网络安全成为汽车行业产品必选项 – WHY

网络安全成为汽车行业产品必选项 – WHY

这两年从去年开始,各大OEM都纷纷启动网络安全体系的建设和认证准备工作。零部件供应商也纷纷收到整车厂网络安全相关的技术需求。

车辆网络安全并不是刚刚出现的事物,其实2016年初SAE发布的SAEJ3061,这个标准已经具有完整的汽车网络安全的结构和基本指导方法。那么近两年的网络安全风起云涌,主要原因还是因为“强制标准”,并且是国内国外夹击,没有网络体系和认证无法进行生产和欧盟出口。

     那么,国内国外有哪些法律法规和标准呢?强制管理手段有哪些呢?我来给大家梳理一下。

国内

法律:《中华人民共和国网络安全法》

法规:《网络产品安全漏洞管理规定》

强制标准:《汽车整车信息安全技术要求》(预计2023年中旬实施)

行政许可:

《道路机动车辆生产准入许可管理条例》(目前处于征求意见稿)

《关于加强智能网联汽车生产企业及产品准入管理的意见》

《智能网联汽车生产企业及产品管理指南》(目前处于试行的征求意见稿)

行政检查:

《网络产品安全漏洞管理规定》

《关于加强车联网网络安全和数据安全的通知》

      那么,从上面梳理的信息,我们可以看到,国内车辆公告环节进行网络安全的行政许可,明年中旬之后的车辆将会被《汽车整车信息安全技术要求》强制国标所限制。除了公告,行政检查也将覆盖网络安全法律法规。所以,国内车辆产品将会面临明年的大考。通不过考试,则无法通过车辆公告。

国外

欧盟法规:R155

ISO标准:ISO/SAE21434

ISO/PAS5112

ASPICE规格:

《Automotive SPICE for Cybersecurity》将网络安全的要求纳入到原ASPICE的参考模型和评估模型中。

      那么,R155要求汽车整车企业具备CSMS汽车信息安全体系合格证,才能进行其VTA车辆形式认证。该法规2022年1月生效,要求2022年7月开始所有进入欧盟国家的新车型要满足该法规要求,2024年7月进入欧盟所有车辆都需要满足该法规要求。

      另外,对于研发组织来说,ASPICE for Cybersecurity标准,可以很好地指导如何在原有的ASPICE体系下增量网络安全,是研发阶段实施网络安全流程方面的福音。对于除ASPICE覆盖的产品阶段,例如Post-Development等,以及网络安全的一些技术层面的信息,ISO21434提供信息指导。企业产品根据这些可以构建出CSMS流程体系。

     以上,就是国内国外的两张考卷。两张考卷的内容核心就是建立网络安全流程体系,并且建立企业内部网络安全测试能力,或者提前选取外部网络安全测试资源。另外企业需要建立网络安全漏洞监测能力和分析能力,及时获取安全漏洞相关信息,按照国家《网络安全法》和《网络产品安全漏洞管理规定》及时的进行漏洞信息上报。

—————————————————–

悠牧矻信息科技(上海)有限公司简介:

·      intacs及VDA-QMC指定的Automotive SPICE官方培训机构
·      Automotive SPICE V3.1规格的官方中文版翻译单位
·      CSN(中国ASPICE评估师联盟)设立的核心成员
·      ISO26262功能安全规格标准化工作小组成员
关注悠牧矻微信公众号获取更多信息

 

umc