ENX VCS 認證的汽車網路安全

目錄

• 具有約束力的網路安全法規
• ENX VCS - ISO/SAE 21434 全球審核計劃
• 標準化審計－可比較結果
• TISAX ^® VCS 與 VCS 協同工作
• 根據 ENX VCS 提供的符合性證明
• DQS－輕鬆利用安全性

具有約束力的網路安全法規

為了因應日益嚴峻的網路威脅，聯合國通過了UNECE R 155和R 156號決議，分別涉及網路安全管理系統（CSMS）和軟體更新管理系統（SUMS）的實施。這些規定旨在確保產品在整個生命週期和整個供應鏈中的網路安全。在歐盟，自2024年7月起，所有新生產的車輛都必須遵守這些規定。

ENX VCS - ISO/SAE 21434 全球審核計劃

ISO/SAE 21434（道路車輛 - 網路安全工程）是聯合國法規制定過程中的一項嘗試，旨在為符合相關法規提供指導原則和合格證明。然而，在實務上，儘管有 ISO/PAS 5112 的規範，各測試服務提供者的審核程序卻差異過大。因此，製造商仍無法向立法機構提供可靠且可比較的供應商合規性證據，而供應商本身也難以基於可比較的測試標準來證明其符合合約條款。

正因如此，ENX協會（歐洲汽車製造商、供應商和協會的聯合組織）設計了ENX VCS審核程序。 ENX VCS依據相關規定審核車輛網路安全管理系統（VCSMS）的實施。 ISO 21434和 ISO
5112. 其決定性優勢在於：VCS審核在全球範圍內已實現標準化，並且比ISO標準能更快適應新的挑戰。一組國際專家定期審查審核程序，以確保其與時俱進。

標準化審計－可比較結果

透過標準化的ENX VCS審核，企業可以避免因多層次審核流程和差異化審核而產生的不必要的費用，尤其是財務費用。為了確保所有審核機構的流程具有全球可比性，ENX在計畫啟動時也發布了具體的審核機構標準與評估要求（ACAR VCS）以及具有約束力的車輛網路安全審核（VCSA）審核目錄。這些文件定義了一系列強制性能力和VCS審核員的強制性程序模型——除了對V-CSMS法規進行組織審核（例如，強制性的文件和流程審核）之外——還要求對所有網路安全相關項目進行風險導向的隨機抽樣。審核員和專家將對樣本中專案的工程團隊進行訪談。團隊的工作成果將接受審查，以確保V-CSMS在實踐中得到實際應用。一旦測試成功完成，企業即可向ENX申請相應的VCS認證標籤，並透過ENX交換機制將其提供給有興趣的各方。

TISAX ^® VCS 與 VCS 協同工作

從結構上看，ACAR VCS 的 VCS 審核是基於已建立的汽車行業標準 TISAX。 ^®這兩種審計機制相輔相成：TISAX ^® VCS標籤用於評估公司的資訊安全，並確認車輛部件的網路安全。它與TISAX類似，用於評估公司的資訊安全。 ^® VCS審核會考慮供應商在提供網路安全相關組件過程中所扮演的各種角色。因此，每個供應商只需滿足VCSA審核目錄中與其實際特定角色相對應的要求即可。審核中會區分不同的標籤：

• 版本控制系統開發：該公司負責VCS組件的安全開發—從整合到整體安全架構，再到安全實施以及安全過渡到生產環境。
• VCS 製作：該公司生產VCS組件，並確保其安全配置和軟體設備。
• VCS 運作與維護：該公司受託保管車隊日誌數據，從而能夠識別異常運行狀況或特定安全事件。此標籤也適用於需要保持其車輛控制系統 (VCS) 組件更新的公司。