干货回放!公益讲座第三弾:车企该如何开展CSMS的合规建设?
2020年6月,联合国世界车辆法规协调论坛正式颁布了UN R155《信息安全与信息安全管理系统》法规(以下简称R155法规),并于2021年1月起正式实施。2021年3月,UN/WP.29/GRVA提出的解读文件审议通过,该文件对现有法规中的部分条款作出进一步解释。据了解,作为汽车信息安全领域首个具有约束力的国际统一技术规范,这一法规不仅将会只应用在欧洲等国外地区,也提高了壁垒,给我国的汽车出口带来挑战,而且中国大概率也会参照这一法规开展信息安全的管理工作。因此,站在国内和国际双循环的角度来看,国内整车、零部件以及相关产业链的其他企业深入了解并及时进行布局以应对法规要求,显得尤为迫切和重要。
3月25日晚,在第三期的《中国汽车报》公益讲座中,中汽数据有限公司汽车信息安全高级经理王海均就UN/WP29 CSMS关键点、配套指南的适用性进行了详细分析与解读,同时为我国企业的CSMS合规建设模式提供了参考意见和建议。“早在去年下半年,我国就已经有不少车企关注并开始跟进CSMS的合规建设工作,那些还没有起步甚至还未意识到的车企需要抓紧了。”王海均表示,如果缺乏CSMS的相关基础,可以先从了解和认识开始,再探讨搭建CSMS体系框架的可能性与具体操作方法,但重要的是,需要从现在开始走起,从当下开始做起。
♦R155及相关配套文件
据王海均介绍,UN/WP29即联合国世界车辆法规协调论坛,主要负责世界各国制修订全球统一的汽车技术法规的程序和规则,下设6个工作组,其中 GRVA 自动驾驶和网联车辆工作组负责统筹开展联合国有关智能网联汽车法规的协调任务。2016年12月,TF CS/OTA汽车信息安全及OTA标准任务组成立,围绕汽车网络安全、数据保护、软件升级进行法规标准的制定工作。
WP29共3个国际协定书,分别是《1958年协定书》(54个国家)(以下简称58协定)、《1998年协定书》 (27个国家) (以下简称98协定)和《1997年协定书》。王海均指出,由于我国并不是《58协定》成员国,只参与了《98协定》,因此R155法规在2021年1月针对58协定书国家生效时,对国内车企影响并没有那么大。但实际上,去年7月工作组表示,将考虑把R155《信息安全与信息安全管理系统》推广至1998协定书国家。因此,无论是否拥有出口需求,国内车企都需要加强对这一法规的关注与重视。
那么,R155法规的具体内容究竟是什么呢?“R155法规对智能汽车信息安全准入的要求划分为两部分,一是针对智能汽车车辆制造商的网络安全管理体系要求,二是针对车辆产品的网络安全能力要求。”王海均解释道,在R155法规生效的地区,汽车企业只有先拥有了信息安全管理系统(CSMS)合格证,才能下一步开展车辆型式认证(VTA)工作,这相当于国内的产品准入制度。
值得注意的是,R155法规并非只是一个独立存在,与之相配套的还有UN/WP 29《信息安全与信息安全管理系统》的解读文件、ISO/SAE 21434《道路车辆网络安全工程》、1SO/PAS 5112《道路车辆信息安全工程审计》以及VDA QMC CSMS红皮书。其中,王海均重点提及了ISO/SAE 21434《道路车辆网络安全工程》,作为R155法规的实践支撑,该文件的第5章~第15章直接映射了R155法规的第六章和第七章,定义了车辆信息安全的完整框架和产品全生命周期的相关流程。事实上,这一映射关系在解读文件中也得到了官方更加具体和详细的说明,为后续的实践工作提供了较好地指导。具体而言,王海均指出,车企只要基于ISO/SAE 21434搭建车联网信息安全管理体系,就可以基本满足WP29 R155对企业网络安全管理体系(CSMS)的相关要求。
“R155法规已经于今年1月正式生效,到2022年7月,欧洲所有的新车型都需要遵守,到2024年7月,欧洲所有的车型都需要遵守。”王海均表示,由于CSMS合格证是智能网联汽车进入欧洲市场的首要通行证,因此对于有出口需求的整车企业来说,从现在开始行动,只剩下一年多的时间了,可谓非常紧迫。但这并不意味着出口业务较少的整车企业和零部件企业就“高枕无忧”了。车辆的行驶安全是底线,该法规明晰了汽车信息安全的保障框架,值得提前布局应对。
♦CSMS合规关键点
那么,在R155法规中,究竟针对车企CSMS合规提出了哪些关键要求呢?
