ISO/PAS5112标准解读——从审核视角解析汽车网络安全管理体系(CSMS)建设测试行业动态

585 567

portant;">3.1ISO/PAS5112与ISO19011

portant;">3.2ISO/PAS5112与ISO/SAE21434

portant;">ISO/PAS5112作为支撑ISO/SAE21434审核的标准,其与ISO/SAE21434的紧密关联性是不言而喻的。具体来看,首先,ISO/PAS5112所审核的管理体系,即网络安全管理体系(cybersecuritymanagementsystemCSMS),其定义、范围和组成要素均采用ISO/SAE21434的规定。其次,在审核内容上,ISO/PAS5112主要考察汽车网络安全管理体系的六个方面(详见后文),这些方面的划分正是基于ISO/SAE21434所规定的CSMS应建设内容,均可在ISO/SAE21434中找到对应的章节;并且,将ISO/SAE21434中提出的具体目标项(objectives)是否达成作为审核指标,工作成果项(workproducts)作为主要证明资料示例;以上均在附录A中以审核问卷的形式呈现。此外,ISO/PAS5112也规定了审核人员\团队应具备的知识和技能,其中包括充分掌握ISO/SAE21434标准所规定的网络安全活动。

portant;">3.3ISO/PAS5112与VDA红皮书

portant;">图1:ISO/PAS5112与其他文件的关系

portant;">Part02

portant;">结构及主要内容

portant;">1.结构框架

portant;">ISO/PAS5112正文包含7个章节、2个附录,主要结构框架如图所示。

portant;">图2:ISO/PAS5112结构框架

portant;">2.审核原则

portant;">3.审核项目管理

portant;">关于建立审核项目的目标,应考虑ISO/SAE21434各目标项的实现、被审核方产品所特有的网络安全风险、被审核方在汽车供应链中的位置角色以及明确审核是否包括对CSMS流程中所应用具体方法的评估。

portant;">关于定义特定审核目标、范围及标准,审核范围应覆盖被审核方在网络安全生命周期阶段所实际涉及的CSMS流程;审核范围可以是整个组织,也可以是一个或几个被明确划定的组织单元;如果CSMS流程依赖于与其他流程的交互,那么应识别出交互方式及依赖关系;如果组织需依赖其他外部组织来实现其CSMS目标,那么应识别出做出贡献的外部组织,并明确被审核方在管理其与外部组织依赖关系时所涉及的范围;在网络安全接口协议中定义的分布式网络安全活动可纳入审核范围。

portant;">审核目标应包括确认用以实现ISO/SAE21434目标所实施的流程、所应用的方法和标准的适宜性;被审核方如在实施外部审核前,进行内部审核来识别和弥补当前CSMS体系中的不足,那么内部和外部审核的范围和目标应协调一致。

portant;">4.审核执行

portant;">关于审核合同,审核人员和被审核方应该就不公开信息达成一致;信息可分为保密信息和敏感信息两类,这些信息的访问权限应限制在部分审核团队成员范围内。

portant;">关于审核启动,审核团队和被审核方应在以下方面达成一致:可提供给审核团队的信息和/或物料类型以及这些信息和/或物料、其他证明材料的位置;临时增加审核团队成员的程序;对于供应链伙伴(外包商)的审核流程及方法;临时沟通机制和方法;所需信息的可用性及权限。

portant;">关于审核判定,对于每一项目标的达成情况判定为三级,包括符合、轻度不符合、严重不符合,对于所有不符合项需给出判定理由。

portant;">表1:ISO/PAS5112审核评级及标准

portant;">关于审核结论,基于审核判定情况,将审核结论分为三类,包括通过、有条件通过和不通过。对于不通过和有条件通过的,被审核方应分析原因并提出具体整改措施;对于有条件通过的,如果被审核方不提供整改措施或者整改措施不被审核团队接受,那么审核结论应为不通过。

