ISO/PAS5112标准解读——从审核视角解析汽车网络安全管理体系(CSMS)建设测试行业动态

131 944

portant;">3.1ISO/PAS5112与ISO19011

portant;">3.2ISO/PAS5112与ISO/SAE21434

portant;">ISO/PAS5112作为支撑ISO/SAE21434审核的标准,其与ISO/SAE21434的紧密关联性是不言而喻的。具体来看,首先,ISO/PAS5112所审核的管理体系,即网络安全管理体系(cybersecuritymanagementsystemCSMS),其定义、范围和组成要素均采用ISO/SAE21434的规定。其次,在审核内容上,ISO/PAS5112主要考察汽车网络安全管理体系的六个方面(详见后文),这些方面的划分正是基于ISO/SAE21434所规定的CSMS应建设内容,均可在ISO/SAE21434中找到对应的章节;并且,将ISO/SAE21434中提出的具体目标项(objectives)是否达成作为审核指标,工作成果项(workproducts)作为主要证明资料示例;以上均在附录A中以审核问卷的形式呈现。此外,ISO/PAS5112也规定了审核人员\团队应具备的知识和技能,其中包括充分掌握ISO/SAE21434标准所规定的网络安全活动。

portant;">3.3ISO/PAS5112与VDA红皮书

portant;">图1:ISO/PAS5112与其他文件的关系

portant;">Part02

portant;">结构及主要内容

portant;">1.结构框架

portant;">ISO/PAS5112正文包含7个章节、2个附录,主要结构框架如图所示。

portant;">图2:ISO/PAS5112结构框架

portant;">2.审核原则

portant;">3.审核项目管理

portant;">关于建立审核项目的目标,应考虑ISO/SAE21434各目标项的实现、被审核方产品所特有的网络安全风险、被审核方在汽车供应链中的位置角色以及明确审核是否包括对CSMS流程中所应用具体方法的评估。

portant;">关于定义特定审核目标、范围及标准,审核范围应覆盖被审核方在网络安全生命周期阶段所实际涉及的CSMS流程;审核范围可以是整个组织,也可以是一个或几个被明确划定的组织单元;如果CSMS流程依赖于与其他流程的交互,那么应识别出交互方式及依赖关系;如果组织需依赖其他外部组织来实现其CSMS目标,那么应识别出做出贡献的外部组织,并明确被审核方在管理其与外部组织依赖关系时所涉及的范围;在网络安全接口协议中定义的分布式网络安全活动可纳入审核范围。

portant;">审核目标应包括确认用以实现ISO/SAE21434目标所实施的流程、所应用的方法和标准的适宜性;被审核方如在实施外部审核前,进行内部审核来识别和弥补当前CSMS体系中的不足,那么内部和外部审核的范围和目标应协调一致。

portant;">4.审核执行

portant;">关于审核合同,审核人员和被审核方应该就不公开信息达成一致;信息可分为保密信息和敏感信息两类,这些信息的访问权限应限制在部分审核团队成员范围内。

portant;">关于审核启动,审核团队和被审核方应在以下方面达成一致:可提供给审核团队的信息和/或物料类型以及这些信息和/或物料、其他证明材料的位置;临时增加审核团队成员的程序;对于供应链伙伴(外包商)的审核流程及方法;临时沟通机制和方法;所需信息的可用性及权限。

portant;">关于审核判定,对于每一项目标的达成情况判定为三级,包括符合、轻度不符合、严重不符合,对于所有不符合项需给出判定理由。

portant;">表1:ISO/PAS5112审核评级及标准

portant;">关于审核结论,基于审核判定情况,将审核结论分为三类,包括通过、有条件通过和不通过。对于不通过和有条件通过的,被审核方应分析原因并提出具体整改措施;对于有条件通过的,如果被审核方不提供整改措施或者整改措施不被审核团队接受,那么审核结论应为不通过。

portant;">表2:ISO/PAS5112审核结论及标准

portant;">5.审核人员的能力要求及评估

portant;">6.审核问卷

portant;">ISO/PAS5112附录A给出审核问卷的示例作为资料参考,主要涉及六个模块:网络安全管理、持续性网络安全活动、风险评估及方法、概念及产品开发阶段、后开发阶段和分布式网络安全活动,并在每个方面下设置若干问题,以细化各方面的审核内容。同时,ISO/SAE21434中规定的目标、工作成果,分别作为审核指标及证明材料示例来支撑审核。但应注意,ISO/SAE21434中列举的工作成果并不作为唯一的证明材料,并且在某些方面也可能是不充足的,需其他材料补充证明。

