随着汽车行业进入数字化时代,网络安全慢慢的变成了了行业关注焦点。欧盟的UNECE R155标准已经出台并实施了一段时间,为全世界汽车行业树立了一个重要的参考标准。
与此同时,国内也积极推动自己的包括强标《汽车整车信息安全技术方面的要求》(以下简称GB整车强标)在内的一系列汽车网络安全强制标准,涵盖了从信息安全管理体系要求到车辆型式的变更和扩展等多个方面。
那么,这两套标准之间有哪些异同呢?哪些地方我们大家可以互相借鉴,又在哪些地方我们有所创新?
本文将深入探讨这两套标准的细节,希望有机会能够给车企的合规建设提供更多的思考和助力。
关注公众号,发送 “GB整车强标”获取《汽车整车信息安全技术方面的要求(征求意见稿)》标准文本;发送“R155”获取UNECE R155《UN Regulation No. 155-中文版》标准文本。
GB整车强标是高度参考R155要求制定的,在CSMS系统要求上基本保持一致,但在技术方面的要求、审核方式上存在一定的差异,两者的关键不同点如下:
R155可以针对E/E架构平台开展,一次认证能应用于多个具体车型,而GB整车强标是针对每个具体车型开展认证,以及对同一形式判定方式有部分内容不同。
R155强调过程,GB整车强标强调具体实际的要求。R155的具体实际的要求完全依赖TARA分析产生,范围至少需要覆盖附录5中的内容,R155的VTA测试内容不是固定的,而GB整车强标则明确了具体的技术方面的要求及测试方法,测试内容、测试方法是基本固定的。
同样,GB整车强标和R155都对企业内部的汽车信息安全管理过程提出了要求,两者之间也没有差别。
·建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到处置的过程,并确保车辆风险评估保持最新状态
GB整车强标和R155均有该要求,但R155更为具体和细致。它要求威胁分析需要覆盖其附录中(Annex 5)列出的威胁,并且R155的附录中还提供了相关的风险处置方式能供参考。这在某种程度上预示着R155提供了一个更具体和指导性的框架来进行威胁分析和风险处置。
尽管GB整车强标和R155都强调了需要对网络攻击、网络威胁和漏洞进行监测和响应,但是它们在漏洞上报方面存在一定的差异。GB整车强标对漏洞上报有明确的要求,而R155则没有对漏洞上报做出明确要求。这在某种程度上预示着根据GB整车强标的要求,车辆制造商需要有一个明确的漏洞上报机制。
·建立管理企业与合同供应商、服务提供商、车辆制造商子组织之间汽车信息安全依赖关系的过程
总的来看,GB整车强标和R155在多数方面都保持了一致。但R155在识别和处置安全风险时提供了更具体的指导,而GB则在漏洞上报方面有更严格的要求。这些差别突显了两者在保证汽车信息安全方面的拥有不同焦点和方法论,也为公司可以提供了一个更全面和多元的视角来建立和维护汽车信息安全管理体系。
无论是GB整车强标还是R155都强调了需要遵循汽车信息安全管理体系要求。他们都要求在VTA之前获得CSMS认证,不存在很明显的差异。
这两个标准都要求车辆制造商识别和管理与供应商相关的风险,这里也没有差异。
·车辆制造商应识别车辆的关键要素,对车辆进行风险评估,并管理已识别的风险
GB整车强标和R155都要求进行TARA分析以识别和管理风险,在这一点上也没有差异。
·如有专用环境,车辆制造商应采取一定的措施,以保护车辆用于存储和执行后装软件、服务、应用程序或数据的专用环境
尽管两者都有有关要求,但基于不同的引用和方法来制定保护的方法。GB整车强标是基于第七章的要求做保护,而R155则是基于TARA分析结果并主要参考Annex 5, Part B和Part C来开展保护。
GB整车强标和R155在这方面有不同的要求。GB整车强标规定需要采用符合国际、国家或行业标准的密码模块,而R155没有强制要求加密方式。
GB整车强标有明确的要求,而R155没有独立的条目来要求这一点,它是依赖于TARA分析结果来决定的。
·汽车数据处理活动中的数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告知等要求
GB整车强标有具体的要求,需符合特定的规定,而R155没有特定的条目来规定这些要求。
综上所述,GB整车强标和R155在很多方面都是一致的,但也存在一些关键的差异,大多分布在在对某些安全要求的具体描述和引用方面。希望这样的对比可以有助于车辆制造商更好地理解两者的区别和相似点!