【安永洞察】车企和供应商如何利用CSMS开拓国际市场
近年来,智能网联汽车已成为汽车产业发展的主流趋势。然而,随着汽车智能化程度不断提高,其网络安全方面的隐患也日益增多。汽车一旦发生网络安全事件,可能造成车辆数据或个人隐私泄露、行驶异常或者失控,严重情况下还可能危及人员生命和国家公共安全。因此,智能网联汽车信息安全已经成为汽车行业乃至整个社会共同关注的焦点。
为了加强汽车信息安全保护,联合国世界车辆法规协调论坛(UN/WP.29)GRVA工作组于2020年6月通过了一项重要法规:R155,将CSMS(Cyber Security Management System)认证和VTA(Vehicle Type Approval)型式认证,作为车辆进入包括欧盟国家在内的R155生效国市场销售的前提条件。汽车制造商必须事先获得CSMS认证证书,并证明CSMS已在特定车型开发及量产项目上充分且有效地运行后,方可申请特定车型VTA型式认证。
R155作为车辆网络安全领域首个具有约束力的国际法规,其发布标志着车辆网络安全从自愿性标准转变为强制遵循的时代,成为国内汽车“出海”欧盟背景下的“必修课”。
本文总结了R155法规重点要求,阐述了企业需要开展的车辆网络安全管理体系建设工作内容,并介绍了企业认证工作流程,旨在帮助企业为通过CSMS及后续VTA认证做好准备。
企业车辆网络安全管理体系要求
一、主要监管法规概览
1 R155法规介绍
R155法规将车辆网络安全准入要求分为两部分:一是要求汽车制造商建立完善的车辆网络安全管理体系,获得CSMS认证,二是要求汽车制造商确保其生产的车辆具备可靠的网络安全能力,获得VTA认证。
CSMS认证主要审查汽车制造商是否建立并落地车辆网络安全管理体系,涵盖车辆全生命周期,包含概念、开发、整车验证、生产、运营、报废各环节;是否运用威胁分析与风险评估方法,对网络安全风险进行常态化管理;是否建立了常态化网络安全监控、网络安全事件应急响应机制,有效识别网络威胁,并采取相应控制措施来管理风险。
VTA认证则是通过文件审核与技术测试两部分对CSMS管理体系在特定车型开发中的应用进行审查,企业需要首先获得CSMS证书,再将样车提交认证审批机构进行VTA认证,以确保特定车型的网络安全防护技术符合安全要求,有效防范车辆面对的网络安全风险。
2 生效国及各国监管机构
R155法规生效区域为《1958年协定书》的缔约方。《1958年协定书》全称《关于对轮式车辆、安装和/或用于轮式车辆的装备和部件采用统一条件并相互承认基于上述条件批准的协定书》,最初旨在整个欧洲范围内对汽车产品制定、实施统一汽车技术法规(即ECE法规),缔约国对已经获得ECE型式认证批准的汽车产品有义务予以相互承认。在该协议下通过任何一个缔约国型式认证的车型,可直接到其他缔约国上市销售,无需进行重复认证,极大地提高了汽车进出口贸易的便利性,增加流通性,降低了车辆进入新市场的运行成本和时间。
如今,越来越多的非欧洲国家,例如日本、澳大利亚、南非、新西兰、韩国等,已经加入了《1958年协定书》,并开始逐步采用ECE法规来替代原有的国内技术法规。中国虽然不是1958协定国之一,但国内汽车制造商生产的汽车如果想要销售到这些国家就必须满足R155要求。
目前1958协定国主要有54个缔约国,各国在R155方面的主要认证监管机构为交通部或下属执行机构,具体清单详见(请复制链接至浏览器打开):https://apps.unece.org/WP29_application/List_TA_TS
3 生效时间
为提高认证流程效率,以更快速度将汽车出口到海外市场,汽车制造商可同时准备CSMS和VTA认证工作,但是在申请VTA之前,汽车制造商必须事先获得CSMS证书。
4 适用车型
R155法规适用于涉及网络安全的M、N类车辆、装有至少一个电子控制装置(ECU)的O类车辆,以及具备L3*级及以上自动驾驶功能的L6和L7类车辆。
5 认证主体与认证范围
认证主体:
► 汽车制造商:强制要求通过CSMS认证和VTA认证。
► 供应商:尽管R155法规并未强制要求供应商通过CSMS认证,但汽车制造商会要求与其CSMS存在依赖关系的Tier 1供应商、服务提供商或子公司提供材料,证明其网络安全能力,如:
