汽车网络安全管理体系框架与评价-汽车网络安全管理体系框架

R155《网络安全与网络安全管理系统》法规中明确指出 , 汽车制造商应完成 "汽车网络安全管理体系认证" (简称: CSMS认证)以及 "车辆型式审批" 且CSMS认证,是车辆型式审批的前提条件。 虽然我国相关政策尚未出台 , 但国内汽车制造商及供应链上下游企业对该法规要求的落实悄况 , 将成为我国智能网联汽车进入国际市场的决定性因素。

(一)体系框架内容概述

基于ISO/SAE 21434、 WP.29 R155 、 ISO PAS 5112、 VOA红皮书、 《关千加强智 能网联汽车生产企业及产品准入管理的君见》等国内外法规标准的要求, 搭建了寝盖组织管理、 外部管理及产品全生命周期的汽车网络安全管理体系框架。

组织管理部分, 包含文化治理、 信息共享、 工具管理及体系审计四部分, 具体内容包括:

(1)文化治理:定义汽车网络安全管理组织架构, 明确汽车网络安全管理体系目标,制定管理体系方针 , 制定网络安全管理策略;

(2)信息共享:定义网络安全信怠的管理范国 , 明确网络安全信思的分级标准, 针对信息申语、 信怠审批、 信息释放、 信息删除等环节进行管控 , 以保证共享信息的保密性与安全性;

(3) 工具管理:定义汽车网络安全工具管理范即 , 明确汽车网络安全工具管理策略;

(4) 体系审计:建立汽车网络安全内部审核及管理评审管理流程 , 明确内部审核具体检查内容 , 检查项及检查方法 , 保陌汽车网络安全管理体系运行的适宜性、 充分性和有效性。

产品全生命周期部分, 包含项目管理、概念研发、 生产、运维及报废阶段, 具体内容包括:

(1)项目管理:明确各项活动的职贵分配, 制定网络安全活动计划 , 定义裁剪原则等要求;

(2)概念研发阶段:建立与现有研发流程相融合的网络安全管理流程。 明确人员职贵与分工 , 匹配阀门节点 , 定义输入输出 , 融入相关项识别 、 风险评估、 安全目标与概念制定、 栠成与验证、 安全确认等网络安全活动, 制定整车网络安全研发管理流程;

(3)生产阶段:制定并落实网络安全生产控制计划, 确保开发后的网络安全要求适用千项目或组件 , 并确保在生产过程中不能引入涸洞;

(4)运维阶段:建立全面的汽车网络安全运营与维护体系 , 明确网络安全悄报的监控来源 , 筛选车辆网络安全问题。建立汽车网络安全问题定级标准、 分析流程、 涸洞通报、 应急管理等制度, 以便在发生汽车网络安全问题时 , 可准确研判 、 快速应对, 采取适宜的处罢措施;

(5)报废阶段:建立网络安全支持服务终止的沟通机制, 并确保涉及网络安全的组件或系统能安全报废。

外部管理部分, 包括供应商管理、 用户管理 , 具体内容包括 :

(1) 供应商管理:建立供应商网络安全管理制度, 加强对相关供应商的网络安全管理要求;

(2) 用户管理:建立面向用户的网络安全管理工作 , 明确用户主动告知 , 搭建网络安全军件的用户沟通机制。

(二)体系建设路线

汽车网络安全管理体系建设可遵循 POCA 的过程模型 ,从调研与差距分析、 建设实施及评价优化三个阶段开展。

调研与差距分析

为增强企业对汽车网络安全管理体系的理解, 提升管理体系实施的有效性 , 在项目建设初期 , 结合 ISO/SAE 21434、 WP.29 R155 等国内外法规 , 通过调研的方式开展差距分析。

调研内容包括整体安全管理、 概念阶段、 研发阶段、 生产阶段、 运维阶段及报废阶段所涉及的网络安全领导架构设罢、 网络安全部门设翌及人员配备、 内部文件 、 原有管理相关文件、需要遣守法律法规的相关文件、应急处罢记录、全生命周期生产流程控制文件、测试指南、作业指导书、已开展的安全服务、网络安全培训悄况等信思。调研具体活动包括:调研准备、现场访谈、文件预审、调研输出阶段。

调研准备阶段:采用定制的调研问卷进行调研, 了解企业网络安全管理的总体概况,如组织机构、 内部文件、 原有管理相关文件、 已开展的安全服务、 网络安全培训悄况等。通过此活动 , 可定位调研访谈部门 , 制定具有针对性的调研访谈计划 , 为后续的调研访谈阶段提供输入。

调研访谈阶段:组织相关人员召开访谈会议, 深入了解企业现有网络安全现状, 同时以访谈记录为依据, 梳理企业现有网络安全管理体系框架和相应的管理文档。

文件预审阶段:审查企业现有的网络安全管理相关文件, 明确企业现有的网络安全管理内容, 同时与相关人员就网络安全管理体系框架、 管理文档内容进行沟通、 讨论 , 分析梳理出网络安全管理体系建设范围及下一步工作计划 , 制定网络安全管理体系实施方案 ,为网络安全管理体系建立提供依据及指导。

