汽車產業的數位轉型正在如火如荼地進行中。只要有可能,機械技術就會讓位給電子技術。安裝更多的 E/E 組件可以使車輛更加強大並提高駕駛安全性 - 但同時也使它們面臨網路攻擊的危險。為此,聯合國通過了UN R 155,規定實施現代化網路安全管理系統(CSMS),並將於 2024 年 7 月全面生效。
ISO/SAE 21434 標準「道路車輛 - 網路安全工程」中已經存在官方要求中引用的指南,但在實踐中,這被證明不夠精確。為了實現全球標準化實施,ENX 協會創建了車輛網路安全稽核 (VCSA) 這個新的認證選項。在我們的部落格文章中,汽車行業的公司可以了解為什麼該稽核程序比純粹按照 ISO/SAE 21434 進行驗證更適合證明符合新法規。
根據新的汽車網路安全法規,自2024年7月起,所有新生產的汽車都將受到強制性要求。如果不實施這些要求,相應的車系將不會獲得型式認證。整體網路安全是當局強制實施網路安全管理系統 (CSMS) 的目標,涵蓋所有車輛零件。
車輛上安裝的大部分零件都來自汽車製造商的供應鏈。 UN R 155 規定這些製造商對其供應的組件的網路安全負責。然而,他們只能透過與供應商簽訂的合約協議來影響組件的網路安全。因此,作為風險管理的一部分,汽車製造商依賴明確的合約和對供應商的有意義的稽核,以長期保證和維護必要的網路安全。
立法者引入的 UN R 155(以及專注於軟體更新的 UN R 156)引起了人們對與道路車輛軟體控制部件和網路安全有關的幾個複雜問題的關注:
為了回答這些問題,UN R 155 提到在汽車製造商建立符合 ISO/SAE 21434 的網路安全管理系統 (CSMS)。管理系統是用來有效管理和控制公司或組織的一套流程和程序。
就該標準而言,汽車產業的「網路安全」一詞具體指對道路車輛的電腦系統、網路及其資料的保護。這包括確保車輛使用的數位系統的安全性和完整性的措施和策略。
為確保網路安全,該標準規定了網路安全管理系統在安全設計、產品開發、產品維護、風險檢測、危害預防、產品處置以及相關持續流程中的流程和程序。因此,該標準提供了 CSMS 的綜合架構模型,其中包括評估網路安全風險的流程模型,稱為威脅和風險分析 (TARA)。
下面,您可以了解哪些論點反對純粹的 ISO/SAE 21434 驗證來滿足 UN R 155 的要求。
隨著數位化的發展,網路攻擊的風險迅速增加。從很多方面來看,汽車製造商與相關供應鏈都是駭客常鎖定的目標。閱讀我們的部落格文章,了解有哪些法規可以建立保障。
ISO/SAE 21434 對於如何稽核 CSMS 留下了很大的解釋空間。由於每個稽核提供者都根據其認證機構的規定為 ISO 21434 標準創建自己的稽核程序,因此 ISO/PAS 5112 有必要標準化組織的網路安全和 CSMS 的稽核流程。
ISO/PAS 5112 包含管理稽核計畫的一般準則,並為組織提供有關規劃和實施稽核的必要資訊。它還定義了 CSMS 稽核員的能力,並解釋瞭如何驗證標準的實施。
儘管做出了這些努力來提高標準化,但汽車行業的網路安全稽核計劃仍然存在很大差異。
在供應鏈深度整合、合約夥伴眾多的背景下,不可比擬的稽核方案對汽車製造商來說是一個重大問題。製造商需要能夠依賴網路安全管理系統(CSMS)的供應商稽核結果來進行風險管理。
ENX 認識到了這一需求,並透過實施名為 ENX VCS(車輛網路安全)的全球標準化稽核計劃,與汽車行業合作開發了解決方案。 ENX 利用其會員網路調整稽核程序,以適應業界的具體要求
同時,僅靠 ISO/SAE 21434 不足以滿足 UN R 155 的所有監管要求。儘管 UN R 155 引用 ISO/SAE 21434 作為 CSMS 流程的一個例子,但它還要求必須持續維護 CSMS 的能力:
