ASPICE for Cybersecurity — (ASPICE網絡安全增訂版) 概述
VDA QMC於2021年2月,發布了ASPICE for Cybersecurity的黃皮書草稿第一版,本文章將針對新發布的ASPICE網絡安全增訂版,進行相關的說明。
UNECE法規R155要求車輛製造商識別和管理供應鏈中的網絡安全風險。ASPICE 標準(v3.1)版是一套適用於識別流程相關的產品風險。為了將網絡安全的相關流程納入ASPICE標準,VDA QMC將網絡安全工程流程加入現有流程中,並催生了「ASPICE網絡安全增訂版」
※備註※UNECE R155已於2021年1月,正式生效。關於該法規的介紹,請參閱
1) 汽車產業「資訊安全管理系統(CSMS)」法規概述與8個重點要求
2) 汽車產業「資訊安全管理系統(CSMS)」法規細部解讀
新增訂的範圍
網絡安全ASPICE所新增訂的範圍如下(請參考下圖)
ACQ流程(共計2個)
- ACQ.2 (增加): 供應商請求及選擇
- ACQ.4 (修訂): 供應商監控
SEC流程(共計4個)
- SEC.1(增加): 網絡安全需求獲取
- SEC.2(增加): 網絡安全實做
- SEC.3(增加): 風險處置驗證
- SEC.4(增加): 風險處置確效(確認)
MAN流程(共計1個)
- MAN.7(增加): 網絡安全風險管理
ISO 21434與網絡安全ASPICE的關係
值得一提的是,本次VDA QMC所發布的「ASPICE網絡安全增訂版」並未將ISO 21434的要求納入考量,其原因是VDA QMC認為ISO 21434的內容偏重於網絡安全管理,而非開發流程的管理。
未來,「ASPICE網絡安全增訂版」將適用於專案的評鑑(Assessment),透過評鑑來了解專案的成熟度;而ISO 21434及UNECE所提出的CSMS要求,則將透過稽核(Audit)來進行網絡安全管理系統的有效性確認。
讀者可以參考下圖,圖為ISO 21434的需求架構圖,從中可以發現僅有第10及第11章節稍微提到開發,其餘的內容皆跟網絡安全管理系統(CSMS)相關,值得一提的是,ISO 21434針對第10章的產品開發要求,有定義一個指數 — CAL(網絡安全保證等級,Cybersecurity assurance level),該指數將與功能安全的ASIL並用於專案中,屆時讀者還是要根據客戶所要求的標準,採用相關的做法來執行。
感謝閱讀本文章!
如果你對文章內容有任何問題,請隨時與我聯絡。
if you found any question in the article, please feel free to contact me.
email: linchewing@gmail.com
LinkedIn: https://www.linkedin.com/in/linchew/