日前,由中汽数据有限公司(以下简称“中汽数据”)牵头,联合上汽大众汽车有限公司、北京车和家汽车科技有限公司、德国汽车工业协会质量管理中心(中国)及南德认证检测(中国)有限公司上海分公司等国内外信息安全领域著名的第三方检测认证机构、整车企业及行业主管部门共同编撰的《汽车网络安全管理体系架构与评价白皮书(2022)》(以下简称《白皮书》)于2022年4月26日线上发布,近500位行业同仁共同参与研讨。 图 《汽车网络安全管理体系框架与评价白皮书(2022)》 合规监管攀升,建立汽车网络安全管理体系势在必行。 《白皮书》首先结合汽车网络安全行业发展现状及国内外监管现状进行分析并指出,近年来,国内外汽车网络安全相关标准法规频出,汽车网络安全已逐渐成为我国智能网联汽车进入国内外市场的决定性因素。国内外监管策略呈三点趋势:①注重管理制度和保障机制的建立。②明确汽车产品网络安全评价方法。③加强上市后的安全监控与应急响应。因此,建立一套兼顾企业整体治理与车型产品全生命周期管理的汽车网络安全管理体系,是保障汽车网络安全的必然趋势。 基于国内外标准法规及企业最佳实践,提出汽车网络安全管理体系框架及实施路线。 《白皮书》中基于ISO/SAE 21434、WP.29 R155、ISO PAS 5112、VDA红皮书、《关于加强智能网联汽车生产企业及产品准入管理的意见》等国内外法规标准的要求,建议搭建覆盖组织管理、外部管理及产品全生命周期的汽车网络安全管理体系框架。同时,《白皮书》详细介绍了汽车网络安全管理体系建设路线,基于PDCA管理思想,从调研与差距分析,建设实施,评价优化及总结改进四个阶段。通过四个阶段的有效实施,可确保达建立汽车网络安全管理体系并持续有效运行的目标。 此外,《白皮书》特别指出汽车网络安全管理体系与质量管理体系(QMS)、信息安全管理体系(ISMS)间的关系,汽车网络安全管理体系作为管理体系领域中的分支,与QMS及ISMS具有相同及异同点,通过三者关系的梳理,可有效整合企业资源,推动企业内部多体系并行落地。 助力行业网络安全监管,提出汽车网络安全管理体系评价“七维度”。 通过对国内外标准法规的梳理,认为对于汽车网络安全管理体系的审核评价可聚焦于7个维度:包括组织内部网络安全管理、供应链网络安全管理、产品网络安全开发管理、产品网络安全生产管理、产品网络安全漏洞管理、产品网络安全应急响应及产品网络安全风险持续监控。 企业可从七个评价维度出发,建立相应的制度、流程,并在体系运行过程中,从制度的完善性、流程的适宜性、人员能力的充分性、文档记录的完整性与一致性等方面,对体系的有效性、充分性等进行全面评价,从而进行体系优化、持续改进。 随着智能网联汽车行业的不断发展,未来5-10年,网络安全将势必成为智能网联汽车安全领域考量重点之一,也势必成为各大车厂在智能网联汽车赛道上竞相角逐弯道超车的重要因素。白皮书的发布将推动我国汽车网络安全管理体系及评价机制的完善,助力企业搭建汽车网络安全管理体系,促进我国汽车网络安全向好发展。 |