《汽车企业信息安全管理体系应用研究》 By 韩迪 姜山

李星星

随着汽车行业“新四化”进程快速发展，信息系统和信息资产已经成为现代汽车企业的重要战略资源，是参与市场竞争的重要手段。信息安全重要性上升至新的战略高度，信息安全管理体系更是汽车行业高速发展的重要基础。汽车产业链条长、涉及环节多、差异化消费需求强烈，是新一轮产业革命的重要抓手，是实现“需求侧改革”的重要力量。但同时，逐渐暴露出来的数据安全问题不止危害消费者，也危害车企、危害行业，甚至将严重制约传统汽车向智能汽车的发展。

近两三年来，我国对信息安全问题的关注和重视程度越来越高，从《网络安全法》到《个人信息保护法》的出台，再到《通用数据保护条例》的提出，以及“工业控制系统信息安全行动计划”，与之相对应的，有关标准也进行了升级和补充。GB/T 22080—2016/ISO/IEC 27001：2013《信息技术安全技术信息安全管理体系要求》提供建立、实现、维护和持续改进信息安全管理体系的要求，标准结构框架与 ISO 9001：2015《质量管理体系 要求》一致，从组织环境、领导、规划、支持、运行、绩效评价、改进几个方面给出了具体要求。信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性、可用性。

一、理解信息安全管理体系的组织环境

组织应确定信息安全管理体系相关方，并且明确这些相关方与信息安全相关的要求，确定信息安全管理体系范围。汽车企业应研究并重视在信息安全方面的国际标准法规现状，例如以处罚金额著称的欧盟通用数据保护条例，还有美国国家标准技术研究院(NIST) 发布的“隐私框架”等，对于正在积极拓展海外业务的中国车企来说，这些都属于影响其实现信息安全管理体系预期结果能力的外部事项，只有符合相关的法规标准，才能更好地助力中国汽车走出去。

二、落实信息安全管理体系的领导作用

“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则。汽车企业的最高管理层应建立起适用企业的信息安全管理体系方针并形成文件，方针应在组织内得到理解，由最高管理者分配责任和权限，授权代表向最高管理者报告信息安全管理体系绩效，而后全方位推行信息安全体系，要求各部门紧密配合，并通过制度规范积极开展宣贯培训，加强日常执行力管理，使之成为信息安全水平和能力印证的一种有效途径。

三、做好信息安全管理体系规划

(一) 建立相关准则

应定义并应用信息安全风险评估过程，建立并维护信息安全风险准则，包括风险接受准则、信息安全风险评估实施准则。

(二) 识别风险来源

1.汽车企业风险主要来源

汽车企业风险的主要来源有以下几个方面：公司的涉密数据遭到泄漏，可能由于员工的违规或不当操作，也可能是因为外部入侵，甚至合作第三方是否尽到涉密数据保护义务也值得注意；汽车生产因安全事件导致中断，例如工控环境感染病毒或外部人员入侵，恶意停止设备运转等；安全合规问题使业务推进受阻，主要包括未达到行业信息安全标准无法上市，或违反跨境数据传输、个人隐私保护相关法规，面临较重处罚；公司研发过程或产品存在安全漏洞，这不仅涵盖已经上市的产品，也涉及供应链引发的产品安全漏洞和运营中的信息系统。

2.智能网联汽车风险来源

智能网联汽车的信息安全风险来源主要包括3个层面：

(1) 系统安全

一方面是软件系统安全，随着软件在汽车占比的逐步提升，软件安全面临较大的风险挑战，如主机厂将软件安装包(APK) 开放下载，容易受到黑客攻击；另一方面是硬件系统安全，对于自动驾驶和自动巡航系统，通过伪造障碍物，干扰毫米波雷达判断，从而逼停车辆或干扰车辆前进，或控制超声波设备发送与汽车相同周期和频率的超声波，干扰汽车等，一旦被攻击，将存在车辆安全事故风险。

(2) 密钥安全

通常采用数据加密的方式实现保护数据隐私，一旦密钥被泄露，加密数据的安全性将荡然无存。例如，通过在远离汽车时录制汽车钥匙信号，实现一次性开门，以及分析解码后通过计算使误差永远在合理范围内，实现无限次开门。攻击者通过插桩调试获取控制信息后逆向分析，从而获取控制流程，并利用脚本通过蓝牙钥匙控制汽车。