调研输出阶段:基千对企业网路安全现状的调研, 对标 R155、 ISO/SAE 21434 等相关法规及标准要求 , 评估企业网络安全管理现状与合规要求的偏离性 , 输出差距分析报告。

建设实施

汽车网络安全管理体系的建设从整体管理、 概念阶段、 产品研发阶段、 生产与运维阶段及报废阶段网络安全管理体系开展, 重点关注各阶段管理人员角色、 开展活动时间节点、具体开展的活动 、 相关输入输出及各阶段间交互关系, 建设内容框架如图 11 所示。

整体网络安全管理主要包括: O整体网络安全组织架构、 岗位职贵、 网络安全目标、网络安全治理流程及网络安全文化;@网络安全内部监控、 审计以及评定机制以及绩效考核机制建设;@制定网络安全共享机制;@制定第三方供应商管理流程(如合同条款约束, 应急晌应流程、 产品涌洞修侄义务)等。

概念研发阶段管理主要包括:©依据网络安全目标对整车、 零部件等进行网络安全需求分析 , 并将需求有效地传递给对应的硬件和软件的过程和方法;@结合汽车网络安全需求进行汽车网络安全架构设计的管理流程, 明确软硬件网络安全要求、 组件接口规范、 通信协议规范等的过程和方法;@汽车网络安全栠成和验证流程, 提出关千测试方法、 测试工具、 测试用例库等管理建议。

生产阶段管理主要包括:©制定产品在生产阶段所应遗循的汽车网络安全要求, 以避

免在产品生产过程中引入新的汽车网络安全问题;@建立生产阶段网络安全管理流程;

运维阶段管理主要包括:@制定用于指导开展汽车产品网络安全军件应急晌应的规范, 建立汽车网络安全升级要求和相应职贵;@建立网络安全串件晌应及管理机制;@制定谝洞管理流程;@建立产品监控、 检测与晌应的工作流程;

报废阶段管理主要包括: O建立网络安全支持服务终止的沟通机制;@提供车型产品后开发阶段关于网络安全要求的说明;

体系规范文档分为四个等级, 如下图 12 所示。 一级文档是方针策略 , 为企业关干汽 车产品的网络安全总的方针政策;二级文档是规范程序 , 是体系文档的核心 , 包含了汽车 网络安全的管理要求;三级文档是指南手册 , 根据实际悄况 , 针对具体流程, 形成关干活动开展的具体流程与相关负贵人;四级文档是记录表单, 为体系实际运行结果提供记录模板文档。 企业可依据自身的实际悄况调整文件架构与对应产出, 确保形成内控机制的适用性 有效性。

评价优化

在整车全生命周期网络安全管理体系搭建完成后 , 按照管理体系规范文档的控制要求, 企业应对网络安全管理体系文件发布实施, 进入试运行阶段。

在体系运行初期, 开展网络安全管理体系运行推广, 及时解决体系试运行过程中遇到的管理要求、 运行方式等方面的问题, 充分做好体系试运行工作及网络安全管理相关知识的传递宣赁工作。在体系试运行阶段, 通过推演 、 模拟、 选取合适车型产品等方式(具体实施方法视惜况而定)及时发现体系文件本身存在的问题, 找出问题根源 , 采取纠正措施 , 并按照持续改进控制程序要求对体系予以改进, 确保达到完菩网络安全管理体系建设的目标 保证体系运行的有效性和适宜性。

相关推荐
0zxm13 分钟前
06 - Django 视图view
网络·后端·python·django
hao_wujing43 分钟前
网络安全攻防演练中的常见计策
安全·web安全
轩辰~1 小时前
网络协议入门
linux·服务器·开发语言·网络·arm开发·c++·网络协议
燕雀安知鸿鹄之志哉.1 小时前
攻防世界 web ics-06
网络·经验分享·安全·web安全·网络安全
Mitch3111 小时前
【漏洞复现】CVE-2015-5531 Arbitrary File Reading
web安全·elasticsearch·网络安全·docker·漏洞复现
ProcessOn官方账号2 小时前
如何绘制网络拓扑图?附详细分类解说和用户案例!
网络·职场和发展·流程图·拓扑学
Ven%2 小时前
如何在防火墙上指定ip访问服务器上任何端口呢
linux·服务器·网络·深度学习·tcp/ip
神的孩子都在歌唱3 小时前
TCP/IP 模型中,网络层对 IP 地址的分配与路由选择
网络·tcp/ip·智能路由器
阿雄不会写代码3 小时前
ubuntu安装nginx
linux·服务器·网络
网安-轩逸3 小时前
网络安全核心目标CIA
安全·web安全