透過 ENX 協會的 VCS 驗證強化汽車資訊安全

內容列表

• 具有國際約束力的資訊安全標準法規
• ENX VCS - ISO/SAE 21434 全球稽核計劃
• 標準化稽核－可比較結果
• TISAX^®和 VCS 的串連效果
• 符合 ENX VCS 標準的證明
• DQS - Simply Leveraging Quality

具有約束力的網路安全法規

為了應對日益增加的網路威脅，聯合國通過了 UNECE R 155 和 156，其中分別包括實施網路安全管理系統 (CSMS) 和軟體更新管理系統 (SUMS)。這些法規旨在確保模型整個生命週期和整個供應鏈的網路安全。在歐盟，自 2024 年 7 月起，所有新生產的車輛都必須遵守法規。

ENX VCS - ISO/SAE 21434 全球稽核計劃

透過 ISO/SAE 21434（道路車輛 - 網路安全工程），在聯合國法規的過程中嘗試建立符合法規的指南和符合性證明。然而，在實踐中，儘管有 ISO/PAS 5112 的規定，測試服務提供者各自的稽核程序卻存在太大差異。因此，製造商仍然缺乏機會向立法者提供其供應商合規的可靠且可比較的證據，而供應商反過來又難以在可比較測試基礎上證明其遵守了合約條款。

這就是 ENX 協會（歐洲汽車製造商、供應商和協會的協會）設計 ENX VCS 稽核計畫的原因。 ENX VCS 依照以下規定稽核車輛網路安全管理系統 (VCSMS) 的實施情況 ISO 21434 和 ISO
5112. 它的決定性優勢是：VCS 稽核在全球範圍內是標準化的，並且比 ISO 標準能夠更快地適應新的挑戰。一組國際專家定期審查稽核計劃，以保持最新狀態。

標準化稽核－可比較的結果

透過標準化的 ENX VCS 稽核，公司可以避免因多平面稽核流程和分歧稽核而產生的不必要的費用，尤其是財務費用。為了確保所有稽核提供者的流程在全球範圍內具有可比性，ENX 還在計劃啟動時發布了具體的稽核提供者標準和評估要求（ACAR VCS）以及具有約束力的車輛網路安全稽核（VCSA）稽核目錄。這些為 VCS 稽核員定義了一系列強制性能力和具有約束力的程序模型 - 除了 V-CSMS 法規的組織審核之外，例如強制性文件和流程稽核 - 以及所有網路安全相關項目的風險導向隨機樣本的形成。 稽核元和專家隨後對負責樣本專案的工程團隊進行訪談。對團隊的工作成果進行審查，以確保 V-CSMS 真正在實踐中得到應用。一旦測試成功完成，公司可以向 ENX 申請相應的 VCS 標章，並透過 ENX 交換機制提供給有興趣的各方。 
 

TISAX^®和 VCS 標準的串連效用

從結構上看，ACAR VCS 的 VCS 稽核是基於已建立的汽車標準 TISAX ^® 。兩種稽核機制相輔相成：TISAX ^®評估公司的資訊安全性，VCS 標籤確認車輛部件的網路安全。類似於 TISAX ^® ，VCS 稽核考慮了供應商在提供網路相關組件方面所扮演的各種角色。因此，每個供應商必須僅滿足與其實際特定角色相對應的 VCSA 稽核目錄的要求。不同標章之間有所區別：

• VCS 開發：該公司從整合開始進行 VCS 組件的安全開發。將系統整合到通用安全架構直至安全實施和安全過渡到生產的過程。
• VCS 生產：該公司生產 VCS 組件並確保其安全配置和軟體設備。
• VCS 操作與維護：該公司受託管理車隊的日誌數據，以便識別有問題的運作狀況或識別特定的安全事件。此標章也適用於需要保持其 VCS 組件最新的公司。