PAS 5112 з точки зору автомобільної кібербезпеки, вже на правильному шляху. Вимоги цих двох стандартів - математично кажучи - є справжньою підмножиною специфікацій VCS. Це означає, що всі вимоги двох стандартів ISO можна знайти в співвідношенні 1:1 в ENX VCS (Vehicle Cyber Security).
Однак, у порівнянні з аудитами ISO, ENX VCS забезпечує порівнянну модель процедур. Для того, щоб забезпечити порівнянність процесів у всьому світі для всіх постачальників послуг з аудиту, ENX також опублікувала спеціальні "Критерії та вимоги до постачальників послуг з аудиту" (ACAR VCS 1.0 - "Audit Provider Criteria & Assessment Requirements") та обов'язковий каталог аудиту VCSA 1.0 на момент запуску програми. Вони включають, серед іншого:
- Організаційний аудит положень CSMS (насамперед, аудит документів та процесів),
- Створення ризик-орієнтованої вибірки проектів, які стосуються кібербезпеки компонентів,
- Вибірка проектів використовується для перевірки того, чи положення CSMS послідовно застосовуються в проектах VCS. Вона включає, наприклад, інтерв'ю з членами команди інженерів та аналіз результатів їхньої роботи.
Стандартизовані компетенції
ACAR також визначає стандартизовані на глобальному рівні вимоги до компетенцій та описи ролей аудиторів та експертів:
- Провідний аудитор VCS
- Експерт VCS
Знання експерта VCS завжди повинні бути представлені в команді аудиторів VCS. На етапі інтерв'ю експерт бере на себе розмову з інженерними командами, щоб зробити можливим професійне оцінювання діяльності та результатів роботи.
Рольовий аудит
У традиціях TISAX®, ENX VCS також розглядає різні ролі, які постачальники можуть відігравати в наданні компонентів, що мають відношення до кібербезпеки, у вигляді нової системи маркування VCS. Таким чином, постачальник повинен відповідати лише тим вимогам каталогу оцінки VCSA, які відповідають його ролі:
- Розробка VCS
- Виробництво VCS
- Експлуатація та обслуговування VCS
Порівнянність зусиль
Маркування ENX VCS дійсне протягом трьох років і не вимагає наглядових аудитів. На відміну від цього, аудити відповідно до ISO/SAE 21434 вимагають (ре-)сертифікаційного аудиту протягом трьох років і двох щорічних наглядових аудитів з відповідними витратами на відрядження.
Гнучкість
На відміну від стандарту ISO, ENX VCS також обіцяє більшу гнучкість при адаптації до нових вимог. Положення ACAR зазвичай підлягають обов'язковому перегляду раз на рік, що має бути виконано всіма постачальниками послуг з аудиту VCS.