ACQ.2 Supplier request and selection 供應商請求與挑選

ASPICE for cybersecurity 標準解讀 — 採購流程

本文為ASPICE for cybersecurity (ASPICE網絡安全增訂版)的標準內文，因該標準仍為黃皮草稿版本，因此後續有可能調整或修正。筆者會再根據VDA QMC所發布的最新版本來調整本文章的內文。

目錄: ASPICE for cybersecurity 標準增訂版解讀
分類: SEC Scope/採購流程
ACQ.2 供應商請求與挑選
ACQ.4 供應商監控
--
延伸閱讀: 
目錄: Automotive SPICE(ASPICE)標準解讀
分類: 採購流程
ACQ: 採購流程概述
ACQ.4 供應商監控

流程目的(Process Purpose)

The purpose of supplier request and selection process is to award a supplier a contract/agreement based on relevant criteria.

供應商請求與挑選流程的目的是根據相關標準向供應商授予合約/協議。

流程結果(Process Outcome)

成功實作此流程，其相應的結果如下：
[Outcome 1]為供應商建立評估標準；
[Outcome 2]根據已定義的標準對供應商進行評估；
[Outcome 3]向指定供應商發出報價請求;
[Outcome 4](與供應商)商定合約、措施和風險緩解計劃，並根據評估結果與供應商簽約。

基礎實踐(Base Practices)

ACQ.2.BP1: Establish supplier evaluation criteria.
ACQ.2.BP1: 建立供應商評估標準
[Outcome 1]

Analyze relevant requirements to define evaluation criteria for supplier’s capabilities.

分析相關要求以定義供應商能力的評估標準

額外說明 - 汽車產業的相關標準
讀者可參考下圖的汽車產業相關標準。車用產業，將以汽車產業品質管理系統(IATF 16949)、網絡安全管理系統(CSMS)做為基底，以ASPICE做為開發流程，附加「功能安全」(ISO 26262, ISO/PAS 21448)及「網絡安全」(ISO/SAE 21434)這兩個面向的要求。

汽車產業相關標準

NOTE 1: Criteria should consider:
* Commercial and quality requirements
* Technical evaluation regarding cybersecurity capabilities of the supplier, including cybersecurity concepts and methods(threat analysis and risk assessment, attack models, vulnerability analysis, etc.)
* The organization’s capability of the supplier concerning cybersecurity (e.g. cybersecurity best practices from the development, post-development, governance, quality, and information security)
* Continuous operation, including cybersecurity
* Supplier capability and performance evidence in terms of cybersecurity obtained by supplier monitoring in previous projects.

備註1:(評估)標準可考慮
* 商業與品質要求
* 供應商網絡安全的技術能力評估，包含網絡安全概念與方法(威脅分析和風險評鑑、攻擊模型、弱點分析、…等)
* 供應商網絡安全的組織能力(例如: 開發、後期開發、治理、品質和資訊安全的網絡安全最佳實踐)
* 持續營運，包含網絡安全
* 根據對供應商過去專案監控所獲得的網絡安全的供應商能力與績效證據

額外說明 - 評估標準
在本標準的備註中所提到的評估標準，大致參考如下：
- 威脅分析和風險評鑑 => ISO/SAE 21434
- 攻擊模型 => ISO/SAE 21434
- 弱點分析 => ISO/SAE 21434
- 供應商於開發、後期開發、治理、品質和資訊安全的最佳實踐 => SAE J3061

—

ACQ.2.BP2: Evaluate potential supplier.
ACQ.2.BP2: 評估潛在供應商
[Outcome 2]

Collect information about the supplier’s capabilities and evaluate it against the established evaluation criteria. Short-list the preferred suppliers and document the results.

收集有關供應商能力的資訊，並根據已建立的評估標準對其進行評估。列出首選供應商並記錄結果。

NOTE 2: The evaluation of potential suppliers may be supported by:
* Summaries of previous Automotive SPICE cybersecurity assessment
* evidence of the organizational cybersecurity management system (e.g. organizational audit result if available)
* evidence of an information security management system
* evidence of the organization’s quality management system appropriate/capable of supporting cybersecurity engineering.

