引言
随着汽车行业进入数字化时代,网络安全已经成为了行业关注焦点。欧盟的UNECE R155标准已经出台并实施了一段时间,为全球汽车行业树立了一个重要的参考标准。
与此同时,国内也积极推动自己的包括强标《汽车整车信息安全技术要求》(以下简称GB整车强标)在内的一系列汽车网络安全强制标准,涵盖了从信息安全管理体系要求到车辆型式的变更和扩展等多个方面。
那么,这两套标准之间有哪些异同呢?哪些地方我们可以互相借鉴,又在哪些地方我们有所创新?
本文将深入探讨这两套标准的细节,希望可以给车企的合规建设提供更多的思考和助力。
GB整车强标是高度参考R155要求制定的,在CSMS系统要求上基本保持一致,但在技术要求、审核方式上存在一定的差异,两者的关键不同点如下:
01 汽车信息安全管理体系要求
R155针对所有UN1958缔约国生效,GB整车强标只针对中国生效。
02 VTA对象不同
R155可以针对E/E架构平台开展,一次认证可以应用于多个具体车型,而GB整车强标是针对每个具体车型开展认证,以及对同一形式判定方式有部分内容不同。
03 信息安全技术要求
R155强调过程,GB整车强标强调具体要求。R155的具体要求完全依赖TARA分析产生,范围至少需要覆盖附录5中的内容,R155的VTA测试内容不是固定的,而GB整车强标则明确了具体的技术要求及测试方法,测试内容、测试方法是基本固定的。
汽车信息安全管理体系要求中的GB整车强标和R155之间的对比如下:
·车辆制造商应具备车辆全生命周期的汽车信息安全管理体系
在这一点上,GB整车强标和R155都有相关的要求,它们之间没有差别。
·建立企业内部管理汽车信息安全的过程
同样,GB整车强标和R155都对企业内部的汽车信息安全管理过程提出了要求,两者之间也没有差别。
·建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到处置的过程,并确保车辆风险评估保持最新状态
GB整车强标和R155均有该要求,但R155更为具体和细致。它要求威胁分析需要覆盖其附录中(Annex 5)列出的威胁,并且R155的附录中还提供了相关的风险处置方式可以供参考。这意味着R155提供了一个更具体和指导性的框架来进行威胁分析和风险处置。
·建立用于车辆信息安全测试的过程
在这方面,GB整车强标和R155都有相应的要求,两者间无差别。
·建立针对车辆的网络攻击、网络威胁和漏洞的监测、响应及漏洞上报过程
尽管GB整车强标和R155都强调了需要对网络攻击、网络威胁和漏洞进行监测和响应,但是它们在漏洞上报方面存在差异。GB整车强标对漏洞上报有明确的要求,而R155则没有对漏洞上报做出明确要求。这意味着根据GB整车强标的要求,车辆制造商需要有一个明确的漏洞上报机制。
·建立管理企业与合同供应商、服务提供商、车辆制造商子组织之间汽车信息安全依赖关系的过程
在这方面,GB整车强标和R155都有相关的要求,两者间无差别。
总的来看,GB整车强标和R155在多数方面都保持了一致。但R155在识别和处置安全风险时提供了更具体的指导,而GB则在漏洞上报方面有更严格的要求。这些差别突显了两者在保证汽车信息安全方面的拥有不同焦点和方法论,也为企业提供了一个更全面和多元的视角来建立和维护汽车信息安全管理体系。
车辆信息安全一般要求中R155和GB整车强标之间的对比如下:
一致点
·车辆产品开发流程应遵循汽车信息安全管理体系要求
无论是GB整车强标还是R155都强调了需要遵循汽车信息安全管理体系要求。他们都要求在VTA之前获得CSMS认证,不存在明显的差异。
·车辆制造商应识别和管理车辆与供应商相关的风险
这两个标准都要求车辆制造商识别和管理与供应商相关的风险,这里也没有差异。
·车辆制造商应识别车辆的关键要素,对车辆进行风险评估,并管理已识别的风险
GB整车强标和R155都要求进行TARA分析以识别和管理风险,在这一点上也没有差异。
·如有专用环境,车辆制造商应采取措施,以保护车辆用于存储和执行后装软件、服务、应用程序或数据的专用环境
这两个标准都对专用环境的保护有要求,所以这里也没有差异。
·车辆制造商应通过测试来验证所实施的信息安全措施的有效性
两者都强调了需要通过测试来验证控制措施的有效性,因此也没有差异。
·检测和预防网络攻击的措施
在这方面也没有差异,都有对应的条目要求。
·威胁、漏洞的检测能力
这两个标准在这方面也都有对应的规定,没有差异。
·为分析网络攻击、网络威胁和漏洞提供数据取证能力
这两个标准都有这方面的要求,也没有差异。
差异点
·车辆制造商应采取处置措施保护车辆不受风险评估中已识别的风险影响
尽管两者都有相关要求,但基于不同的引用和方法来制定保护措施。GB整车强标是基于第七章的要求进行保护,而R155则是基于TARA分析结果并主要参考Annex 5, Part B和Part C来开展保护。
·密码安全要求
GB整车强标和R155在这方面有不同的要求。GB整车强标规定需要采用符合国际、国家或行业标准的密码模块,而R155没有强制要求加密方式。
·车辆应采用默认安全设置
GB整车强标有明确的要求,而R155没有独立的条目来要求这一点,它是依赖于TARA分析结果来决定的。
·汽车数据处理活动中的数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告知等要求
GB整车强标有具体的要求,需符合特定的规定,而R155没有特定的条目来规定这些要求。
综上所述,GB整车强标和R155在很多方面都是一致的,但也存在一些关键的差异,主要集中在对某些安全要求的具体描述和引用方面。希望这样的对比可以有助于车辆制造商更好地理解两者的区别和相似点!
更多细致解读,且听下回分解。
《汽车整车信息安全技术要求(征求意见稿)》http://www.infosecworld.cn/uploadfile/2023/0918/20230918021752650.pdf
《UN Regulation No. 155-中文版》
http://www.infosecworld.cn/uploadfile/2023/0918/20230918021900837.pdf