Call:0574-65839099
时间: 2024-02-12 04:41:50 | 作者: 其它汽车零部件系列
2020年6月,联合国世界车辆法规协调论坛(简称为UN/WP.29)发布了3项关于智能网联汽车的重要法规R155/R156/R157,即信息安全(Cybersecurity)/软件升级(Software updates)/自动车道保持系统(ALKS)。该系列法规适用于1958协议下成员国(UNECE 1958年协议的缔约方已增加到54个,这中间还包括所有欧盟国家和其他OECD国家,虽然中国不在1958协议国中,但是生产的汽车只要销售到这些国家中就一定要通过相关认证。
WP.29其实规范很多,但是之前的规范都与信息安全无关。而R155/R156是我比较关心的规范。
R155(信息安全与信息安全管理系统)是全球第一个汽车信息安全强制法规,这在某种程度上预示着车辆的信息安全已经从符合规定标准进入到遵从法规的时代。
R155规范有12个章节 1.范围 2.定义 3.审批申请 4.标记 5.审批 6.CSMS合规证书 7.规范要求 8.车型修改和延期 9.产品符合性 10.产品不符合惩罚 11.产品停产 12.负责审批测试的技术服务方和车型审批机构的联系方式。
法规规定了车辆制造商需要满足的信息安全强制要求,强制实施意味着有计划出口至欧盟或其他OECD国家的车辆制造商将面临着严峻的准入挑战。
• 2022年-2024年两年内的现有架构新车型上市,若无法按照CSMS开发,则VTA必须证明在开发阶段已最大限度地考虑网络安全;
• 2025年1月过渡期结束,要求所有架构所有车型通过认证(CSMS+VTA)。
R155合规认证大致上可以分为两部分,一是网络安全管理体系认证(CSMS);二是车辆网络安全型式认证(VTA)。
CSMS认证主要审查车辆制造商是否在车辆完整生命周期的各个阶段均制定了网络安全管理流程,以确保汽车全生命周期中都有对应的流程措施。各流程实施于开发、生产、量产运维各个阶段,保证信息安全设计、实施及响应均有流程体系指导。
VTA认证则是针对信息安全开发中具体的工作项进行审核检查,旨在保证实施于车辆的信息安全防护技术在进行审核检查认证时足够完备。换言之,CSMS认证是VTA认证的前提,而最终车辆准入一定得完成CSMS认证及VTA认证。
车辆制造商应满足R155法规中“7.2 网络安全管理体系要求”的内容,其中7.2.2章节具体阐述了CSMS认证应涵盖的具体方面。
● 7.2.2.1 在车辆完整生命周期的各个阶段均制定了网络安全管理体系要求:
● 7.2.2.2 确保在CSMS中最大限度地考虑了安全性并在车辆全生命周期中都有流程措施以控制相关风险:
· 具备用于识别车型所有可能风险的流程(需要仔细考虑R155附件5A部分提及的风险和其他相关风险);
· 隐私权和同意权(GDPR&ISO27701&个人隐私信息保护法&数据安全法……)。
· 证明来自供应商/服务提供商/子公司的风险是明确的,并根据7.2.2.2的要求做管理;
· 2024年7月1日之前的车型认证,如果无法按照CSMS进行开发,则需证明在相关车型的开发阶段已最大限度地考虑网络安全。
· 实施的缓解措施应包括R155附录5中B部分和C部分提及的与已知风险相关的所有环节措施;
· R155附录5中B部分或C部分中提及的缓解措施与所识别的风险无关或不足,车辆制造商应确保实施另一种适当的缓解措施。
● 7.3.5采取适当相称的措施,确保车型的专用环境安全,以存储和执行售后软件、服务、应用或数据:
· 证明来自供应商/服务提供商/子公司的风险是明确的,并根据7.2.2.2的要求做管理;
● 7.3.6 车辆制造商应在认证之前进行适当且充分的测试,以验证所执行的安全措施的有效性:
· 如果使用的加密模块不符合共识标准,则车辆制造商应证明其使用的合理性。
ISO21434标准定义了车辆网络安全的完整框架和产品网络安全生命周期的相关流程,对R155法规的落地起到支撑作用,尤其是有助于车辆制造商在供应链上实施CSMS要求。对于法规中的有关要求,可通过描述文件、技术文件、演示、审计等手段来证明。
汽车的信息安全已经从符合规定标准进入到遵从法规的时代,必须要将信息安全贯穿于汽车的全生命周期。
华菱咨询成立于2001年,是长三角,珠三角、京津冀和西南地区具有影响力的咨询机构。专注于标准体系咨询、产品认证咨询、企业管理项目咨询和相关教育训练的顾问公司。公司已在北京、上海、深圳、杭州、、江西、西安设立了分支机构。经过20多年的发展,现在已经成为江苏省咨询协会理事单位、苏州工商联咨询协会理事单位、北京企业管理咨询协会会员单位、上海认证协会会员单位、上海咨询协会会员单位、广东省咨询协会会员单位;同时也被评为江苏省和广东省优秀管理咨询机构。
声明:本文由入驻搜狐公众平台的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。