ISO/SAE 21434《道路车辆-信息安全工程》解读
近日,国际标准化组织(ISO)正式发布了ISO/SAE21434“(道路车辆信息安全工程)”(以下简称“ISO/SAE 21434”)。作为当前汽车信息安全领域最重要的国际标准之一,ISO/SAE 21434的发布将为汽车全生命周期的信息安全过程管理及信息安全管理体系建设提供有力支撑。为了解此项标准的制定背景、主要内容、标准发布的意义,对企业带来的变化,《产品安全与召回》记者对中国汽车技术研究中心有限公司(以下简称“中汽中心”)首席专家、汽车标准化研究所所长王兆进行了专访。
ISO/SAE 21434旨在解决汽车信息安全问题
智能网联汽车的出现使汽车由移动私人空间转变为可移动的智能网络终端。伴随着汽车与外界的交互手段不断丰富,车与外部的信息交互变得越来越普及,而对汽车的网络攻击与威胁也正在快速增长。“万物互联给汽车信息安全带来了新的风险,但传统的汽车安全标准并没有充分涵盖信息安全这一主题,需要通过标准来解决汽车的信息安全问题。”王兆指出。
为了应对汽车整个生命周期中可能出现的信息安全相关的威胁,国际标准化组织(ISO)和美国汽车工程师学会(SAE)联合相关组织机构及OEM制造商等多方共同起草了ISO/SAE21434,就产品全生命周期和供应链相关的信息安全管理方式达成了共识。
据王兆介绍,ISO道路车辆技术委员会车辆电气、电子部件及通用系统分技术委员会下设的信息安全工作组(ISO/TC22/SC32/WG11)早在2016年1月就开始启动了ISO/SAE21434标准的制定工作,同年5月完成新项目投票(Newproject, NP),2018年9月进入委员会草案(Committee draft, CD)阶段,2020年6月进入国际标准草案(Draft International Standard, DIS)阶段,2021年7月进入最终国际标准草案(FinalDraft International Standard, FDIS)阶段,并于2021年8月31日正式发布。
ISO/SAE 21434实现“全局”“一域”并重
在王兆看来,ISO/SAE21434作为联合国发布的UN R155“Cyber security and cyber security management system(汽车信息安全与信息安全管理体系)”法规的落地支撑文件,为企业提供了一套方法论,一是在企业管理方面提出了信息安全相关的整体要求,使企业能从全局维度建立信息安全流程与机制,做到“谋全局”;二是在汽车产品开发流程方面提出了信息安全的细化要求,使企业在其产品的全生命周期中分阶段地将信息安全威胁导致的风险降低到合理范围,做到“谋一域”。
“在ISO/SAE 21434发布之前,业内讨论汽车信息安全时使用不同术语的现象很普遍,汽车行业对‘信息安全管理体系’等问题未达成统一共识,这给理解信息安全以及如何减轻风险带来了困难。”王兆认为,标准明确了汽车信息安全相关的术语和定义,为汽车行业使用通用的信息安全“语言”提供了参考,同时定义了与车辆产品信息安全工程相关的目标、要求和指南,帮助企业应对不断变化的技术和网络攻击,并促进整个供应链针对产品的安全设计开发达成共识,为产品及其全生命周期的信息安全提供了理论依据,为企业及相关供应链的安全体系建立,为行业的安全管理都发挥了重要作用。
深度参与标准制定 积极贡献中国智慧
“ISO/SAE21434制定期间ISO/TC22/SC32/WG11以线上线下等方式召开数十次工作组会议,汇集来自德国、美国、日本、中国等数十个国家的代表历时5年最终完成,是当前汽车信息安全领域最重要的国际标准之一。”王兆感慨道。
王兆向记者介绍了我国参与国际标准制定的情况,作为国家标准委和工信部授权的国际标准化组织道路车辆技术委员会(ISO/TC22)国内对口单位,在主管部门的指导下,中汽中心在项目启动初期就组织华为技术有限公司、东软集团股份有限公司、北京奇虎科技有限公司、广州汽车集团股份有限公司、上海机动车检测认证技术研究中心有限公司、国汽(北京)智能网联汽车研究院有限公司、泛亚汽车技术中心等中国专家全程跟踪并参与制定ISO/SAE21434国际标准。
“2019年2月18日至22日,中汽中心在深圳承办了ISO/TC22/SC32/WG11汽车信息安全工作组第九次会议,来自中国、德国、美国等10余个国家的代表团出席会议,中国代表团出席此次国际会议,深度了解并参与了国际信息安全标准的制定。”王兆对这次会议记忆犹新。
在项目研究制定期间,中汽中心就阶段性草案及部分技术问题开展了广泛的意见征集与反馈,向工作组多次提交相应提案和建议。“我们累计提案反馈意见数量过百,超过半数被采纳,认真履行成员单位投票职责,充分表达中国汽车行业的意见诉求、积极贡献中国专家的提案建议,促使我国汽车信息安全标准与国际接轨。”对此王兆深有感触。
标准全方位保障整车产品及企业的信息安全
ISO/SAE21434总共15章,对车辆的信息安全提出全面要求。对于各章的主要内容,王兆作了简要解释。