只有資訊安全管理系統 (ISMS) 與 CSMS 一起運行,才能長期實際滿足上述要求,從而永久確保整個公司的資訊安全。因此,ENX VCS 始終要求開發場地也必須通過 TISAX 評估。這樣,接受稽核的供應商就可以透過風險意識和規避風險的管理,持續證明其履行了盡職調查義務。
ISO/IEC 27001 是引進整體資訊安全管理系統的代表性國際標準。 ISO 標準最近進行了修訂,並於 2022 年 10 月 25 日重新發布。
1:1 比例導入 ISO 21434 和 ISO/PAS 5112
好消息是,任何在汽車資訊安全層面遵循 ISO 21434 和 ISO/PAS 5112 的人都已經走在了正確的軌道上。數學上來講,這兩個標準的要求是 VCS 規範的真正子集。這意味著這兩項 ISO 標準的所有要求都可以在 ENX VCS 車輛資訊安全中 1:1 地找到。
然而,與 ISO 稽核相比,ENX VCS 實現了可比較的程序模型。為了確保所有稽核提供者在全球範圍內具有可比性的流程,ENX 也在該計劃啟動時發布了具體的「稽核提供者標準和評估要求」(ACAR VCS 1.0)和具有約束力的 VCSA 稽核目錄 1.0。其中包括:
標準化能力
ACAR 也為稽核員和專家定義了全球標準化的能力要求和角色描述:
VCS 稽核團隊必須隨時體現 VCS 專家的知識。在訪談階段,專家接手與工程團隊的對話,以便對活動和工作成果進行專業評估。
角色導向的稽核
秉承 TISAX® 的傳統,ENX VCS 也考慮了供應商在以 VCS 標章新系統的形式提供網路安全相關組件方面可以發揮的各種作用。這樣,供應商只需滿足 VCSA 評估目錄中適合其各自角色的要求:
需要投入的成本比較
ENX VCS 標章有效期限為三年,不需要監督稽核。相較之下,根據 ISO/SAE 21434 進行的稽核需要三年的(重新)驗證稽核和每年兩次的監督稽核,並產生相應的差旅費。
靈活性
與 ISO 標準相比,ENX VCS 還承諾在適應新要求時具有更高的靈活性。 ACAR 法規通常每年強制修訂一次,所有 VCS 稽核提供者都必須執行。
總而言之,ENX VCS 稽核程序能夠根據 ISO/SAE 21434 和 ISO/PAS 5112 的要求在全球同時改善資安稽核的執行。新標章在全球可比性的提升也確保了對驗證和實施 UN R 155 網路安全要求的信心將顯著增加。
作為德國最有經驗的管理系統認證服務提供者之一,DQS 與 ENX 合作多年,並直接參與了新稽核計畫的製定。在該計劃發布之前的漫長開發期間,DQS 在大量稽核測試中積累了寶貴的經驗,因此,我們完全有能力根據 VCS 規範對您的 CSMS 進行稽核。
利用我們專家的知識,了解有關 ENX VCS 及其對您公司的意義的所有資訊。憑藉超過 35 年的經驗和全球 2,500 名稽核員的專業知識,我們是您稱職的驗證合作夥伴,並可解答與資料保護和資訊安全有關的所有問題。
您的企業需要達成哪些標準?ISO 27001、IATF 16949、ENX VCS 或 TISAX® 評估?您期望投入什麼樣的資源與成本?免費與我們預約諮詢,了解您的核心組織目標與解決方案。
擔任 TISAX® 與 VCS 稽核產品經理與 ISO 27001 資深稽核員多年,且擁有超過 30 年的軟體工程及資安總監背景,Holger Schmeken 在後期還攻讀了商業資訊學系碩士學位,擁有在德國 Critical Infrastructue 的稽核資格 (KRITIS),目前擔任 DQS 資訊安全內容專欄作家。