portant;">表2:ISO/PAS5112审核结论及标准

portant;">5.审核人员的能力要求及评估

portant;">6.审核问卷

portant;">ISO/PAS5112附录A给出审核问卷的示例作为资料参考,主要涉及六个模块:网络安全管理、持续性网络安全活动、风险评估及方法、概念及产品开发阶段、后开发阶段和分布式网络安全活动,并在每个方面下设置若干问题,以细化各方面的审核内容。同时,ISO/SAE21434中规定的目标、工作成果,分别作为审核指标及证明材料示例来支撑审核。但应注意,ISO/SAE21434中列举的工作成果并不作为唯一的证明材料,并且在某些方面也可能是不充足的,需其他材料补充证明。

portant;">表3:ISO/PAS5112附录A审核问卷(摘要整理)

portant;">Part03

portant;">结语

portant;">作者:国家智能网联汽车创新中心信息安全部王翔宇

THE END

车联网服务的意义是什么?

汽车全生命周期网络安全管理各个阶段介绍通信网络

速下载!《168项电信和互联网数据安全标准全景图(2024)》来了

汽车配件实习报告(精选3篇)

奇瑞汽车校招简章

2022年社旗县中等职业学校专业人才培养方案

19个新职业发布!一文了解→澎湃号·政务澎湃新闻

深度:一文读懂我国数据安全政策动向与趋势

供应链管理工作计划

谈谈哪些数据属于重要数据以及典型的数据安全法规和实践

营销计划书模板(精选17篇)

人工智能与教育的融合精品(七篇)

网络安全的本质范文

ISO/PAS5112标准解读——从审核视角解析汽车网络安全管理体系(CSMS)建设测试行业动态

运营管理网上计分作业答案

ADI无线电池管理系统通过汽车网络安全认证

成都网约车从业资格证书怎么办理

2023年汽车市场调查报告(实用9篇)

