汽车网络安全--关于供应商网络安全能力维度的思考

这篇具有很好参考价值的文章主要介绍了汽车网络安全--关于供应商网络安全能力维度的思考。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

1.关于CSMS的理解

2.OEM如何评审供应商

2.1 质量评审

2.2 网络安全能力评审

3.小结


1.关于CSMS的理解

最近在和朋友们交流汽车网络安全趋势时,讨论最多的是供应商如何向OEM证明其网络安全能力。

这是很重要的一环,因为随着汽车网络安全相关强制标准的执行,越来越多OEM是需要通过相关认证的。例如出海欧盟和日本市场的相关车型需要通过R155认证,其中最关键就是网络安全管理体系(CSMS)认证,只有在获得CSMS认证的前提下,才能申请车辆型式准入(VTA)。

在R155 7.2.2.4中明确提到OEM需要证明其网络安全管理体系(CSMS)如何管理供应商和OEM之间的网络安全活动的互动、依赖和权责关系。

广义上讲,OEM对于供应商的网络安全管理主要是评估零部件供应商的网络安全能力、与网络安全供应商签订接口协议等活动;通过建立评估网络安全能力方法论和接口协议签订,可以保证供应商提供的零部件产品的网络安全,从而可以进一步保证整车的网络安全。

对于已经挤进OEM供应链体系的供应商来说,某种程度上是可以和OEM一起完善上述内容;但是对于名不见经传的Tier2、Tier1来说,是需要充分展示其网络安全能力才有可能获得OEM的青睐。

所以这类供应商应该准备什么样的材料来展示自我?这无疑是需要从标准支撑层面的ISO\SAE 21434中寻找答案。

为什么ISO\SAE 21434可以指导供应商或者Tier1建立起CSMS?

通过阅读该标准,我们可以发现,21434不仅在组织层面提出了企业要建立信息安全管理体系,还在车辆或零部件产品的全生命周期建立网络安全控制措施。

汽车网络安全--关于供应商网络安全能力维度的思考,汽车信息安全,汽车,信息安全,网络安全,ISO\SAE 21434,R155

因此,不管是从法律法规的合规性还是网络安全风险角度来看,ISO\SAE 21434提出的理论既包括了企业端信息安全的管理特性(参考ISMS),同时又包括产品端网络安全要求。

当然,今天我们不解读CSMS体系建设过程,主要聚焦从OEM角度来看供应商需要具备哪些维度的网络安全能力。

2.OEM如何评审供应商

 (以下内容是和朋友闲聊并征得同意才发布,仅代表个人观点)

2.1 质量评审

一般来讲,OEM在选择供应商时首先考虑的是质量,因此会主要从供应商的产品质量、服务和生产制造三个大方向评估候选供应商资质。

  • 产品质量:APQP能力、D\PFMEA、过程控制能力、试制能力、不合格品控制能力等
  • 服务能力:目标产品是否经过市场验证、员工流动性、供货产能是否满足要求等
  • 生产制造:物流管理、供应链保障、作业是否标准、是否通过ISO9001或者IATF16949等

那么从供应商角度来看,上述内容是需要准备大量材料来进行佐证。

经过评审打分后,进入下一轮的供应商才会进行网络安全能力评估(如果零部件涉及到整车网络安全)。 

2.2 网络安全能力评审

既然是展示自己的网络安全能力,那么做到极致想必是每个工程人员的梦想。

供应商如果按照ISO\SAE 21434建议的内容,同样也是非常耗费精力的(我甚至有点怀疑这个R155强制法规就是来用来罚款的)。

这里我根据21434的第5、6、7、8、9-14和15章节,简单粗暴地将供应商网络安全能力维度概括为6个方面,如下:

  • 公司级网络安全体系建设能力

 对应标准第5章节:Organizational cybersecurity management

  • 网络安全项目研发管理能力

对应标准第6、9-12章节

  • 网络安全项目风险识别能力

对应标准第15章节:Threat analysis and risk assessment methods

  • 网络安全项目供应商管理能力

对应标准第7章节:Distributed cybersecurity activities

  • 网络安全项目漏洞管理能力

对应标准第8章节:Continual cybersecurity activities

  • 网络安全项目事件响应能力

对应标准第13-14章节

我们以网络安全项目研发管理能力为例,来看看具体需要从哪些方面进行评估?

  1. 很明显,要做好汽车网络安全产品(零部件),首先要考察的就是项目组里是否有网络安全相关背景和专业技能的工程人员,因此这是一个很大决定因素:是否有人);
  2. 在研发该产品前,遵循什么样的网络安全管理原则,威胁分析和风险评估标准是怎样的,有没有开展网络安全计划和评估等活动;
  3. 在该产品概设阶段,是否定义了活动角色和职责、是否定义了网络安全视角下的边界、资产等;
  4. 在产品详设阶段,是否有符合网络安全理念的软硬件开发流程;
  5. 在产品验证阶段,是否有对应的测试流程;

3.小结

就2.3节简单几个内容,我自己其实是一头雾水;

毕竟针对零部件供应商来说,是有一个较为确定的场景来剖析网络安全概念,唯一需要补足的就是公司网络安全文化建立和人才梯队的搭建;