• ISO 27001,ISO 21434, TISAX, ASPICE等与网络安全相关的认证
• 有关网络安全的实践案例
• 以往网络安全评估报告摘要等
认证范围:
汽车制造商出海车型需获得的CSMS证书数量由其出海车型WMI(World Manufacturer Identifier世界制造厂识别代码)决定。若汽车制造商和其旗下车型品牌公司使用相同WMI,则对于出海车型仅需获取一张CSMS即可;若旗下各品牌汽车使用不同WMI,则针对每个出海品牌车型都需进行单独CSMS认证,方可申请对应车辆VTA形式认证。举例说明,A汽车制造商公司旗下拥有B、C两种品牌,如果品牌B和C的出海车型使用相同的WMI,则只需要申请一张CSMS证书;但如果品牌B和C的出海车型使用不同的WMI,则需要为B和C两款品牌车型分别申请CSMS认证证书。
6 认证有效期
► CSMS认证有效期为3年,到期后需审批机构重新认证或延期。
► 认证主体应至少每年或按需向审批机构或技术服务机构报告其CSMS体系监测活动的结果,及针对其认证车型实施的网络安全缓释措施仍然有效,以及采取的任何其他措施► 审批机构随时核查:颁发CSMS及VTA合格证的审批机构可随时核查企业和车型产品是否依旧满足要求,若不满足可撤销之前颁发的认证。
7 重新认证情形
汽车制造商涉及网络安全方面或涉及R155法规要求的每一次车型改装或性能提升,都应该主动上报审批机构或其技术服务部门,由审批机构或其技术服务部门确认该修改是否触发重新认证。
二、企业合规关注要点
1 车辆网络安全管理体系要求(CSMS认证)
► 建立车辆网络安全管理体系,涵盖车辆全生命周期,包括:开发阶段、生产阶段及生产后阶段。
► 建立风险管理流程,包括:识别、评估、分类、处置、并定期更新风险评估结果。► 建立车辆网络安全测试流程。► 建立持续监控流程,确保其车辆网络安全管理体系所采取的监控措施能够覆盖已经售出首次注册的车辆,并从车辆数据和日志中分析和检测网络威胁、漏洞和攻击。日志分析需要注意车主的隐私权。► 建立网络安全事件应急响应流程,在合理的时间范围内对监控及识别到的威胁与漏洞进行处置。► 建立供应商管理流程,对受托供应商、服务提供商及汽车制造商子公司进行网络安全管理。
2 车辆型式要求(VTA认证)
► 在进行某款车型VTA形式认证前,必须取得CSMS证书。对于在2024年7月1日之前已经获得型式认证的车辆如果该车型无法符合CSMS的要求,那么汽车制造商必须证明在该车型的开发阶段已充分考虑了网络安全。
► 应识别和管理与认证车型供应商相关的风险。► 应确定车型的关键要素,对该车型进行详尽的威胁分析与风险评估,并采取适当的缓解措施处理已识别的风险。
• 在2024年7月1日之前进行的车型认证中,如果附录5B针对车辆威胁的缓解措施或5C针对车外威胁的缓解措施部分中的缓解措施在技术上无法实施,那么汽车制造商必须采取其他适当的措施来缓解相应的问题,并需要向审批机构提供有关可行性评估的信息。
• 关键要素是指在车辆安全、环境保护和防盗保护方面起到重要作用的部件。这些部件可以是提供连接功能的零部件,也可以是车辆架构中关键的部分,对于共享信息或网络安全至关重要。例如,网关可被视为关键要素。
► 应采取适当的措施,保护车型上的存储和执行售后软件、服务、应用程序或数据的专用环境。
• 专用环境可以指车上某些系统或组件,也可以指与车辆交互的服务器或服务。如果车辆需要与位于车辆之外的服务器或服务进行交互(例如云中),则需要考虑这些服务器或服务对车辆网络安全的影响。
► 应在车辆型式认证之前开展适当和充分的测试,以验证实施的安全措施的有效性。► 认证车型应具备监测能力,以便发现针对该车型的威胁、漏洞和网络攻击;应具备数据取证能力,以支持分析未遂或成功的网络攻击。► 认证车型使用的加密模块应符合共识标准,如果不符合,则汽车制造商应当证明其使用的合理性,解释选择该加密模块的原因,以及为什么该模块足以缓解已识别的风险。
三、企业合规参考文件
尽管CSMS是一项强制性法规,但其并未对汽车制造商如何落实要求做出具体规定。如果将UN ECE WP.29 R155法规视为一个基础框架,那么国际标准化组织(ISO)于2021年3月发布指南性标准《ISO 21434 : Road vehicles – Cybersecurity engineering 道路车辆 网络安全工程》则提供了更加详细和实用的指导。
