为了加强汽车信息安全保护,联合国世界车辆法规协调论坛(UN/WP.29)GRVA工作组于2020年6月通过了一项重要法规:R155,将CSMS(CyberSecurityManagementSystem)认证和VTA(VehicleTypeApproval)型式认证,作为车辆进入包括欧盟国家在内的R155生效国市场销售的前提条件。汽车制造商必须事先获得CSMS认证证书,并证明CSMS已在特定车型开发及量产项目上充分且有效地运行后,方可申请特定车型VTA型式认证。
R155作为车辆网络安全领域首个具有约束力的国际法规,其发布标志着车辆网络安全从自愿性标准转变为强制遵循的时代,成为国内汽车“出海”欧盟背景下的“必修课”。
本文总结了R155法规重点要求,阐述了企业需要开展的车辆网络安全管理体系建设工作内容,并介绍了企业认证工作流程,旨在帮助企业为通过CSMS及后续VTA认证做好准备。
一、主要监管法规概览
1)R155法规介绍
R155法规将车辆网络安全准入要求分为两部分:一是要求汽车制造商建立完善的车辆网络安全管理体系,获得CSMS认证,二是要求汽车制造商确保其生产的车辆具备可靠的网络安全能力,获得VTA认证。
CSMS认证主要审查汽车制造商是否建立并落地车辆网络安全管理体系,涵盖车辆全生命周期,包含概念、开发、整车验证、生产、运营、报废各环节;是否运用威胁分析与风险评估方法,对网络安全风险进行常态化管理;是否建立了常态化网络安全监控、网络安全事件应急响应机制,有效识别网络威胁,并采取相应控制措施来管理风险。
VTA认证则是通过文件审核与技术测试两部分对CSMS管理体系在特定车型开发中的应用进行审查,企业需要首先获得CSMS证书,再将样车提交认证审批机构进行VTA认证,以确保特定车型的网络安全防护技术符合安全要求,有效防范车辆面对的网络安全风险。
2)生效国及各国监管机构
如今,越来越多的非欧洲国家,例如日本、澳大利亚、南非、新西兰、韩国等,已经加入了《1958年协定书》,并开始逐步采用ECE法规来替代原有的国内技术法规。中国虽然不是1958协定国之一,但国内汽车制造商生产的汽车如果想要销售到这些国家就必须满足R155要求。
为提高认证流程效率,以更快速度将汽车出口到海外市场,汽车制造商可同时准备CSMS和VTA认证工作,但是在申请VTA之前,汽车制造商必须事先获得CSMS证书。
4)适用车型
R155法规适用于涉及网络安全的M、N类车辆、装有至少一个电子控制装置(ECU)的O类车辆,以及具备L3*级及以上自动驾驶功能的L6和L7类车辆。
注:
*L3级自动驾驶:在特定环境下,无需驾驶员自身操作,即可完成驾驶操作和周围环境监测响应。但在车辆自动驾驶过程中,驾驶员需要保持注意力,随时做好接管车辆的准备,以应对自动驾驶系统无法处理的情况
5)认证主体与认证范围
认证主体:
汽车制造商:强制要求通过CSMS认证和VTA认证。
供应商:尽管R155法规并未强制要求供应商通过CSMS认证,但汽车制造商会要求与其CSMS存在依赖关系的Tier1供应商、服务提供商或子公司提供材料,证明其网络安全能力,如:
认证范围:
汽车制造商出海车型需获得的CSMS证书数量由其出海车型WMI(WorldManufacturerIdentifier世界制造厂识别代码)决定。若汽车制造商和其旗下车型品牌公司使用相同WMI,则对于出海车型仅需获取一张CSMS即可;若旗下各品牌汽车使用不同WMI,则针对每个出海品牌车型都需进行单独CSMS认证,方可申请对应车辆VTA形式认证。举例说明,A汽车制造商公司旗下拥有B、C两种品牌,如果品牌B和C的出海车型使用相同的WMI,则只需要申请一张CSMS证书;但如果品牌B和C的出海车型使用不同的WMI,则需要为B和C两款品牌车型分别申请CSMS认证证书。
6)认证有效期
CSMS认证有效期为3年,到期后需审批机构重新认证或延期。
认证主体应至少每年或按需向审批机构或技术服务机构报告其CSMS体系监测活动的结果,及针对其认证车型实施的网络安全缓释措施仍然有效,以及采取的任何其他措施