标准1~3章是范围、参考以及术语定义,第4章是标准总则。
标准的5~8章是在企业的整体管理方面提出的信息安全相关要求,其目的是希望企业建立信息安全流程与机制,做到“谋全局”。第5、6章宏观介绍车辆信息安全的总体要求,包括整体信息安全管理以及基于项目的信息安全管理,这一部分从文化治理、信息共享、工具管理、体系审核以及项目管理等方面提出信息安全要求,为产品全生命周期信息安全管理提供指导性方针以及基本工具和流程。第7章“分布式信息安全活动”依据当前车辆分布式合作开发的背景,对供应商准入、能力记录、责任分布等供应商管理相关的信息安全活动提出要求。第8章是从信息安全监控、信息安全事件评估、漏洞分析与管理等方面对持续信息安全活动提出的相关要求。
标准的9~14章节按照产品全生命周期的顺序,定义了概念设计、研发、验证、生产、运维以及报废等各阶段对于车辆信息安全的要求,其过程包括相关项定义,定义了信息安全目标、概念及要求,信息安全架构设计与优化、软件开发、集成与测试、信息安全验证、信息安全生产控制、信息安全应急响应、远程更新与升级以及报废等诸多环节,贯穿产品全生命周期。这部分内容是对汽车产品开发流程提出的信息安全相关要求,其目的是在产品全生命周期中分阶段将信息安全威胁导致的风险降低到合理的范围,做到“谋一域”。
第15章则提出了保障车辆信息安全不可或缺的风险评估方法论——TARA,该方法通过资产识别、威胁场景识别、影响评级、攻击路径分析、攻击可行性评级、风险判定以及风险处理等步骤,全方位管控信息安全风险,将其控制在合理的范围内。
“各个信息安全活动相互支撑,环环相扣,各司其职,共同保障着整车产品及企业的信息安全。”王兆总结道。
标准的发布对各相关方均带来重要影响
ISO/SAE21434全面规定了道路车辆及其部件和接口的信息安全要求,详细描述了如何根据信息安全问题实现车辆信息安全管理目标,是目前汽车信息安全领域在政府监管、行业指导以及企业内控的重要参考文件,也是社会各界在汽车信息安全领域达成的重要共识。王兆指出,标准的发布对各相关方均带来重要影响,对监管部门、行业以及企业都提出了相关要求,并将发挥重要作用。
在政府监管层面,标准针对车辆产品全生命周期中涉及的威胁分析、风险管理、安全设计多维度信息安全问题提出了一套新的工程方法论,可为政府主管部门对汽车信息安全问题的流程管理提供重要参考。
在行业指导层面,标准定义了与车辆产品信息安全工程相关的词汇、目标、要求和指南,可帮助企业应对不断变化的技术和网络攻击方法,并促进整个供应链针对产品的安全设计开发达成共识。
在企业内控层面,此标准中提供了一套结构化的流程,从组织与产品两个维度开展,有助于强化整体信息安全意识,规范内外部信息安全行为,强化信息安全风险的管控能力,从而协助企业建立完善的信息安全内控机制,保障汽车产品安全水平、提升企业品牌形象。
推进推荐性国家标准《道路车辆 信息安全工程》制定
ISO PAS 5112“Roadvehicles—Guidelines for auditing cybersecurity engineering”《道路车辆 信息安全工程审核指南》是ISO/SAE21434的配套实施细则,已于2020年5月28日召开线上会议正式启动,来自中国、德国、日本等共计40余名成员共同参与了本项目,“由中国代表作为TG5联合组长,组织国内外行业专家围绕‘审核问卷’等重点章节开展研讨与编制,预计该标准将于2021年末发布。”提及与ISO/SAE21434相配套的相关标准或文件,王兆如是说。
国际标准已经发布了,各相关方参考ISO/SAE21434如何对汽车信息安全问题进行管控、规范行业生态、建立企业的信息安全管理体系等都是目前亟待攻克的问题。王兆认为,特别是对于企业而言,标准为企业应对国内外合规监管要求、开展汽车全生命周期的信息安全过程管理提出了新的要求。“因此企业需要重点考虑如何根据该标准,强化企业整体信息安全意识,规范内外部信息安全行为,提升信息安全风险的管控能力。”
对标国际标准我国将开展哪些工作呢?目前,中汽中心牵头组织行业专家正在推进将国际标准ISO/SAE21434 " Road vehicles-Cybersecurity Engineering" 转化为推荐性国家标准《道路车辆 信息安全工程》。“在国家标准制定过程中,我们更加关注标准相关要求的可实施性,以及对企业实际应用的指导作用。ISO/SAE21434国标转化后将配合国内的汽车信息安全标准体系共同发挥作用。后续,我们将继续依托汽车信息安全标准工作组,采用‘管理标准国际同步转化、技术标准国内率先制定、双轨并行协同开展’的工作方式,不断建立健全智能网联汽车‘十四五’标准体系。牢固树立安全发展理念,将信息安全、数据安全作为重要组成部分,进一步加快重点标准的制修订工作,以标准法规促进并引领产业安全健康发展。”王兆最后表示。 {:1_97:} 感谢分享!
感谢分享! 谢谢分享 {:1_180:}{:1_180:} {:1_180:} 感谢分享! 感谢分享! 谢谢分享