因此,汽车制造商和供应商应结合R155及ISO 21434要求,将基本框架要求转化为实际落地控制措施,建设自身车辆网络安全管理体系,提高网络安全水平。
企业车辆网络安全管理体系建设
一、组织架构
企业应从上到下建立可囊括企业相关部门的车辆网络安全管理组织架构,从决策层,应明确高管层在网络安全方面的责任义务;从管理和执行层方面,应明确CSMS工作牵头部门及相关团队,如产品设计、研发、测试、质量控制、整车项目管理等团队在车辆网络安全管理中的工作职责,确保安全工作开展有据可依,管理责任落实到人。另外,应明确相关支持部门如数据治理、隐私保护、法务合规等团队的支持工作内容;从监督层面,需明确风险评估、网络安全管理体系审计的工作职责,有序监督评价工作。
二、制度体系
根据管理层级、管理重点分层级进行CSMS制度体系建设,并将CSMS要求与现有管理体系进行整合,建立与当前信息科技管理、隐私保护、功能安全等相关管理领域的联动机制,将管理要求落实到日常工作中。
► 网络安全策略:应将道路车辆网络安全风险纳入管理,并由高管层负责对车辆网络安全风险进行管理。
► 汽车全生命周期管理:应明确在开发、生产、生产后阶段车型全生命周期各环节安全要求。► 项目管理:明确车型开发项目的网络安全管理要求,通过制度建立标准化管理流程,确保将CSMS要求整合到日常项目管理中。► 风险管理:应建立完善的风险管理流程,识别可能影响车辆网络安全的风险,评估已识别风险的潜在影响和可能性,并选择相应的风险处置措施。同时,企业应定期监控风险评估结果,及时发现新的风险和变化,并采取相应措施。► 信息共享:应定义网络安全相关的信息共享要求,规范可共享的信息类型、共享审批流程、禁止共享的信息及场景等,明确信息接收方的安全管理要求。► 持续监控:建立监测、检测和响应车辆网络安全威胁的流程,从内外部收集、识别的新的网络威胁和漏洞,评估已实施的网络安全措施是否仍然有效。► 网络安全事件及应急:应建立内外部协同的网络安全事件应急处置机制,制定事件安全应急预案,并定期演练。► 供应商管理:应建立供应商管理机制,制定针对车辆网络安全的管控要求,建立供应商在网络安全方面的能力评估、准入标准,形成网络安全接口协议模板,并定期开展供应商服务评价。
三、车型项目活动管理
企业应基于每款车型开发项目制定网络安全计划,确定网络安全活动,以及各项活动的目的、负责人、所需资源、开始时间、结束时间及持续时间、与其它活动或信息的关联,及工作产出。
在制定网络安全计划时,企业应基于复用、独立组件、和现成组件三种情况,对网络安全计划中的活动进行裁剪,以实现高效且精简的网络安全管理。
应由质量控制团队或独立第三方,开展独立的以风险为导向的网络安全评估,对网络安全计划及项目工作成果、网络安全控制措施的合理性及有效性进行评估,评估结果将作为车型能否获批进入生产阶段的依据。
车型开发项目结束,需要形成网络安全档案,记录从概念阶段到开发验证和确认阶段全流程网络安全证据,保障车型开发过程中的网络安全。
四、车辆全生命周期管理
企业应将网络安全融入到车辆全生命周期中,生产制造更安全的汽车。
1开发阶段
概念环节
• 识别网络安全相关项:包括相关项边界、功能、初步架构及其运行环境,识别可能的攻击界面及路径。
• 开展威胁评估及风险分析(Threat analysis and risk assessment methods, 简称TARA):识别整车或系统层可能存在的风险,进行风险分析及处置,并以此制定网络安全目标指导后续工作开展。
• 制定网络安全概念报告:基于网络安全目标,全面定义相关项网络安全需求。
开发环节
► 设计:
• 制定网络安全规范:基于高阶的架构安全规范,以及待实施的网络安全需求、已有的架构设计(若适用),制定标准化、可信的设计及开发标准,确保网络安全需求得以实现。
• 对网络安全规范进行验证:企业应对网络安全规范的准确性、完整性、一致性进行验证,并按照网络安全规范进行软硬件开发:确保所开发的软硬件满足整车层级分配的网络安全控制要求。
► 系统层级集成与验证:
