中國信息安全 - 前沿 | 中國汽車行業信息安全體系可信賴度評估機制研究－鑽石舞台

掃碼訂閱《中國信息安全》雜誌

郵發代號 2-786

征訂熱線：010-82341063

文│中汽研華誠認證（天津）有限公司劉金松杜宏生林毅

信息網絡技術飛速迭代，物聯網、大數據和人工智能等新技術廣泛應用，加快推動汽車「新四化」進程，不可避免地給汽車行業帶來了諸如網絡安全環境的惡化、商業機密信息竊取事件的頻發等信息安全問題。近年來，國家出台了一系列信息安全相關法律法規，逐步強化對信息安全監管，健全完善信息安全保障體系。汽車行業企業在研發、生產、採購和銷售服務過程中，與其供應商、服務商之間可能隨時都在處理高度敏感信息，對於信息安全管理和控制的市場需求也在急劇增長。當前，汽車產業正面臨着合規性、信息安全管理和風險防控等諸多挑戰，充分預示着車企亟需加大對信息安全的資源投入和有效管控。

數字化賦能汽車產業革新，使得信息安全管理上升至新的戰略高度，其覆蓋維度已逐步貫穿整個汽車產業價值鏈。汽車新四化進程加速推進，「汽車新四化大廈」需要堅實的信息安全體系給予充分保障和有力支持。

一、現狀分析

信息安全管理體系國標 GB/T 22080-2016 等同採用了國際標準 ISO/IEC 27001: 2013，該系列標準將信息安全定義為保護信息的保密性、完整性和可用性，還包括真實性、可核查性、不可否認性和可靠性等，其中保密性、完整性和可用性是信息安全最為重要的三個維度。標準基於持續的風險評估，建立和實施信息安全管理體系，並對體系運行進行監督、評審和改進，採用 PDCA模型作為實施、運行、監視和改進信息安全管理體系的過程方法。據不完全統計，2021 年我國汽車行業獲得信息安全管理體系認證的企業僅有百家左右，其中一個很重要的原因是通用的信息安全管理體系認證不能完全覆蓋汽車企業關注的特殊要求。

國外汽車組織多年前已着手布局信息安全，德國汽車工業協會 VDA 針對汽車行業開發了信息安全評估標準 ISA，並聯合歐洲汽車工業安全數據交換協會 ENX 建立了可信信息安全評估交換機制 TISAX，TISAX 面向所有 VDA 成員單位和汽車OEM，針對汽車企業信息安全進行評估，評估結果在成員組織間相互認可、交換和信任，在一定程度上實現了汽車企業之間的安全互信。TISAX採用的 VDA-ISA 是基於 ISO/IEC 27001 標準，增加了原型保護和數據保護等相關要求，不能完全體現國內各大主機廠的特殊要求，也沒有涵蓋我國信息安全相關法律法規要求，現階段無法充分滿足我國汽車行業企業的客觀情況和實際需求。目前，大眾等德系車企已採用 TISAX 評估體系，以提升其信息安全管理保障能力，並逐步在國內開始推廣，華為、寧德時代等德系供應商相繼接受 TISAX 評估。

汽車行業企業出於合規性、信息安全管理和風險防控的目的，急需建立一套符合我國汽車行業客觀實際的、可信賴的信息安全管理評估體系，為國內主機廠及其供應鏈提升信息安全管理水平提供有力支撐，以應對這一嚴峻的行業形勢。由此可見，建立適用於我國汽車行業的信息安全體系可信賴度評估機制（簡稱 CARISSA）迫在眉睫。

二、目標定位

圖1 CARISSA 目標定位

CARISSA 將充分融入國家信息安全相關法律法規要求，並在企業層面、工廠層面和產品層面支撐汽車企業數字化轉型、工業控制系統信息安全以及汽車產品網絡安全管理等相關領域發展，最終推動整個汽車產業信息安全體系管理創新發展。

（一）國家層面

信息安全是守護國家安全的重要戰略防線和底線，關乎國家的長治久安。一直以來，國家高度重視信息安全工作，近年來力推多項信息安全相關法律法規出台，《網絡安全法》《數據安全法》和《個人信息保護法》相繼發布。與此同時，國家也在加快推進智能網聯汽車信息安全相關政策、標準的制定，對信息安全的監管和要求日趨嚴格。2021 年 8 月，工業和信息化部作為汽車行業主管部門，發布了《關於加強智能網聯汽車生產企業及產品准入管理的意見》，對智能網聯汽車生產企業及產品網絡安全管理提出了明確要求。