1.汽车电子系统网络管理的简介汽车电子网络管理什么意思本文旨在从业务功能上介绍汽车电子系统中网络管理模块的功能,已达到对于网络管理模块的一个初步管理。 1 网络管理的含义 汽车系统中存在着多种 ECU 控制单元,这些 ECU 控制单元并不是孤立的,而是协同工作。既然各个 ECU 控制单元需要协同工作,那么它们之间就必须能够相互通信。目前各 ECU 之间通信的方式主要有 CAN、https://blog.csdn.net/oneofstudent/article/details/109851711
2.车载网络通信基础知识一、车载网络通信系统 1、CAN总线系统 常见的车载网络通信系统有:CAN总线系统、LIN总线系统、LAN总线系统和MOST总线系统,其中CAN总线应用最为广泛。CAN总线系统是BOSCH和Intel公司专门为汽车内部数据交换开发的一种总线系统,高速驱动CAN总线由微处理器、控制器、收发器、两条双绞线、两个数据传输终端组成,低速车身或舒适https://www.dongchedi.com/ugc/article/7294078810369311267
3.浅谈ISO/SAE21434汽车网络安全标准(一):整体要求及项目网络安全ISO/SAE 21434 是SAE和ISO共同制定的第一个全球性的汽车行业的网络安全标准。https://www.51fusa.com/client/knowledge/knowledgedetail/id/1905.html
4.1.阜阳市高中中等职业学校教师中职实习指导教师资格讲课课题4.管理我的计算机课题 5.Word2003基本操作课题 6.制作学期课程表课题 7.Excel2003基本操作课题 8.制作学生成绩表课题 9.计算机网络基本概念课题 10.初识Internet课题 英语 李琨 1. 2.1 What Is Engine New Words and Word Study部分,记忆ExercisesII部分内容 https://www.xredu.com/mobile/zixun/zige/21568_1.html
5.2023年重大网络安全政策法规盘点据国家能源局网站消息,为贯彻落实党的二十大精神,扎实做好2023年电力安全监管工作,确保电力系统安全稳定运行和电力可靠供应,推动全国电力安全生产形势持续稳定向好,国家能源局近日印发了《2023年电力安全监管重点任务》,强调推进电力行业网络与信息安全工作,修订行业网络安全事件应急预案,建立完善网络安全监督管理技术支撑体系https://www.eet-china.com/mp/a273064.html
6.智东西早报:传阿里百度京东6月回归A股电子身份证首次多地同时近日,南京市下发《关于加强出租汽车市场规范管理的意见》(代拟稿),按照《意见》规定:对出租汽车实施政府调控,从2018年4月20日零时起暂停出租汽车新增运力。公安交管部门暂停登记网络预约出租汽车,交通运输部门暂停办理出租汽车经营许可证。这就意味着,南京市将全面停止网约车投放。此意见由南京经市委、市政府研究决定,https://zhidx.com/p/115082.html
7.广西犇云科技股份有限公司随着智能网联汽车的不断普及,采用移动终端,通过无线网络实现对车辆的远程控制已经成为了智能网络汽车的必备技能,极大的方便了车主及车辆运营方的日常使用和管理。但是,同 IT 网络中远程控制所带来的安全问题一样,车辆的远程控制方式同样存在安全隐患,其危害程度甚至远胜于 IT 网络。 2015 年吉普自由光案例,黑客就是通过http://www.benyuntech.com/col.jsp?id=115
8.汽车电子技术——整车网络管理汽车电子过程不去赘述,最终结论就是车辆的TBOX被云端异常周期唤醒,TBOX随后又唤醒整车,如此周期往复,最终导致整车小电池电量耗尽发生馈电,馈电是整车网络管理中最不愿意见到的一幕,伤敌一千自损八百。 而随着桀骜不驯的智驾域的加入,整车网络管理难度也随之加大,已经开始挑战各主机厂的企业标准。如何对包含智驾域的整车进行网络管https://www.auto-made.com/mobile/news/show-15971.html
9.工业物联网及其应用:概念架构关键技术应用及挑战由各种工业应用组成,包括智能工厂、智能供应链等。这些智能工业应用利用众多的传感器和执行器,实现实时监控、精确控制和有效管理。 上述结构简单明了,便于理解IIoT的基本概念。 2.2 面向服务的IoT体系架构描述 文献[2]描述了面向服务(SOA)的IoT体系架构,这种体系架构强调异构设备之间的可扩展性、可伸缩性、模块化和使用http://www.ex12580.net/news/detail/12509
10.互联网新兴技术包括哪些互联网技术对人们的生活有什么影响→云计算对我们生活的影响金融云金融云是利用云计算的模型组成原理,将金融产品、信息和服务分散到由大型分支机构组成的云网络中,提高金融机构快速发现和解决问题的能力,提高整体工作效率,改善流程,降低运营成本。制造云制造云是云计算延伸发展到制造业信息领域后的落地和实现。用户可以通过网络和终端随时获得制造资源和能力https://www.maigoo.com/goomai/273194.html
11.智能停车场收费管理系统型智能图像识别系统是将世界上最新一代的车辆综合识别技术(IC卡+图像识别)引入停车场智能管理系统,并形成以计算机网络管理与控制为核心的机电一体化高科技产品,具有高效、准确、安全、可靠的技术性,赢得汽车“守护神”的美誉,它的出现令停车场管理系统如虎添翼,更有效地杜绝了偷车、盗车现象,使停车场管理者和使用者得https://www.jianshe99.com/new/301_307_/2010_3_26_du6678553162301022368.shtml
12.易明辉:汽车行业的“互联网+”探索与实践V课堂第78期第78期【智造+V课堂】分享嘉宾:南京威迩德汽车零部件有限公司总工程师、教授级高工易明辉, 易总从“互联网+”时代特征及其带来的变革 、我国汽车产业的发展现状以及汽车行业“互联网+”时代的发展对策(以上汽集团为实际案例)三个方面进行精彩演讲。 “互联网+”在国家的大力提倡下,正渗入各行各业,越来越多的传统https://www.51cto.com/article/548150.html
13.东莞11月IATF16949汽车质量管理体系内审员培训网络班单独"IATF16949:2016汽车质量管理体系内审员"网络课程收费标准:1000元/人,包括线上视频课程、PDF课件、教材、内审员证书在内。 【课程简介】 IATF16949:2016标准是在2016年10月1日发布的,这是汽车行业管理体系标准发展历程上的一个重要的标志。新版标准致力于持续改进,着重强调缺陷的预防,新版标准将在减少变差和减少http://www.eduiso.com/peixun-259091/