• 验证所集成的组件是否符合网络安全规范要求,并通过开展功能测试、漏洞扫描、渗透测试等方式,确认是否存在未识别的脆弱点。
整车层验证/确认环节
► 集成与验证工作完成后,企业应开展整车层级确认工作,通过成果审阅、渗透测试等方式,验证整车网络安全目标的实现及其充分性。
2生产阶段
在生产阶段,企业应建立生产控制计划,保障生产过程网络安全。生产控制计划应包含步骤顺序、生产工具和设备、防止未经授权更改的网络安全控制及控制验证方法。
3生产后阶段
车辆升级更新需要具备相应的能力和技术手段,如OTA(Over-The-Air)技术、车辆诊断接口、升级程序等。这些能力和技术手段需要按照相关的技术规范、标准或要求文档进行开发,以确保更新过程的安全性。
当企业决定停止对某个相关项或组件的网络安全支持时,应建立流程通知客户,可以根据供应商和客户之间的合同要求进行处理,或通过公告的方式向车主传达信息。
车辆报废不属于汽车制造商可管控范畴内,因此可能无法建立标准化流程。但企业需要通过适当的文档(如使用说明、用户手册等)明确报废阶段网络安全需求,例如需要考虑密钥证书销毁、敏感信息处理等。
五、持续监控与应急响应
► 持续监控:应从外部或内部持续收集和筛选网络安全信息,对所有已经售出并注册的车辆进行网络安全监控,并具备从车辆数据和日志中分析和检测网络威胁、漏洞和攻击的能力。
• 内部:开发测试团队提供信息、漏洞扫描报告、维修信息、设备日志、威胁场景、网络安全声明等。
• 外部:行业研究发现、供应商信息共享、相关论坛发布、政府消息来源等。
► 网络安全应急响应:应制定应急响应计划,在合理的时间范围内对网络安全事件进行响应。应急响应计划包括但不限于补救措施及其职责分配、沟通计划、记录与网络安全事件相关的新的网络安全信息、衡量事件处理进度的衡量标准、应急响应结束的标志以及结束操作。
► 漏洞分析与管理:应对监控识别到的威胁与漏洞进行漏洞分析与管理,对每个漏洞的风险进行评估和处置。
六、供应商管理
企业应在准入或定点前对供应商开展评估,考察供应商在开发、生产阶段执行相关网络安全活动的能力。可要求供应商提供以下证明材料:
► 获取的与网络安全相关的国家/国际认证(如:ISO 27001,ISO 21434,TISAX,ASPICE等)。
► 以往项目中有关网络安全的最佳实践,包括从开发到生产、治理、质量和信息安全等方面的证据。► 网络安全事件响应流程和相关记录、演练记录、漏洞扫描报告、风险评估报告、漏洞管理流程及修复记录等。► 以往网络安全评估报告摘要。
汽车制造商与供应商应签署《网络安全接口协议》(CIA)以RASIC矩阵的方式,明确双方网络安全职责与接口人、双方需开展的网络安全活动及关键里程碑、信息及工作成果共享机制,以及结束网络安全支持的情形。
七、网络安全审计
为了衡量CSMS管理体系运转有效性,企业应制定内审计划,定期开展网络安全审计,对CSMS管理体系有效性进行评估,形成网络安全审计报告,并提出改进建议,以持续提升企业安全管理水平。
企业CSMS认证工作流程
企业CSMS认证工作可分为四个阶段:现状调研及风险评估、体系建设、体系试运行及正式认证。
一、现状调研及风险评估
在CSMS体系设计的初期,首先离不开对自身现状的梳理与识别,安永将借助已融合CSMS与ISO21434的合规基线,通过人员访谈、文档调阅、现场检查等多种方式对企业现有的管理组织架构、管理制度体系及相关技术规范实施情况开展现状调研。
安永将协助企业对现状与合规基线要求进行差距分析与风险评估,识别安全控制措施缺失可能造成的网络安全风险,并提出处置措施及整改方案,为后续体系建设工作提供输入。为确保差距分析与风险评估有效性,安永将从外部第三方视角,协同多部门利益相关方(包括但不仅限于信息安全、审计、风险管理、采购、售后、主要业务/产品代表等),共同制定CSMS体系建设方案,并最终由管理层进行确认。
二、体系建设
1组织架构设计/优化
在现有网络安全组织基础上,安永将协助企业进一步完善CSMS管理体系的决策、管理、执行和监督团队,明确各方职责分工。
2体系文档建设
