这篇文章是博客系列的第二集,涵盖了网络安全趋势和最佳实践,供汽车利益相关者实施最新技术和满足所需的合规水平。
上一集
即将推出的剧集
- 道路车辆的网络安全 - EP.3 - 一个管理系统的故事
- 道路车辆的网络安全 - EP.4 - 从过程到产品
- 还有更多的东西要来...
该系列博客的EP.1介绍了新的网络安全要求(特别是对供应商的影响),汽车制造商必须满足这些要求,才能从2022年6月起申请新的型号认证。在联合国ECE R155规定的这些新期望背后,制造商必须遵循一个三步走的方法。
1.网络安全管理系统(CSMS)认证
汽车制造商必须首先向当局展示其网络安全流程框架,也称为网络安全管理系统(CSMS)。这一初始步骤对于获得CSMS证书是强制性的,而CSMS证书是申请新的型号批准的第一个先决条件。该证书不受特定汽车项目的约束,它代表了制造商具备以下条件的证据 组织能力满足联合国ECE R155的要求。
2.车辆类型认证(VTA)
在获得该CSMS证书后,汽车制造商有权申请车辆类型认证(VTA)。这第二步的目的是评估在第一步中被 "认证 "的流程框架是否已经有效地应用于特定的汽车项目/车辆类型。因此,在这个阶段,制造商必须提交文件,证明 车辆安全过程的实施(例如,风险评估过程该特定车辆类型的完整风险评估细节证据)
注:对于早于CSMS认证启动的汽车项目,在2024年6月前允许偏离此类流程,但需要说明理由。
型式认证只是授权在市场上销售汽车所要达到的第一个里程碑。然而,为了保持这种授权,当局还要求定期检查,以确认在车辆类型的整个生命周期内持续应用安全程序。因此,这一旅程的第三阶段可以描述如下。
3.规定报告
在获得型号认证后,汽车制造商必须定期(至少每年一次)报告其监测活动的结果、与新的网络攻击和可能需要调整安全措施的潜在事件有关的信息。这种报告的主要目的是让制造商向当局证明,保护措施仍然有效,足以应对不断变化的威胁。
注:如果报告或答复不充分,审批机构可以决定撤销CSMS证书(并因此暂停型号批准)。
以下是整个过程的总结和说明
CertX是您满足联合国ECE R155和/或ISO 21434标准的合作伙伴。
如果您对围绕汽车行业网络安全的新监管情况有任何疑问,或对如何应用相关标准和认证来实现合规性有任何其他公开的观点,请随时联系我们的 网络安全专家