ISO/PAS5112标准解读——从审核视角解析汽车网络安全管理体系（CSMS）建设测试行业动态

portant;">3.1ISO/PAS5112与ISO19011

portant;">3.2ISO/PAS5112与ISO/SAE21434

portant;">ISO/PAS5112作为支撑ISO/SAE21434审核的标准，其与ISO/SAE21434的紧密关联性是不言而喻的。具体来看，首先，ISO/PAS5112所审核的管理体系，即网络安全管理体系（cybersecuritymanagementsystemCSMS），其定义、范围和组成要素均采用ISO/SAE21434的规定。其次，在审核内容上，ISO/PAS5112主要考察汽车网络安全管理体系的六个方面（详见后文），这些方面的划分正是基于ISO/SAE21434所规定的CSMS应建设内容，均可在ISO/SAE21434中找到对应的章节；并且，将ISO/SAE21434中提出的具体目标项(objectives)是否达成作为审核指标，工作成果项（workproducts）作为主要证明资料示例；以上均在附录A中以审核问卷的形式呈现。此外，ISO/PAS5112也规定了审核人员\团队应具备的知识和技能，其中包括充分掌握ISO/SAE21434标准所规定的网络安全活动。

portant;">3.3ISO/PAS5112与VDA红皮书

portant;">图1：ISO/PAS5112与其他文件的关系

portant;">Part02

portant;">结构及主要内容

portant;">1.结构框架

portant;">ISO/PAS5112正文包含7个章节、2个附录，主要结构框架如图所示。

portant;">图2：ISO/PAS5112结构框架

portant;">2.审核原则

portant;">3.审核项目管理

portant;">关于建立审核项目的目标，应考虑ISO/SAE21434各目标项的实现、被审核方产品所特有的网络安全风险、被审核方在汽车供应链中的位置角色以及明确审核是否包括对CSMS流程中所应用具体方法的评估。

portant;">关于定义特定审核目标、范围及标准，审核范围应覆盖被审核方在网络安全生命周期阶段所实际涉及的CSMS流程；审核范围可以是整个组织，也可以是一个或几个被明确划定的组织单元；如果CSMS流程依赖于与其他流程的交互，那么应识别出交互方式及依赖关系；如果组织需依赖其他外部组织来实现其CSMS目标，那么应识别出做出贡献的外部组织，并明确被审核方在管理其与外部组织依赖关系时所涉及的范围；在网络安全接口协议中定义的分布式网络安全活动可纳入审核范围。

portant;">审核目标应包括确认用以实现ISO/SAE21434目标所实施的流程、所应用的方法和标准的适宜性；被审核方如在实施外部审核前，进行内部审核来识别和弥补当前CSMS体系中的不足，那么内部和外部审核的范围和目标应协调一致。

portant;">4.审核执行

portant;">关于审核合同，审核人员和被审核方应该就不公开信息达成一致；信息可分为保密信息和敏感信息两类，这些信息的访问权限应限制在部分审核团队成员范围内。

portant;">关于审核启动，审核团队和被审核方应在以下方面达成一致：可提供给审核团队的信息和/或物料类型以及这些信息和/或物料、其他证明材料的位置；临时增加审核团队成员的程序；对于供应链伙伴（外包商）的审核流程及方法；临时沟通机制和方法；所需信息的可用性及权限。

portant;">关于审核判定，对于每一项目标的达成情况判定为三级，包括符合、轻度不符合、严重不符合，对于所有不符合项需给出判定理由。

portant;">表1：ISO/PAS5112审核评级及标准

portant;">关于审核结论，基于审核判定情况，将审核结论分为三类，包括通过、有条件通过和不通过。对于不通过和有条件通过的，被审核方应分析原因并提出具体整改措施；对于有条件通过的，如果被审核方不提供整改措施或者整改措施不被审核团队接受，那么审核结论应为不通过。

portant;">表2：ISO/PAS5112审核结论及标准

portant;">5.审核人员的能力要求及评估

portant;">6.审核问卷

portant;">ISO/PAS5112附录A给出审核问卷的示例作为资料参考，主要涉及六个模块：网络安全管理、持续性网络安全活动、风险评估及方法、概念及产品开发阶段、后开发阶段和分布式网络安全活动，并在每个方面下设置若干问题，以细化各方面的审核内容。同时，ISO/SAE21434中规定的目标、工作成果，分别作为审核指标及证明材料示例来支撑审核。但应注意，ISO/SAE21434中列举的工作成果并不作为唯一的证明材料，并且在某些方面也可能是不充足的，需其他材料补充证明。

portant;">表3：ISO/PAS5112附录A审核问卷（摘要整理）

portant;">Part03

portant;">结语

portant;">作者：国家智能网联汽车创新中心信息安全部王翔宇