现如今,随着各种智能网联汽车和自动驾驶汽车的出现,汽车连接性功能、车辆维护和交通安全信息共享等变得越来越普及,与此同时也增加了不同动机的黑客攻击车辆的可能性,从而给汽车网络安全带来了新的风险。基于此,ISO国际标准化组织于2021年8月31日正式发布ISO/SAE 21434道路车辆信息安全工程标准,今天就跟着擎标一起来详细了解一下吧。
一、ISO21434介绍
ISO 21434《道路车辆-网络安全工程》,是汽车行业的新标准,它旨在通过确保适当考虑网络安全,使车辆电子电气系统工程可以应对最先进的技术和不断进化的攻击手段。
ISO 21434标准明确了与网络安全相关的术语、目标、要求和指导方针,制定了一个结构化的抽象框架,以帮助包括整车制造商以及供应商在内的整个供应链共同理解并应对网络安全威胁,系统性管理网络安全风险。该标准覆盖管理、活动、概念、开发、生产、运维、报废等全生命周期各个阶段,包括以下方面:
● 组织级网络安全管理
● 基于项目的网络安全管理
● 分布式网络安全活动
● 持续性网络安全管理活动
● 概念阶段网络安全管理
● 开发阶段网络安全管理
● 生产阶段
● 开发后阶段网络安全管理
● 威胁分析与风险评估
ISO21434架构图
二、ISO21434适用企业
ISO 21434涉及到从设计、开发、测试到维护和升级的全生命周期,适用于道路车辆OEM以及各级供应商,如:
▶ 车辆制造商
▶ 基于硬件和软件的组件和系统的供应商
▶ 工程服务供应商
▶ 软件和信息和通信技术基础设施提供商
三、申请条件
要获得ISO 21434认证,通常需要具备以下条件:
1、专业团队:需要具备经验丰富的汽车网络安全专家团队,能够负责制定和实施相关的安全措施和风险评估。
2、安全管理制度:需要建立适当的安全管理制度,包括明确的责任分工、安全政策、风险评估和管理流程等。
3、风险评估:需要进行全面的风险评估,识别潜在的网络安全威胁和漏洞,并采取相应的措施进行风险控制和管理。
4、安全生命周期管理:需要在整个汽车开发和生产周期中,采用安全生命周期管理方法,从需求定义、设计、实施、测试、维护等各个环节中考虑和实施网络安全措施。
5、安全培训和意识:需要向相关人员提供适当的安全培训,提高他们对汽车网络安全的认识和意识,并确保他们能够按照安全要求执行相关工作。
6、安全测试和验证:需要进行严格的安全测试和验证,包括功能安全测试、网络安全漏洞扫描、安全加密算法验证等,确保汽车系统的网络安全性能符合标准要求。
7、安全文档和记录:需要编制和管理相应的安全文档和记录,包括安全策略、安全需求规格、安全设计文档、安全测试报告等。
(以上是对ISO 21434认证的一般要求概述,具体的认证步骤和要求可能因组织和标准要求的不同而有所差异。想要详细的认证要求和指南,可以联系我们)
四、办理流程
1、了解客户需求,明确产品范围、项目覆盖范围,过程域裁剪情况;
2、差距分析及培训;
3、体系策划与试运行;
4、体系运行有效性测量;
5、外部审核
▶ 根据组织的规模及业务类型提供定制化的建议,在您签署合同后,审核即可开始。
▶ 提供可选择的针对准备情况与薄弱环节的“预审”服务。
▶ 正式审核。
第一阶段—— 准备情况评估:对组织建立的文件化体系及其他重要体系进行评估, 提出不符合项。
第二阶段:包括与工作人员面谈、文件记录的检查以及对工作实践的现场考察,提出审核发现。审核合格后会签发证书。
▶ 根据合同,每半年或一年对体系和整改计划的实施进行监督审核。
▶ 证书签发满3年期后,实施再认证审核。
五、企业完成ISO 21434认证的好处
1、增强车辆安全性
ISO21434标准要求企业在整个汽车开发生命周期中采取安全性的工作流程和措施。通过有效的风险评估和管理,企业可以识别和消除潜在的安全威胁,从而提高车辆的安全性。
2、符合相关法规
汽车行业受到许多国家和地区的法规和标准的监管,如欧洲的GDPR、美国的CCPA等。ISO21434标准提供了符合这些法规要求的框架,有助于企业合规,并避免可能的法律风险和罚款。
3、提升企业声誉
通过申请ISO21434认证,企业可以向客户、供应链伙伴和利益相关者展示其对汽车安全的承诺。这有助于树立企业良好的声誉和可靠性,增加市场竞争力。
4、防止数据安全风险
ISO21434标准关注车辆的网络安全,要求企业在设计和开发过程中考虑数据的保护措施,以防止黑客攻击和数据泄露。
5、降低成本与风险
企业可以更有效地管理安全风险和应对潜在的安全问题,从而降低可能的事故和召回成本。此外,合规于标准还有助于避免潜在的法律诉讼和损害赔偿。
ISO/SAE 21434的发布标志着汽车网络安全新时代的到来。它为制造商以及更广泛的供应链提供了一个框架,以有效管理风险,确保汽车的最高安全水平。