审批机构随时核查:颁发CSMS及VTA合格证的审批机构可随时核查企业和车型产品是否依旧满足要求,若不满足可撤销之前颁发的认证。
7)重新认证情形
汽车制造商涉及网络安全方面或涉及R155法规要求的每一次车型改装或性能提升,都应该主动上报审批机构或其技术服务部门,由审批机构或其技术服务部门确认该修改是否触发重新认证。
1)车辆网络安全管理体系要求(CSMS认证)
建立车辆网络安全管理体系,涵盖车辆全生命周期,包括:开发阶段、生产阶段及生产后阶段。
建立风险管理流程,包括:识别、评估、分类、处置、并定期更新风险评估结果。
建立车辆网络安全测试流程。
建立持续监控流程,确保其车辆网络安全管理体系所采取的监控措施能够覆盖已经售出首次注册的车辆,并从车辆数据和日志中分析和检测网络威胁、漏洞和攻击。日志分析需要注意车主的隐私权。
建立供应商管理流程,对受托供应商、服务提供商及汽车制造商子公司进行网络安全管理。
2)车辆型式要求(VTA认证)
在进行某款车型VTA形式认证前,必须取得CSMS证书。对于在2024年7月1日之前已经获得型式认证的车辆如果该车型无法符合CSMS的要求,那么汽车制造商必须证明在该车型的开发阶段已充分考虑了网络安全。
应确定车型的关键要素,对该车型进行详尽的威胁分析与风险评估,并采取适当的缓解措施处理已识别的风险。
应采取适当的措施,保护车型上的存储和执行售后软件、服务、应用程序或数据的专用环境。
应在车辆型式认证之前开展适当和充分的测试,以验证实施的安全措施的有效性。
认证车型应具备监测能力,以便发现针对该车型的威胁、漏洞和网络攻击;应具备数据取证能力,以支持分析未遂或成功的网络攻击。
认证车型使用的加密模块应符合共识标准,如果不符合,则汽车制造商应当证明其使用的合理性,解释选择该加密模块的原因,以及为什么该模块足以缓解已识别的风险。
三、企业合规参考文件
尽管CSMS是一项强制性法规,但其并未对汽车制造商如何落实要求做出具体规定。如果将UNECEWP.29R155法规视为一个基础框架,那么国际标准化组织(ISO)于2021年3月发布指南性标准《ISO21434:Roadvehicles–Cybersecurityengineering道路车辆网络安全工程》则提供了更加详细和实用的指导。
因此,汽车制造商和供应商应结合R155及ISO21434要求,将基本框架要求转化为实际落地控制措施,建设自身车辆网络安全管理体系,提高网络安全水平。
一、组织架构
二、制度体系
网络安全策略:应将道路车辆网络安全风险纳入管理,并由高管层负责对车辆网络安全风险进行管理。
汽车全生命周期管理:应明确在开发、生产、生产后阶段车型全生命周期各环节安全要求。
项目管理:明确车型开发项目的网络安全管理要求,通过制度建立标准化管理流程,确保将CSMS要求整合到日常项目管理中。
风险管理:应建立完善的风险管理流程,识别可能影响车辆网络安全的风险,评估已识别风险的潜在影响和可能性,并选择相应的风险处置措施。同时,企业应定期监控风险评估结果,及时发现新的风险和变化,并采取相应措施。
持续监控:建立监测、检测和响应车辆网络安全威胁的流程,从内外部收集、识别的新的网络威胁和漏洞,评估已实施的网络安全措施是否仍然有效。
网络安全事件及应急:应建立内外部协同的网络安全事件应急处置机制,制定事件安全应急预案,并定期演练。
供应商管理:应建立供应商管理机制,制定针对车辆网络安全的管控要求,建立供应商在网络安全方面的能力评估、准入标准,形成网络安全接口协议模板,并定期开展供应商服务评价。
三、车型项目活动管理
在制定网络安全计划时,企业应基于复用、独立组件、和现成组件三种情况,对网络安全计划中的活动进行裁剪,以实现高效且精简的网络安全管理。
应由质量控制团队或独立第三方,开展独立的以风险为导向的网络安全评估,对网络安全计划及项目工作成果、网络安全控制措施的合理性及有效性进行评估,评估结果将作为车型能否获批进入生产阶段的依据。