应建立完整的车辆网络安全体系文档,包括政策、规范、标准和工具表单等,以确保车辆网络安全工作有据可循。安永将协助对企业现有的网络安全制度进行梳理和整合,针对缺乏的制度进行补充完善,针对现有制度中的不足进行修订和优化,针对重合的制度进行精简。最终形成一套适合企业的CSMS管理制度体系。同时,安永还将协助企业建立常态化评估流程,对体系文档进行定期评估和更新,确保车辆网络安全工作的有效性和可持续性。
3流程设计/优化
建设CSMS流程,包括但不限于概念、开发、生产、运维、报废、TARA方法论、安全监控、信息共享、应急响应等方面。流程建立后,安永将协助企业与相关团队和人员进行针对性沟通,以确保流程的有效落地。
4体系培训
在完成CSMS管理体系建设后,安永将组织开展宣贯培训工作,将CSMS管理体系的核心理念和实施要求传达给相关员工,确保员工能够理解和遵守网络安全政策和规程,完成实施层面的知识转移。
三、体系试运行及内审
在体系试运行阶段,安永将协助企业建立相关流程并落地执行,同时开展内审形成内审评估报告,以衡量体系有效性,并针对性地制定改进措施。改进措施应该包括以下几个方面:
► 修改文档:及时对缺失或不完善的文档进行补充修改。
► 流程优化:对相关流程进行优化改进,以提高工作效率和安全性。
► 人员培训:加强内部培训和知识普及,提升人员的安全意识和技能水平。
► 技术改进:积极引进和应用先进技术和工具,提升企业的安全防御能力。
四、体系认证
安永将协助企业准备CSMS认证所需的各项文件资料,包括但不限于制度流程、操作手册、内审报告、培训材料,及相关流程落地执行证明等,并协助企业完成审批机构的外审评估工作,确保企业顺利通过CSMS认证。
结语
R155法规已经生效,对于汽车制造商来说,通过CSMS及VTA认证是其车型进军海外、抓住新一轮全球化市场机遇的关键因素。通过CSMS及VTA认证,汽车制造商可向客户、竞争对手、供应商、员工和投资者展示其在同行中的网络安全领先地位,保持业务持续发展和竞争优势,实现风险管理,维护企业声誉、品牌,并赢得客户信任。
若需了解更多信息,欢迎联系我们:
高轶峰
主管合伙人
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 21 2228 6611
kelvin.gao@cn.ey.com
兰瑜
合伙人(华北)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 10 5815 3951
bruce.lan@cn.ey.com
施建俊
合伙人(华中)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 21 2228 7599
alex.shi@cn.ey.com
夏文婷
合伙人(华中区)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 21 2228 3320
wendy.xia@cn.ey.com
周旸
合伙人(华中区)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 21 2228 3160
yang.zhou@cn.ey.com
张楠驰
合伙人(华中区)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 21 2228 6419
nancy-nc.zhang@cn.ey.com
张伟
合伙人(华中)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 21 2228 6611
bruce.w.zhang@cn.ey.com
胡立基
合伙人(华南区)
大中华区网络安全与隐私保护咨询服务
安永(中国)企业咨询有限公司
+86 20 2881 2731
winson.woo@cn.ey.com
陈光华
合伙人(香港)
大中华区网络安全与隐私保护咨询服务
安永咨询服务有限公司
+852 3758 5864
nelson.chan@hk.ey.com
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
如欲转载本文,务必原文转载,不得修改,且标注转载来源为:安永中国海外投资业务部官方微信公众号。如需修改内容,需要获得安永的书面确认。