備註2: 以下要項可以作為評估潛在供應商的支持:
*前次ASPICE for Cybersecurity(SEC Scope)評鑑的總結
*組織網絡安全管理系統的證據(例如: 組織稽核結果 (如果有))
*資訊安全管理系統的證據
*證明組織的品質管理系統適合/能夠支援網絡安全工程。

額外說明 - 評估潛在供應商的期待證據
從標準備註中的描述，特別講了幾個層面的證據，筆者簡單備註如下：
- (較新) ASPICE for cybersecurity 評鑑結果
- (較新) UNECE R55 CSMS 稽核結果 
- (較新) ISO/SAE 21434 Part 5 (整體網絡安全管理) 稽核結果
- ISO/IEC 27001 稽核結果
- IATF 16949 稽核結果
額外說明 - ISO/SAE 21434 Part 5 (整體網絡安全管理) 稽核結果
在ISO/SAE 21434標準中，特別明訂了兩種評估方式，分別是稽核(寫在5.4.4章節中)與評鑑(寫在6.4.8章節中)。其中，針對整體開發網絡安全管理寫在第五章節中，這邊是透過稽核的方式來驗證網絡安全的有效性。

ISO/SAE 21434 的稽核與評鑑說明

—

ACQ.2.BP3: Prepare and execute request for quotation (RFQ).
ACQ.2.BP3: 準備與執行RFQ
[Outcome 3,4]

Identify supplier candidates based on the evaluation. Prepare and issue a request for quotation including a corrective action plan for identified deviations.

根據評估結果識別候選供應商。準備並發出RFQ，(該RFQ內容)包括針對已識別偏差的糾正措施計劃。

NOTE 3: The request for quotation should include:
* A formal request to comply with all relevant and applicable standards
* The expectation of cybersecurity responsibilities taken by the supplier
* The scope of work regarding cybersecurity, including the cybersecurity goals or the set of relevant cybersecurity requirements and their attributes, depending on what the supplier is quoting for
* Action plan for identified deviations and risks

備註3: RFQ可包含:
* 正式要求遵守所有相關和適用的標準
* 供應商對網絡安全責任的期望
* 網絡安全工作範圍，包括網絡安全目標或相關網絡安全要求及其屬性，具體取決於供應商的報價
* 已識別偏差和風險的行動計劃

—

ACQ.2.BP4: Negotiate and award the contract/agreement.
ACQ.2.BP4: 協商並授予合約/協定
[Outcome 4]

Establish a contract based on the evaluation of the request for quotation results, covering the relevant requirements and the agreed corrective actions.

根據RFQ的評估結果，建立一個涵蓋相關要求和商定糾正措施的合約。

NOTE 4: The contract should consider requirements including cybersecurity and safety requirements, if applicable (e.g., as part of customer requirements).
NOTE 5: An initial interface agreement (e.g., for cybersecurity) may be set up and used for the detailed contract definition.

備註4: 如果適用，合約可考量功能安全與網絡安全的要求(例如: 作為客戶要求的一部分）
備註5: 可以建立初始介面協議（例如: 用於網絡安全），並將其用於詳細的合約定義。

額外說明 - 合約的考量
因應功能安全、網絡安全等國際標準的發布，接下來在汽車產業的合約要求將可能納入：
- ISO 26262
- ISO/SAE 21434
- UNECE R55 CSMS
- 當然還有本分標準 ASPICE for cybersecurity
其他可能會被提到的標準：
- TISAX
- ISO/PAS 21448 (SOTIF)

工作產出(Output Work product)

02–00 合約[Outcome 4]
02-01 承諾/協議 [Outcome 4]
02–50 介面協議(interface agreement) [Outcome 4]
08–20 風險緩解計畫 [Outcome 4]
12–01 報價邀請書(Request for Quotation, RFQ)[Outcome 3]
14–02 改正措施登記表 [Outcome 3,4]
14–05 首選供應商登記表 [Outcome 2]
15–21 供應商評估報告 [Outcome 2]
18–50 供應商評估標準[Outcome 1]

額外參考:
* ASPICE網站
* ASPICE 3.1標準
* ASPICE for Cybersecurity標準 (1st edition, February 2021)

感謝閱讀本文章！

如果你對文章內容有任何問題，請隨時與我聯絡。
if you found any question in the article, please feel free to contact me.

email: linchewing@gmail.com
LinkedIn: https://www.linkedin.com/in/linchew/