CSMS
网络安全管理体系 CSMS
随着智能汽车的发展,新技术新功能层出不穷,推陈出新的商业服务模式也改变着整个汽车行业,汽车正从传统的交通工具逐渐变成了生活、工作、娱乐的空间。日趋复杂的智能网联系统和多样的V2X通讯方式带来的网络攻击风险也不断提高。车辆的网络安全可能关系到数据隐私,更可能危害到车上乘员及其他道路使用者的人身安全。车辆本身的网络安全防护技术是抵御攻击最为直接的一道屏障,但专注于产品本身远远不够,必须要营造一个以体系和流程为支撑的网络安全环境,以开发更加安全可靠的产品。 网络安全管理体系(Cyber Security Management System)包含开发、生产、运维等各个阶段的网络安全保障措施,在流程上对安全设计、措施实施和事件响应做出体系指导。是否建立起一套CSMS并有效实施,是汽车相关企业对网络安全管控、数据安全保障、漏洞和威胁响应等能力的重要体现,也是保障产品网络安全性能的基础和前提。
建立CSMS,实现企业合规
R155
由联合国世界车辆法规协调论坛(UN WP.29)发布的关于汽车信息安全的强制法规UN R155是全球首个关于汽车网络信息安全的强制法规,从法规的高度对建立CSMS提出明确要求,规定主机厂必须在车辆整个生命周期中各个阶段都实施功能齐全且经过审计的CSMS,以监测和控制网络安全。最早从2022年7月起,新车型上市必须提交CSMS证明,而且CSMS也是进行R155车辆型式认证VTA的前提。同时法规规定CSMS必须包括主机厂对其供应商、服务商和相关第三方的管理。
ISO 21434
ISO/SAE 21434是汽车网络安全的体系框架和方法论,明确了从概念和开发到生产、运营、维护和退役的整个车辆生命周期内的组织和程序要求,在具体操作层面上给出了更详尽的指导。ISO/SAE 21434可以作为具体CSMS建设实施依据,我们可以认为ISO21434对R155起到了实施支撑的作用,是企业实施CSMS和通过相应法规认证的最佳实践。
国内强标
我国的汽车网络安全强制性国家标准《汽车整车信息安全技术要求》也即将迎来正式发布,强标中也明确规定在开展车辆信息安全评估和测试之前,必须先通过汽车信息安全管理体系的审核。在未来即将推行的智能网联汽车企业和产品准入制度规定中,也明确企业要具备包含网络安全管理制度、风险管控机制、漏洞管理及响应等在内的网络安全保障能力。
CSMS是如何构建的?
CSMS的目的是预防性地识别和消除产品中的关键弱点,必须在整个产品生命周期内确保和维护网络安全。
- 开发阶段;
- 生产阶段;
- 生产后阶段
同时,完整的CSMS系统,还包含风险的响应与缓解,风险的持续监测,以及供应链的网络安全管理。
CSMS实施的基本要求
- 具备用于管理网络安全的过程
- 具备用于识别车辆可能风险的流程
- 具备用于评估/分类/处理已识别别风险的流程
- 具备对已识别风险进行有效管理的流程
- 具备车型测试的能力和过程
- 保持风险评估处于最新状态的过程
- 监控、检测和响应网络攻击、网络威胁和漏洞的流程
- 评估应对网络攻击、网络威胁和漏洞的措施持续有效的过程
- 对网络攻击进行数据记录和分析
行动起来,建立CSMS
我们与知名认证机构、行业权威专家保持密切联系,关注法规和认证的发展方向,这使我们能够在实施网络安全管理体系方面为客户提供全面的支持,从一开始就考虑到已实施和未来即将出台的法律法规要求进行提前布局,我们为汽车网络安全相关提供体系支持和解决方案。如果您对目前的网络安全管理流程存在疑问,请联系我们进行交流,基于在网络安全管理体系建设方面的多年经验,我们可以帮助您:
