文│中汽研华诚认证(天津)有限公司 刘金松 杜宏生 林毅
快速迭代信息网络技术,广泛应用物联网、大数据、人工智能等新技术,加快汽车新四化进程,不可避免地给汽车行业带来了信息安全问题,如网络安全环境恶化、商业秘密信息盗窃频发等。近年来,国家出台了一系列信息安全相关法律法规,逐步加强信息安全监督,完善信息安全保障体系。近年来,国家出台了一系列信息安全相关法律法规,逐步加强信息安全监督,完善信息安全保障体系。在研发、生产、采购和销售服务过程中,汽车行业企业可能随时与供应商和服务提供商处理高度敏感的信息,对信息安全管理和控制的市场需求也在急剧增长。目前,汽车行业面临着许多挑战,如合规性、信息安全管理和风险防控,这充分表明汽车企业迫切需要增加对信息安全的资源投资和有效控制。
数字赋能汽车产业创新,将信息安全管理提升到新的战略高度,其覆盖维度已逐步贯穿整个汽车产业价值链。汽车新四化进程加快,汽车新四化大厦需要坚实的信息安全体系给予充分保障和有力支持。
一、现状分析
国标信息安全管理体系 GB/T 22080-2016 国际标准际标准 ISO/IEC 27001: 本系列标准将信息安全定义为保密性、完整性和可用性,包括真实性、可验证性、不可否认性和可靠性,保密性、完整性和可用性是信息安全最重要的三个维度。基于持续的风险评估,建立和实施信息安全管理体系,监督、评估和改进体系运行 PDCA模型是实施、运行、监控和完善信息安全管理体系的过程方法。据不完全统计,2021年 2000年,中国汽车行业只有大约100家企业获得了信息安全管理体系认证。一个非常重要的原因是,一般信息安全管理体系认证不能完全满足汽车企业的特殊要求。
多年前,国外汽车组织开始布局信息安全,德国汽车工业协会 VDA 发展汽车行业信息安全评价标准 ISA,与欧洲汽车工业安全数据交换协会合作 ENX 建立了可信息安全评估交换机制 TISAX,TISAX 面向所有 VDA 成员单位和汽车OEM,评估汽车企业的信息安全,评估结果在成员组织之间相互认可、交换和信任,在一定程度上实现了汽车企业之间的安全互信。TISAX采用的 VDA-ISA 是基于 ISO/IEC 27001 本标准增加了原型保护和数据保护的相关要求,不能充分反映国内主要原始设备制造商的特殊要求,也不能满足我国信息安全相关法律法规的要求。目前,我国汽车工业企业的客观情况和实际需求未得到充分满足。目前,大众等德国汽车公司已经被采用 TISAX 为了提高其信息安全管理能力,并在中国逐步推广评估体系,华为、宁德时代等德国供应商相继接受 TISAX 评估。
汽车行业企业为了合规、信息安全管理和风险防治,迫切需要建立一套符合中国汽车行业客观现实、可靠的信息安全管理评价体系,为提高国内原始设备制造商及其供应链的信息安全管理水平提供有力支持,以应对这种严峻的行业形势。由此可见,建立适我国汽车行业的信息安全体系可靠性评价机制(以下简称 CARISSA)迫在眉睫。
二、目标定位
图1 CARISSA 目标定位
CARISSA 充分融入国家信息安全相关法律法规要求,支持汽车企业数字化转型、工业控制系统信息安全、汽车产品网络安全管理等相关领域的发展。最终推动整个汽车行业信息安全体系管理的创新发展。
(一)国家层面
信息安全是国家长治久安的重要战略防线和底线。
(一)国家层面
信息安全是保护国家安全的重要战略防线和底线,关系到国家的长治久安。长期以来,国家高度重视信息安全工作。近年来,出台了《网络安全法》、《数据安全法》和《个人信息保护法》。与此同时,国家也在加快制定智能网络汽车信息安全相关政策和标准,对信息安全的监督和要求也越来越严格。2021 年 8 作为汽车行业主管部门,工业和信息化部发布了《关于加强智能网络汽车制造商和产品准入管理的意见》,对智能网络汽车制造商和产品网络安全管理提出了明确要求。
(二)企业层面
ipadqq:iOS版手机QQ最新的内测版适合苹果iPad
在国家新四个现代化战略改进的要求下,汽车企业将数字化建设纳入十四五发展规划和战略布局,加快核心业务数字化转型升级,通过数字化发展促进业务创新。随着汽车行业数字化建设的深入,信息安全不仅局限于车辆的信息安全,而且贯穿于企业管理、研发和生产的各个方面。数字企业的正常运行离不开信息技术和信息资源的支持。一旦一些重要的文件和数据信息丢失、损坏或不能及时交付,将给企业造成不可弥补的巨大损失。信息安全作为支撑和保障汽车行业企业数字化转型的关键环节,其重要性不言而喻。
(三)工厂层面
在汽车企业数字化、网络化、智能化转型发展的趋势下,一些汽车制造厂的工控系统面临着前所未有的安全隐患。作为汽车制造企业生产经营的核心,工业控制系统是一个高度自动化、智能化、网络化的生产线控制管理系统。工业控制系统的信息安全不仅涉及生产管理层、生产控制层和设备层的信息安全,还涉及各层之间的边界保护。可以看出,在当前形势下,加强工业控制系统信息安全的紧迫性越来越突出。因此,促进工业控制系统的信息安全管理和应急响应系统建设,对提高汽车企业的工业控制安全保护水平,提高和优化工业控制安全保障能力具有重要意义,护送汽车企业建设智能工厂,实现智能制造。
(四)产品层面
随着信息技术和数字技术应用的深入,汽车互联网正逐渐成为汽车行业的新增长点。在不断推进智能和网络化的过程中,网络攻击、木马病毒等互联网安全威胁也逐渐渗透到汽车互联网领域。ISO/SAE 21434:2021《道路车辆-网络安全工程标准》是联合国世界车辆法律法规协调论坛WP.29 网络安全法规 R155 的关键支撑标准,于 2021 年 8月底正式发布。本标准从企业管理体系和产品生命周期的角度提出网络安全风险管理要求和评价方法,贯穿车辆的整个生命周期 V 模型产品开发过程涵盖概念、开发、生产、运维、报废等阶段,致力于解决车辆网络安全问题,提高智能车辆网络安全防护能力。
三、总体思路
CARISSA 随着行业信息安全管理体系的发展,该体系将逐步完善,成为保障汽车行业信息化、数字化、网络化、智能化发展的坚实基础。提高汽车产业链信息安全管理能力和水平。
图2 CARISSA 总体思路
(一)评价标准
基于 GB/T 22080-2016(ISO/IEC 27001:2013)信息安全管理体系要求标准,融入我国网络安全法、数据安全法等相关法律法规要求,计划涵盖汽车行业信息安全管理的特殊要求,如系统开发、运维、通信安全和信息安全事件管理,制定汽车行业信息安全管理体系的要求标准和评价标准,为汽车企业实施信息安全管理体系评价提供重要参考依据,促进汽车企业进一步加强其组织结构各方面的信息安全管理,规范信息安全工作,促进更有效的管理和控制手段,最终实现信息安全的系统管理和风险防控。
(二)评价规则
根据汽车行业信息安全体系评价标准和汽车行业企业的特殊要求,编制信息安全体系评价实施规则,为国内不同规模、类型的企业提供信息安全体系综合评价,根据不同模块的需求,提供科学、专业、权威的等级评价结果。此外,该规则还将规定信息安全系统评估流程的实施,并对评估机构和评估人员提出相关要求,确保评估过程的实施可控,形成一套符合汽车行业实际情况的信息安全系统可靠性评估技术方案。
(3)评估服务平台
通过建立汽车行业信息安全系统评价管理平台,致力于实现统一的评价规模、直观的定量结果和准确的管理比较,为企业提供信息安全系统评价结果发布、报告查询等相关服务。此外,汽车企业还可以通过平台选择优质的信息安全管理供应商或服务提供商。此外,汽车企业还可以通过平台选择优质的信息安全管理供应商或服务提供商。
四、结 语 信息安全问题正逐渐成为整个汽车行业面临的一个极其重要的课题,信息安全系统管理对汽车企业的重要性日益突出。面对这种严峻的形势,汽车企业迫切需要建立评价模式,根据标准和规则评价当前信息安全系统的管理状况,发现和改进信息安全问题,加强信息安全意识和能力,降低信息安全风险。因此,通过建立适用于我国汽车行业的信息安全体系可信度评价机制迫在眉睫 CARISSA 评估和实施可以为提高国内原始设备制造商和供应链的信息安全管理水平提供强有力的支持和保障,帮助提高汽车行业整个产业链的信息安全管理能力和水平。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。
标签:
评论