但是对于芯片原厂来说,要找到一个目标场景进行分析还是需要OEM的实际经验(当然不排除能力强的企业用类似SEooC的方法)。

这就又绕回来了,例如NXP本身技术实力雄厚,在21年就通过了ISO\SAE21434 BCaM和PSIRP的认证,这无疑可以帮助加速OEM的R155认证,先天就占据了优势。

当然,没有相关背景的供应商面对网络安全这样的新东西,大概率是会选择咨询机构进行辅导,拿到模板就可以按需准备材料了。文章来源地址https://www.toymoban.com/news/detail-826544.html

到了这里,关于汽车网络安全--关于供应商网络安全能力维度的思考的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 数商云钢材行业智慧供应商管理系统:降低企业运营成本,构建数字化供应商管理体系

    钢材行业是国民经济的基础产业,其产业链长、规模大、涉及面广,对国家经济发展有着重要的影响。根据中国钢铁工业协会的数据显示,2020年我国钢材销售量达73996万吨,同比2019年增长12.6%。 图片来源:华经产业研究院 我国钢材行业产业链游参与主体为原材料供应商,提

    2024年02月01日
    浏览(55)
  • 变更缓存供应商EHCACHE

    导入相关坐标依赖 导入相关配置 导入ehcache xml配置 这里需要指定特定的缓存位置 testCache,timeToIdleSeconds 表示设置缓存的时间

    2024年02月16日
    浏览(51)
  • 物流供应商实现供应链自动化的3种方法

    当前影响供应链的全球性问题(如新冠肺炎疫情)正在推动许多物流供应商重新评估和简化其流程。运输协调中的摩擦只会加剧供应商无法控制的现有延误和风险。值得庆幸的是,供应链专业人员可以通过端到端的供应链自动化消除延迟,简化与合作伙伴的沟通,减轻危机的影

    2024年02月09日
    浏览(45)
  • 供应链|供应商库存服务水平对零售商需求的影响

    作者:Nathan Craig, Nicole DeHoratius, Ananth Raman   引用:Craig N, DeHoratius N, Raman A. The impact of supplier inventory service level on retailer demand[J]. Manufacturing Service Operations Management, 2016, 18(4): 461-474. 文章链接:https://doi.org/10.1287/msom.2016.0582 封面图链接:Photo by Chanaka from Pexels https://www.pexels.com/

    2024年02月07日
    浏览(52)
  • SRM-供应商管理系统搭建指南

    1.1、案例简介 本文将介绍,如何搭建SRM-供应商管理。 1.2、应用场景 供应商可注册、提交、修改自己的基本信息及工商信息,上传资质档案、管理产品及样品信息;企业对供应商是否成为合格供应商或淘汰供应商进行准入流程的审批。 2.1、表单搭建 1)新建表单【供应商注册

    2024年02月16日
    浏览(49)
  • 用友U8供应商存货调价历史查询语句

    SELECT         (0) AS listserialnum,        \\\' \\\' AS selcol,        (btaxcost) AS btaxcost,        (ccode) AS ccode,        (dupdate) AS dupdate,        (ddate) AS ddate,        (cdepname) AS cdepname,        (cpersonname) AS cpersonname,        (cmainmemo) AS cmainmemo,        (cmaker) AS cmaker,        (cverifier)

    2024年02月09日
    浏览(43)
  • FSC搜索界面更新,寻找供应商三步搞定

    【FSC搜索界面更新,寻找供应商三步搞定】 FSC搜索页面已经更新,新网址如下:FSC搜索 与旧版相比,新版搜索界面更加简洁,并且支持中文,更便于国内想要申请FSC认证或已经取得FSC证书的企业寻找潜在的供应商。 供应商验证 在进行供应商验证时,要重点关注供应商FSC证书

    2024年02月15日
    浏览(54)
  • 星辰天合荣获“2023年度优秀光伏行业数字化供应商”

    8 月 28 日,由 OFweek 维科网及旗下权威的光伏专业媒体-维科网·光伏共同举办的“OFweek 2023(第十四届)太阳能光伏产业大会暨光伏行业年度颁奖典礼”在深圳成功举办。 星辰天合凭借在光伏领域的优秀智能存储解决方案,以及大量的应用案例实践,最终 荣获“维科杯·OFwe

    2024年02月11日
    浏览(42)
  • 成功加冕!用友大易获评2023最佳招聘管理软件供应商

    人力资源服务业旗帜性商业奖项2023金帜奖(HRFLAG AWARDS)颁奖典礼于近日隆重举行。经过3个月的评选, 用友大易从615家人力资源服务机构中脱颖而出,最终荣获「2023最佳招聘管理软件供应商」奖项 。 2023金帜奖(HRFLAG AWARDS)是人力资源服务行业旗帜性的商业奖项,遵循「寻找旗帜

    2024年02月06日
    浏览(60)
  • 优思学院《供应商质量工程师SQE的一天》

    优思学院今天利用一个故事 《供应商质量工程师的一天》 来谈谈供应商质量工程师的日常工作内容以及质量管理的四个要点。 今天是星期五,就是供应商质量工程师 小优 最有挑战的一天。他需要在一天内完成对三家不同的供应商工厂的抽样检验、过程审核,并对结果进行

    2024年02月05日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包