首先,王海均指出,法规要求制造商所具备的信息安全管理系统要涵盖开发、生产以及生产后阶段;其次,法规要求车企的CSMS使用流程能够保证安全性,这其中包括一些特别的流程,例如组织内部的信息安全管理流程、风险识别、分析评估、分析处理验证有效性以及分析已发生的攻击事件的流程等;第三,法规要求制造商能够证明对其供应商、服务商及子公司也实施了信息安全相关的管控措施。王海均强调,法规要求CSMS中使用的流程既能保障安全性,又能保障监控持续性,在将首次登记后的车辆纳入监测的同时,还应当具备包括从车辆数据和车辆日志中分析和检测网络威胁、漏洞和网络攻击的能力,并且能够维护车主或驾驶员的隐私权。
谈到隐私权保护的问题,王海均特别指出,大多数车企会将R155法规直接等同ISO/SAE 21434,但实际上两者存在细微的差别。例如R155要求遭受网络安全威胁时,需要在合理的时间内进行响应,但ISO/SAE 21434并没有“合理时间”这一提法。同样的,R155法规中谈到的车主隐私权问题,也并没有在ISO/SAE 21434中被提及,这些都需要引起车企的注意。
对于提交证明材料,王海均也进行了相应说明:提交的对象应该是车辆制造商或其正式授权的代表,提交的文件格式不限,只需要能够有逻辑、合理、正确地说明能力即可。王海均提出,只要拿到相关机构给出的CSMS证书,企业就可以开始进行车辆型式认证工作了。
在审核形式方面,王海均表示,由于疫情,现在可以采用现场、远程或组合的多种方式,且不会因为不同机构审核的结果不同,评估的结果具有一致性,企业可以不用担心出现在A机构审核通过后无法满足B机构要求的情况。
关于CSMS合格证证书,王海均也做了几点说明,证书的有效期为3年,颁发CSMS合格证的认证部门可随时核查企业和产品是否依旧满足要求,不满足可撤销。此外,若CSMS出现变更,制造商应通知认证部门或其技术服务部门,由认证部门或其技术服务部门与制造商协商后决定是否需要进行新的审查。
♦CSMS合规建设路线图
在认识和了解了法规及认证工作的背景和情况后,车企该如何开展CSMS的合规建设工作呢?
王海均认为,相关工作一定要做到谋全局、想全貌,CSMS合规体系的建设工作既庞大,又系统,需要先将大概的框架和体系搭建起来,再逐步进行补充与完善。具体而言,汽车网络安全管理体系大致可分为组织管理、产品全生命周期管理和外部管理三大块共12个领域,基于汽车产品全生命周期开展信息安全风险管理工作。
王海均将汽车企业CSMS的体系建设过程分成了三个阶段:在调研与差距分析阶段,车企需要调研实际情况,对标分析、诊断现状,识别偏差度、确认缺项、待完善项;在建设实施阶段,车企应当从整体管理、全生命周期、分布式管理3大领域12个子板块着手,建立并完善信息安全相关流程;到了评价优化阶段,车企的工作就变成了结合具体车型试运行,实施伴随优化,持续总结改进方案,不断优化CSMS体系。
值得指出的是,王海均将建设实施阶段分为了两条线,分别是组织级和项目级的信息安全管理工作,这是由于信息安全管理不仅只作用于组织层面,而且也将作用于产品层面,需要同时进行,并且覆盖产品的全生命周期,包括开发、生产、运维以及报废。
在这一过程中,“融合”是关键,一方面,与业务场景进行融合,而非新建一套供应商的采购流程来满足信息安全管理需求;另一方面,与整车开发流程深度融合,否则产品开发就会受到影响。
“车企需要从组织赋能和工具导入两方面,加强信息安全管理体系的落地实施。”王海均提出,在组织赋能方面,相关部门及人员需要了解CSMS管理流程、职责分工、实施活动等CSMS的基本组成,同时针对关键活动进行赋能,并在产品全生命周期中开展汽车信息安全专业技术能力培训,保障CSMS运行的有效性。为进一步提高有效性,车企也可以引入一部分信息安全工具来加强落地,车企需要明确,信息安全工具是信息安全管理体系落地的有效措施,通过部署关键工具来支撑体系的运行和落地。在体系基本建设完成后,评价优化也非常重要,车企需要遵循PDCA原则,对试运行问题进行持续优化。
最后,王海均为车企提出了几点建议:首先,车企需要洞悉行业趋势,及时做好前瞻部署,及时跟进法规的进展及要求,明晰企业的战略规划及具体需求,同时还要关注到行业及其他参与方的情况;其次,车企应当积极把握时间窗口,分布开展体系建设,第一步先以合规需求为导向进行全面铺开,第二步再以战略发展为导向,精准深化。
“从去年下半年至今,CSMS体系建设正在成为行业热词,传统车企、零部件企业,甚至造车新势力都在积极了解相关内容,有些已经跟进。”王海均表示,对于国内汽车企业来说,无论是否有出口需求,都应当及时行动起来,从认识法规要求开始,了然于胸后就能稳扎稳打,逐步建立起适合自己的CSMS合规建设路线图。
编辑:蔺天子