portant;">表3:ISO/PAS5112附录A审核问卷(摘要整理)

portant;">Part03

portant;">结语

portant;">作者:国家智能网联汽车创新中心信息安全部王翔宇

THE END

知识分享|ISO26262国际标准系列(五)示例iso严重度可控性

车企和供应商如何利用CSMS开拓国际市场

汽车全生命周期网络安全管理各个阶段介绍通信网络

ISO21434如何保障汽车全生命周期的网络安全

【2024CES座舱监控DMS篇】国内外DMS参展厂商大汇总!车家号发现车生活

《信息安全技术汽车电子系统网络安全指南》.pdf

产业生态系统LTD知识百科增长黑武器

行业调查报告范文(精选17篇)

教育部全国模范教师称号和全国优秀教育工作者称号奖章证书(图)

生产与运作管理复习题

江苏省公务员网络与信息安全技能竞赛题库(附答案)

新闻中心——驱动之家:您身边的电脑专家

数字政府|广东省数字政府改革建设成果

有米云CTO蔡锐涛:DaaS强调的大数据已成为企业决策的重要依据|CTOTALK证券要闻股票

车联网安全体系建设实践洞察

汽车网络安全管理体系评估CSMS认证CSMS评估TÜV南德

ISO/PAS5112标准解读——从审核视角解析汽车网络安全管理体系(CSMS)建设测试行业动态

禾多科技通过ISO/SAE21434汽车网络安全管理体系认证

最严苛国际认证,智己汽车获UNR155车辆网络安全管理体系认证

速下载|2022上半年网络与数据安全法规政策国标报告合集

浅谈ISO/SAE21434汽车网络安全标准(一):整体要求及项目网络安全管理公众号“汽车电子与软件”51fusa功能安全社区

天驰君泰律师事务所

启明创投资讯(2023年06月)启明创投

榜单首发!三大阵营/TOP10供应商「领跑」汽车网络安全赛道 汽车网络安全,正在逐步形成完整的产品应用体系,从早期的数据加密安全启动防火墙,延伸至包括安全测试网络靶场VSOC... 

R155/R156:汽车网络安全新法规快速指南

1.汽车信息安全再添新标:建立全生命周期安全管理体系,严控智能网联《汽车整车信息安全技术要求(征求意见稿)》提出,应建立包括车辆的开发阶段、生产阶段及后生产阶段在内的车辆全生命周期的汽车信息安全管理体系。该体系涉及企业内部信息安全管理,车辆信息安全风险识别与处理,车辆信息安全测试,监测、响应、上报针对车辆的网络攻击和威胁,以及相关主体之间信息安全依赖关系五个方面的流程。 https://static.nfapp.southcn.com/content/202305/10/c7665264.html
2.汽车网络安全管理体系框架与评价本文详细阐述了汽车制造商需遵守的网络安全法规,介绍了汽车网络安全管理体系的体系框架、体系建设路线,包括组织管理、产品全生命周期管理和外部管理。文章强调了遵循POCA过程模型进行调研、建设实施和评价优化的重要性,以确保智能网联汽车在全球市场中的竞争力。 https://blog.csdn.net/weixin_45905610/article/details/135900847
3.网络安全隐私保护信息安全管理体系要求》智能汽车安全新媒体 ISO27001是一种信息安全管理体系(Information Security Management System, ISMS)标准,是世界上广泛应用的、通用及可证明的信息安全管理框架之一,旨在通过采取一系列信息安全管理制度、流程和控制措施,确保组织能够最大限度地保护其信息资产和利益。 https://www.eet-china.com/mp/a273301.html
4.「国有企业数字化转型」的60个典型案例51CTO博客国有企业数字化转型做了哪些改变?哪些值得我们借鉴?我们从国资委发布的《2020年国有企业数字化转型典型案例》中挑选出了60个案例进行分享。这些案例的类型包括:产品和服务创新、生产运营智能化、数字化营销服务、数字生态、新一代信息技术、工控安全、两化融合管理体系和综合等8类。 https://blog.51cto.com/u_14637492/5260145