（二）企業層面

在國家新四化戰略提升要求下，汽車企業紛紛將數字化建設納入十四五發展規劃和戰略布局，並加速推動核心業務數字化的轉型升級，以數字化發展變革促進業務創新。隨着汽車行業數字化建設不斷深入，信息安全不單單局限於車輛的信息安全，更貫穿到企業經營管理、研發生產的方方面面。數字化企業的正常運營，離不開信息技術和信息資源的支持，一些重要文件和數據信息一旦丟失、損壞和泄漏，或者不能及時送達，將會給企業造成不可挽回的巨大損失。作為支撐和保障汽車行業企業數字化轉型的關鍵環節，信息安全重要性不言而喻。

（三）工廠層面

在汽車企業數字化、網絡化、智能化轉型發展的趨勢下，一些汽車製造工廠的工控系統正面臨着前所未有的安全隱患。工業控制系統作為汽車製造企業生產運營的核心，是具有高度自動化、智能化和網絡化的生產線控制和管理系統。工控系統信息安全不僅涉及生產管理層、生產控制層和設備層的信息安全，還涉及各層之間的邊界防護，可以看出在當前形勢下加強工控系統信息安全的緊迫性愈發凸顯。因此，推動工控系統的信息安全管理和應急響應體系建設，對於提升汽車企業工控安全防護水平，改進和優化工控安全保障能力具有重要意義，同時為汽車企業建設智慧工廠，實現智能製造保駕護航。

（四）產品層面

隨着信息化、數字化技術應用的日趨深入，車聯網正逐步成為汽車行業新的增長點，在智能化和網聯化不斷推進過程中，網絡攻擊、木馬病毒等互聯網安全威脅也逐步滲透延伸到車聯網領域。ISO/SAE 21434:2021《道路車輛-網絡安全工程》標準是聯合國世界車輛法規協調論壇WP.29 網絡安全法規 R155 的關鍵支撐標準，於 2021 年 8月底正式發布。該標準從企業管理體系和產品生命周期角度提出網絡安全風險管理要求及評估方法，貫穿車輛的整個生命周期，遵循 V 模型產品開發過程，覆蓋概念、開發、生產、運維和報廢等各個階段，致力於解決車輛網絡安全問題，提升智能汽車網絡安全防護能力。

三、總體思路

CARISSA 的建立和實施，將會為我國汽車行業提供一個自主的信息安全可信賴度的評估體系，該體系將會伴隨着行業信息安全管理體系發展逐步完善，成為保障汽車行業信息化、數字化、網絡化和智能化發展的堅實基礎，促進汽車行業產業鏈信息安全管理能力和水平提升。

圖2 CARISSA 總體思路

（一）評估標準

基於 GB/T 22080-2016（ISO/IEC 27001:2013）信息安全管理體系要求標準，融入我國網絡安全法、數據安全法等相關法律法規要求，擬將涵蓋系統開發運維、通信安全和信息安全事件管理等汽車行業對信息安全管理的特殊要求，制定汽車行業信息安全管理體系要求標準和評估準則，為汽車企業實施信息安全管理體系評估提供重要的參考依據，推動汽車企業在其組織架構的各個方面進一步強化信息安全管理，規範信息安全工作，促使管理控制手段更為有效，最終實現信息安全的系統管理和風險防控。

（二）評估規則

依據汽車行業信息安全體系評估標準要求和汽車行業企業關注的特殊要求，編制信息安全體系評估實施規則，為國內不同規模、類型的企業提供信息安全體系的綜合性評估，根據企業對不同模塊需求，給出科學、專業和權威的等級評估結果。此外，規則還將對實施信息安全體系評估流程進行了規定，提出了對評估機構和評估人員的相關要求，確保實施評估的過程可控，形成一整套符合汽車行業實際的信息安全體系可信賴度評估技術方案。

（三）評估服務平台

通過建立專業服務於汽車行業信息安全體系評估管理平台，致力於實現統一的評價尺度、直觀的量化結果和精準的管理對比，可為企業提供信息安全體系評估結果發布和報告查詢等相關服務。此外，汽車企業還可通過平台在信息安全管理方面擇選優質供應商或服務商。

四、結語

信息安全問題正逐步成為整個汽車行業面臨的極為重要的課題，信息安全體系化管理對於汽車企業的重要性愈發凸顯。面對這一嚴峻形勢，汽車企業急需建立評估模式，依據標準和規則評估當前信息安全體系管理現狀，發現和改進信息安全問題，強化信息安全意識和能力，降低信息安全風險。因此，建立適用於我國汽車行業的信息安全體系可信賴度評估機制迫在眉睫，通過 CARISSA 評估實施，可為國內主機廠及供應鏈提升信息安全管理水平提供有力支撐和保障，助力汽車行業全產業鏈信息安全管理能力和水平的提升。

（本文刊登於《中國信息安全》雜誌2022年第5期）