本文是一个新系列的第一集,涵盖了汽车利益相关者为达到规定的合规水平和实施最佳安全实践而需要解决的网络安全热点问题。
正如我们之前的一篇文章所介绍的(见 UNECE WP.29 / R155 - 网络安全将如何影响2022年6月的汽车市场),新的联合国ECE R155法规于2021年6月生效,并将于2022年7月起对所有汽车制造商进行部分强制执行(完全遵守的要求定于2024年7月)。
正如法规本身所指出的,这些新规则是由认证机构只对车辆制造商实施的。然而,其中有些部分是针对整个供应链的安全问题,因此也会影响到每一个安全关键要素的供应商。 然后由车辆型号认证申请人负责为他们自己的供应商制定相关要求。因此,我们需要收集足够的证据来证明他们有能力在整个车辆生命周期内开发、运行和维护所提供的元素的安全性(见下图)。
上图介绍了汽车制造商必须考虑的合作的两个方面,以及要求的两个层面。
审批机构的OEM
-
- 原始设备制造商必须证明网络安全管理系统(CSMS=在整个车辆生命周期内处理与车辆相关的网络风险的流程框架)。
- 基于已建立和批准的CSMS,OEM必须证明车辆类型的具体证据,证明与他们的产品有关的网络风险的合理缓解措施(例如,一致的风险评估,相关的缓解措施等)。
OEM对其供应商
-
- 原始设备制造商必须定义相关的网络安全要求,并传播给他们的供应商,以确保整个供应链的端到端安全。
- 原始设备制造商负责对其供应商提供符合安全标准的产品和服务进行资格审查/批准
- 原始设备制造商负责确保与供应商共享活动的一致性,通常是通过接口协议
因此,汽车制造商应意识到,他们处理供应商的方式相对灵活,最终可能会对他们的汽车型号批准程序产生强烈的影响。 遵守UN ECE R155的最新方法和最佳实践,主要是通过应用ISO/SAE 21434作为指导,将在该系列的未来节目中深入描述。
进一步安排的剧集。
-
- 道路车辆的网络安全 - EP.2 - 一个管理系统的故事
- 道路车辆的网络安全--EP.3--从组织符合性到车辆类型批准
- 道路车辆的网络安全 - EP.4 - 认证如何支持归口管理
- 还有更多的东西要来...
CertX如何支持您的合规路线图
作为整个汽车行业公认的认证机构,CertX可以根据你的成熟度和在供应链中的地位,以多种方式支持你的组织。以下是我们的网络安全团队提供的服务的简要概述。
对工程师和管理人员的教育支持
-
- 意识培训:针对网络安全相关活动和技术的会议/研讨会,以获得对技术现状的深刻理解。
- 可认证的培训。ISO/SAE 21434汽车网络安全红带(A-CSRB)。
差距分析和预评估以确定薄弱点
-
- 评估您目前在组织层面(CSMS)或产品层面(特定产品的工件)是否符合ISO/SAE 21434和/或UN ECE R155的要求
- 用于OEM准备与认证机构的合规性审计
- 对于供应商来说,准备好满足OEM即将提出的要求
为CSMS的设计和实施以及产品安全合规提供支持服务
-
- 支持实施新的工作方式,在新流程、文件和工具的基础上整合网络安全实践
- 通常是基于最初的差距分析结果/发现
ISO/SAE 21434 - CSMS,过程或产品认证
-
- 对你的管理系统、流程框架或特定产品工件进行独立和公认的评估,以获得正式的ISO/SAE 21434认证。
- 范围取决于你在供应链中的位置和你的战略目标
如果您对围绕汽车行业网络安全的新监管情况有任何疑问,或对如何应用相关标准和认证来实现合规性有任何其他开放点,请随时联系我们的网络安全专家。