汽车网络安全管理体系框架与评价-汽车网络安全管理体系评价

当前 ， 随若汽车联网产品渗透率、 智能传感设备搭载率的提升， 以及汽车与通信、互联网等行业的融合创新发展， 汽车行业面临愈发严峻的网络安全风险， 对消费者人身财产安全、 社会安全乃至国家安全产生威胁， 是产业发展亟须解决的关键问题。 伴随若R155、 ISO/SAE 21434等国际法规标准的相继出台 ， 汽车网络安全管理体系的评价已成为行业焦点。

（一） VDA汽车网络安全管理体系审核红皮书

2020年11月 ， VOA针对R155法规制定审核红皮书 ， 可供行业进行参考。 其中 ， 审 核评价的方式包括单一检查项评价、 总体评价 ， 其中单一检查项评价的结果作为总体评价的依据。
单一检查项评价
审核员会针对每个单一检查项进行风险等级评估， 通过该评估对每个检查项的符合程度进行判断 ， 包括符合、 一般不符合、 严重不符合三类 ， 主要评价准则如下表3所示。

同时 ， VOA红皮书中对网络安全管理、 风险识别与风险评估更新、 风险管理、 产品全生命周期网络安全管理及外部供应商网络安全管理审核关注项进行了说明 ， 如图14所示。

总体评价
据单一检查项的评价结果 ， 输出总体的评价结果， 包括以下三种状态， 具体评价标准如表4所示：

审核通过：指通过审核；

审核失败：指需采取相应措施整改 ， 重新审核范围可以为在审核员定义的时间范国内实施的整改措施；

审核失败：指未通过审核 ， 必须重新开展完整审核。

重新审核必须考虑上一次审核的结果。 若存在上次审核通过但本次审核 中未执行或执行不充分的措施将对当前审核的结果产生负面影晌。

（二） ISO PAS 5112道路车辆－网络安全工程审核指南

2022年3月31日正式发布的国际标准ISO PAS 5112道路车辆－网络安全工程审核指南在附录A中给出了针对ISO/SAE 21434标准要求的审核问卷的示例， 从网络安全管理 ， 持续的网络安全活动， 风险评估与方法， 概念与产品研发阶段 ， 后开发阶段 ， 分布式网络 安全活动等多个方面进行审核与评价。 下表为ISO PAS 5112道路车辆 － 网络安全工程审核指南附录A的部分内容：