(3) 架构安全

汽车内部相对封闭的网络环境也存在可被攻击的缺口，对于外部攻击的防御能力较弱，如车载诊断系统(OBD) 接口、面向媒体的系统传输(MOST) 总线、控制器局域网络(CAN) 总线、串行通讯网络(LIN) 总线、胎压监测系统等。由于CAN总线采用明文通信的机制，如果能够深入到控制CAN 网络，就能够控制相关的电子控制单元(ECU) ，造成危险。

(三) 分析评价信息安全风险

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。利用分析方法及工具分析风险发生后可能导致的潜在后果，分析风险实际发生的可能性，确定风险级别，将风险分析的结果与之前企业建立的准则相比较，为风险处置排序。

(四) 信息安全风险评估过程留痕

汽车企业应保留有关信息安全风险评估过程的文件化信息。只有正确全面地了解风险后，才能在怎么控制风险这个问题上做出正确合理的判断，比如调动什么样的资源、付出什么样的代价、采取什么样的措施去控制、转移等。另外，信息安全建设需基于一定的实际，才能更好地规避风险。风险总是客观存在的，如何去规避，需要具体问题具体分析。

(五) 建立信息安全目标

汽车企业应建立适宜的信息安全目标，通过管理评审对方针目标实现情况进行分析，输出对信息安全管理体系的改进建议。

四、信息安全管理体系的支持

组织应确立并提供建立、实现、维护和持续改进信息安全管理体系所需的资源。资源管理应包括人力资源、基础设施、监视和测量资源等要求。

1.企业应确定影响信息安全绩效的岗位必要的能力要求，通过经验或培训能够胜任工作。

2.使所有员工了解本企业的信息安全方针，采用教育与培训的形式使全员具备信息安全管理意识，可以包括书面安全策略、正式的信息安全培训、员工签订协议遵守组织的安全政策与程序、员工签订的业务保密协议、利用各种媒体在公司内部宣传安全问题(定期刊物、公司主页、录音录像、在线培训等)、安全规定的强制执行、鼓励员工报告可疑事件、阶段性审计等方式。

3.对沟通方式要具体落实，做到分工明确，责任到位。沟通的信息需明确易懂，与信息使用人员的认知水平相适应。沟通方法包括：最常见的电子邮件、即时通讯、会议；其他的如看板、小组讨论、专题会议、员工意见调查和调查结果、意见箱、风险警示、网站、传阅信息等。

4.文件化的信息，汽车企业可根据组织的规模及其活动、过程、产品的类型、过程及其相互作用的复杂性确定必要的文件化信息，确保在需要的地点和时间是可用的和适宜的，同时识别及控制所需的外来文件化信息。

五、信息安全管理体系实施与运行

组织信息安全管理体系受到组织的需要和目标、安全要求、组织所采用的过程、规模和结构的影响，并随着时间的变化而发生变化，更重要的是信息安全管理体系是组织的过程和整体管理体系结构的一部分，并且在过程、信息系统和控制设计中需要考虑信息安全，即信息安全管理体系应与组织的需要相结合，以证实自己控制信息安全的能力，为组织和相关方提供信任。

六、信息安全管理体系的持续改进

信息安全管理体系文件编制完成以后，按照文件控制的要求进行审核批准，向各部门发放现行有效的体系文件，保留体系运行过程中的记录，并定期进行内审和管理评审，对不符合或潜在不符合项采取纠正和预防措施，不断改进信息安全管理体系。

通过审视汽车行业当下的发展趋势，基本可以确定信息安全工作必须开展的必要性，对信息安全方面的国际标准法规现状加以研究并重视，是中国汽车企业发展的必由之路。车联网背景下，信息安全的重要性已经毋庸置疑，信息安全管理体系的建立可以帮助汽车企业规范内部信息安全行为，妥善保护汽车全生命周期中所赖以支撑的各项信息资产，提高企业信息安全风险的管控能力，增强组织抵御灾难性事件的能力。

来源：《中国认证认可》杂志 2022年第6期 作者：韩迪 姜山

gart

wenzhu712

billye

谢谢分享

叶太平

谢谢分享

canon75

xiangmujingli

原点360

yifan99

youyou123