汽车行业的数字化转型正在如火如荼地进行。只要有可能,机械就会让位于电子。安装更多的电子/电子元件使汽车功能更强大,驾驶安全性更高,但同时也使汽车面临网络攻击的危险。为此,联合国通过了 UN R 155,规定实施现代网络安全管理系统 (CSMS),并将于 2024 年 7 月全面生效。
ISO/SAE 21434 标准 "道路车辆--网络安全工程 "中已有一项指导方针,在官方要求中也有提及,但在实践中证明不够精确。为了实现全球标准化实施,ENX 协会通过车辆网络安全审核 (VCSA) 创建了一个新的认证选项。在我们的博文中,汽车行业的公司可以了解到为什么该审核计划比单纯的 ISO/SAE 21434 认证更适合证明新法规的合规性。
根据新的汽车网络安全法规,从 2024 年 7 月起,所有新生产的汽车都将执行具有约束力的要求。如果不执行这些要求,相关车型系列将无法获得型式认证。当局通过强制实施网络安全管理系统(CSMS)来实现整体网络安全,包括所有汽车部件。
安装在车辆上的大部分组件都来自汽车制造商的供应链。UN R 155 要求这些制造商对其供应的部件的网络安全负责。不过,它们只能通过与供应商的合同协议来影响部件的网络安全。因此,作为风险管理的一部分,汽车制造商需要与供应商签订明确的合同并对其进行有意义的审核,以保证并长期维持必要的网络安全。
立法者推出的 UN R 155(以及侧重于软件更新的 UN R 156)引起了人们对公路车辆软件控制组件和网络安全方面存在的几个复杂问题的关注:
为了回答这些问题,UN R 155 提及在汽车制造商中建立符合 ISO/SAE 21434 标准的网络安全管理系统 (CSMS)。管理系统是一套用于有效管理和控制公司或组织的流程和程序。
在该标准中,汽车行业中的 "网络安全 "一词特指公路车辆中计算机系统、网络及其数据的保护。这包括确保车辆中使用的数字系统的安全性和完整性的措施和策略。
为确保网络安全,该标准规定了 CSMS 在安全设计、产品开发、产品维护、风险检测、危害预防、产品处置以及相关持续过程中的流程和程序。因此,该标准提供了一个全面的 CSMS 架构模型,包括一个评估网络安全风险的流程模型,即威胁和风险分析 (TARA)。
下面,您可以了解反对用纯粹的 ISO/SAE 21434 认证来满足 UN R 155 要求的理由。
随着数字化的发展,攻击风险迅速增加。汽车制造商在许多方面都是网络犯罪分子的目标。阅读我们的博文,了解有哪些法规可以保护汽车制造商。
ISO/SAE 21434 为如何审核 CSMS 留出了很大的解释空间。由于每个审核提供商都会根据其认证机构的规定制定自己的 ISO 21434 标准审核计划,因此 ISO/PAS 5112 规定有必要对组织的网络安全和 CSMS 审核流程进行标准化。
ISO/PAS 5112 包含管理审核计划的一般准则,为组织提供了计划和实施审核的必要信息。它还定义了 CSMS 审核人员的能力,并解释了如何验证标准的执行情况。
尽管在提高标准化方面做出了这些努力,但汽车行业的网络安全审核计划仍存在很大差异。
在拥有多个合同合作伙伴的深度整合供应链背景下,不可比的审核计划给汽车制造商带来了重大问题。制造商需要能够依靠供应商网络安全管理系统(CSMS)的审核结果来进行风险管理。
ENX 已认识到这一需求,并与汽车行业合作开发了一个解决方案,即实施名为 ENX VCS(车辆网络安全)的全球标准化审核计划。ENX 利用其成员网络使审核计划适应汽车行业的具体要求。
同时,仅有 ISO/SAE 21434 还不足以满足 UN R 155 的所有监管要求。尽管 UN R 155 将 ISO/SAE 21434 作为 CSMS 流程的范例,但它还要求必须持续保持 CSMS 的能力:
只有在 CSMS 的同时运行信息安全管理系统 (ISMS),长期确保整个公司的信息安全,才能切实满足上述要求。因此,ENX VCS 始终要求开发基地也必须通过 TISAX 评估。通过这种方式,通过审核的供应商可以持续证明其通过风险意识和风险规避管理履行了尽职调查义务。
ISO/IEC 27001 是引入信息安全整体管理系统的领先国际标准。ISO 标准最近进行了修订,并于 2022 年 10 月 25 日重新发布。
1:1 实施 ISO 21434 和 ISO/PAS 5112 标准
首先一个好消息是,在汽车网络安全方面一直关注 ISO 21434 和 ISO/PAS 5112 的人已经步入正轨。从数学上讲,这两个标准的要求是 VCS 规范的真正子集。这意味着,ISO 两项标准的所有要求都可以在 ENX VCS 车辆网络安全中以 1:1 的比例找到。
不过,与 ISO 审核相比,ENX VCS 支持可比较的程序模型。为了确保全球所有审核提供商的流程具有可比性,ENX 还在项目启动时发布了具体的 "审核提供商标准与评估要求"(ACAR VCS 1.0)和具有约束力的 VCSA 审核目录 1.0。其中包括
标准化能力
ACAR 还为审核员和专家定义了全球标准化的能力要求和角色描述:
在 VCS 审核团队中,必须始终具备 VCS 专家的知识。在面谈阶段,专家会接过与工程团队的对话,对活动和工作成果进行专业评估。
以角色为导向的审核
秉承 TISAX® 的传统,ENX VCS 还通过 VCS 标签新系统的形式,考虑了供应商在提供网络安全相关组件时可能扮演的各种角色。这样,供应商只需满足 VCSA 评估目录中适合其各自角色的要求即可:
可比较的努力
ENX VCS 标签的有效期为三年,无需进行监督审核。与此相反,按照 ISO/SAE 21434 标准进行审核时,需要在三年内进行一次(重新)认证审核和两次年度监督审核,并支付相应的差旅费用。
灵活性
与 ISO 标准相比,ENX VCS 还承诺在适应新要求时具有更高的灵活性。ACAR 法规通常每年强制修订一次,所有 VCS 审核提供商都必须执行。
总之,ENX VCS 审核程序能够在全球范围内改进 ISO/SAE 21434 和 ISO/PAS 5112 要求的审核实施。新标签在全球范围内的可比性增强,确保了对认证和执行 UN R 155 网络安全要求的信心大大提高。
作为德国经验最丰富的管理体系认证服务提供商之一,DQS 与 ENX 合作多年,并直接参与了新审核程序的开发。在该计划发布前的漫长开发过程中,DQS 在大量的试验审核中积累了宝贵的经验,因此,DQS 已为根据 VCS 规范审核您的 CSMS 做好了理想的准备。
请利用我们专家的知识,了解 ENX VCS 及其对贵公司的重要意义。凭借超过 35 年的经验和全球 2,500 名审核员的专业知识,我们将成为您合格的认证合作伙伴,为您解答有关数据保护和信息安全的所有问题。
TISAX® 和 VCS 产品经理、ISO/IEC 27001 审核员、拥有 30 多年经验的软件工程专家、信息安全副官。 Holger Schmeken 拥有商业信息学硕士学位,并具有德国关键基础设施 (KRITIS) 的扩展审计能力。