车型开发项目结束,需要形成网络安全档案,记录从概念阶段到开发验证和确认阶段全流程网络安全证据,保障车型开发过程中的网络安全。
四、车辆全生命周期管理
企业应将网络安全融入到车辆全生命周期中,生产制造更安全的汽车。
1)开发阶段
概念环节
开发环节
设计:
系统层级集成与验证:
整车层验证/确认环节
集成与验证工作完成后,企业应开展整车层级确认工作,通过成果审阅、渗透测试等方式,验证整车网络安全目标的实现及其充分性。
2)生产阶段
3)生产后阶段
车辆报废不属于汽车制造商可管控范畴内,因此可能无法建立标准化流程。但企业需要通过适当的文档(如使用说明、用户手册等)明确报废阶段网络安全需求,例如需要考虑密钥证书销毁、敏感信息处理等。
五、持续监控与应急响应
持续监控:应从外部或内部持续收集和筛选网络安全信息,对所有已经售出并注册的车辆进行网络安全监控,并具备从车辆数据和日志中分析和检测网络威胁、漏洞和攻击的能力。
漏洞分析与管理:应对监控识别到的威胁与漏洞进行漏洞分析与管理,对每个漏洞的风险进行评估和处置。
六、供应商管理
以往项目中有关网络安全的最佳实践,包括从开发到生产、治理、质量和信息安全等方面的证据。
以往网络安全评估报告摘要。
汽车制造商与供应商应签署《网络安全接口协议》(CIA)以RASIC矩阵的方式,明确双方网络安全职责与接口人、双方需开展的网络安全活动及关键里程碑、信息及工作成果共享机制,以及结束网络安全支持的情形。
七、网络安全审计
为了衡量CSMS管理体系运转有效性,企业应制定内审计划,定期开展网络安全审计,对CSMS管理体系有效性进行评估,形成网络安全审计报告,并提出改进建议,以持续提升企业安全管理水平。
企业CSMS认证工作可分为四个阶段:现状调研及风险评估、体系建设、体系试运行及正式认证。
一、现状调研及风险评估
二、体系建设
1)组织架构设计/优化
在现有网络安全组织基础上,安永将协助企业进一步完善CSMS管理体系的决策、管理、执行和监督团队,明确各方职责分工。
2)体系文档建设
应建立完整的车辆网络安全体系文档,包括政策、规范、标准和工具表单等,以确保车辆网络安全工作有据可循。安永将协助对企业现有的网络安全制度进行梳理和整合,针对缺乏的制度进行补充完善,针对现有制度中的不足进行修订和优化,针对重合的制度进行精简。最终形成一套适合企业的CSMS管理制度体系。同时,安永还将协助企业建立常态化评估流程,对体系文档进行定期评估和更新,确保车辆网络安全工作的有效性和可持续性。
3)流程设计/优化
4)体系培训
三、体系试运行及内审
修改文档:及时对缺失或不完善的文档进行补充修改。
人员培训:加强内部培训和知识普及,提升人员的安全意识和技能水平。
技术改进:积极引进和应用先进技术和工具,提升企业的安全防御能力。
四、体系认证
R155法规已经生效,对于汽车制造商来说,通过CSMS及VTA认证是其车型进军海外、抓住新一轮全球化市场机遇的关键因素。通过CSMS及VTA认证,汽车制造商可向客户、竞争对手、供应商、员工和投资者展示其在同行中的网络安全领先地位,保持业务持续发展和竞争优势,实现风险管理,维护企业声誉、品牌,并赢得客户信任。
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
你的汽车电瓶只能用3年,老司机却能用8年,修车工告诉你如何做!
开手动挡车“给油起步”还是“怠速起步”?很多新手车主不了解
气场超大G,五菱硬派SUV谍照曝光,网友:坐等量产!
千万不要买混动车,开了一年多后悔了,混动的体验感太差了
汽车玻璃水的损害有多大?很容易引起发动机报废和交通事故
变天了!9月燃油MPV销量榜,别克GL8丢冠,传祺M8第3,库斯图第16
建议大家不要买这款合资车,油耗高,发动机质量更是差到顶点
使用了20年的车,跑了30万公里如此完美车况!车主是怎么做到的?
本来想买迈腾,一番思考后提了他,提速7.3秒油耗6.2L,车长5米