确保整个供应链的汽车信息安全：ISO/SAE 21434

21/12/2023

随着汽车电气化、汽车互联和自动驾驶的大力发展，信息安全对汽车软件和硬件开发变得越来越重要。事实上，今天的高档汽车有70到100个电动代码单元（ECUs），总计1亿行代码，而且这一趋势只会继续增长。到2030年，平均每款车型的软件代码预计将达到3亿行。

联合国R155下的ISO/SAE 21434监管框架确保了整个汽车供应链的信息安全管理。以下是它如何涉及1-3级汽车供应商。

什么是ISO/SAE 21434标准？谁适用于此项标准？

ISO/SAE 21434标准与UNECE第155号法规密切相关，该法规是一套针对车辆信息安全和软件更新的法规要求。这项法规是为了应对日益严重的车辆及其系统网络攻击威胁而制定的，它要求在欧盟销售的所有新车都符合最低信息安全标准。

具体而言，ISO/SAE 21434标准为信息安全管理体系（CSMS）在整个汽车供应链中的实施提供了指引。对车辆制造商、供应商和服务提供商而言，它的实施可以帮助组织提高运营效率，降低成本，提高其在行业中的声誉。

ISO/SAE 21434还可适用于组织或公司遵守其他相关标准和法规，例如：

ISO/SAE 21434标准涉及整个汽车供应链中的所有汽车供应商，从一级到三级。以下是汽车供应链中每一层级的参与方式：

一级供应商：负责与原始设备制造商直接接触的零部件。他们制造复杂的汽车系统，包括方向盘模块、驾驶员辅助系统（ADAS）、安全气囊控制模块和用于整体控制系统的信息娱乐系统。
二级供应商：生产一级供应商使用的零件和子部件，如较小的金属冲压件和焊接件。作为合同制造商，他们主要从事生产到印刷等基础工作，几乎没有或压根没有设计责任。
三级供应商：提供原材料或接近原材料库存的材料，如芯片，然后供二级和一级制造商使用。

汽车供应链中的每个部件都有其架构、硬件和软件，因此，制造商和客户必须意识到潜在的不同风险。

UNECE WP. 29的一部分，联合国R155/R156信息安全和信息安全管理体系（CSMS）法规发布至今已近两年半。这两项要求将在2024年7月前扩展到在欧盟销售的所有新车，无论制造商何时获得该类型汽车的型式批准。

联合国R156要求软件更新管理体系（SUMS）作为未来型式认证的条件，联合国R155要求运行经认证的信息安全管理体系（CSMS）。

作为联合国R155的一部分，ISO/SAE 21434通用框架是确保信息安全管理体系可以分布在整个汽车供应链中的一种手段。

威胁分析和风险评估（TARA）作为一种综合方法，可确保所有原始设备制造商实施适当有效的网络攻击风险缓解措施。TARA的主要要求之一是确保这些制造商有一个信息安全管理体系来评估整个车型的风险管理。

这就是为什么即使最近的UNECE第155号法规只要求汽车制造商拥有自己的信息安全管理体系，管理和缓解信息安全的压力也将落在他们的供应商身上。这意味着1-3级供应商也必须实施自己的信息安全管理体系，幸好这可以通过ISO/SAE 21434认证来确保。

ISO/SAE 21434合格证书确保供应商能够在产品的整个生命周期（从概念到退役阶段）内管理其产品的网络风险。这包括在合理的时间内检测和响应安全事件。

为了根据ISO/SAE 21434要求规范成功实施信息安全管理体系，了解规范词汇表、每个要求的目的以及如何在整个组织结构中实施这些要求至关重要。

组织必须确保员工发挥积极作用。我们建议进行培训，分配角色和职责，并灌输基本的信息安全知识。

在执行之前定义其信息安全管理体系的范围也是关键。这包括对其当前实施状态进行差距分析，并重点关注需要改进的关键点。一旦完成，每个目标都需要由一个特定的活动来支持以确保最终执行完成。

最后一步是检查是否满足要求，如果出现任何偏差，则需要进行必要的调整。这个过程可以根据需求重复多次，直到达到最终目标。

在汽车行业，独立实验室可以通过颁发合格证书来证明是否满足ISO 21434等的特定要求，从而帮助供应商重新建立与汽车制造商之间的信任。

在Applus+ Laboratories，我们提供完整的一站式服务，以确保在整个汽车供应链中符合重要的信息安全要求，包括ISO/SAE 21434:2021标准实施。这包括：

此外，我们的信息安全专家可以对汽车零部件和整车进行渗透测试，并提供准确的报告来衡量ISO 21434的合规性。

我们拥有客观性、专业知识、透明度和法规合规专业知识。我们的能力为我们成为寻求满足特定产品、服务和组织要求的企业、消费者和监管机构值得信赖的合作伙伴提供坚实基础。