中国汽车行业信息安全体系可信赖度评估机制研究

信息网络技术飞速迭代，物联网、大数据和人工智能等新技术广泛应用，加快推动汽车“新四化”进程，不可避免地给汽车行业带来了诸如网络安全环境的恶化、商业机密信息窃取事件的频发等信息安全问题。近年来，国家出台了一系列信息安全相关法律法规，逐步强化对信息安全监管，健全完善信息安全保障体系。汽车行业企业在研发、生产、采购和销售服务过程中，与其供应商、服务商之间可能随时都在处理高度敏感信息，对于信息安全管理和控制的市场需求也在急剧增长。当前，汽车产业正面临着合规性、信息安全管理和风险防控等诸多挑战，充分预示着车企亟需加大对信息安全的资源投入和有效管控。

数字化赋能汽车产业革新，使得信息安全管理上升至新的战略高度，其覆盖维度已逐步贯穿整个汽车产业价值链。汽车新四化进程加速推进，“汽车新四化大厦”需要坚实的信息安全体系给予充分保障和有力支持。

一、现状分析

信息安全管理体系国标 GB/T 22080-2016 等同采用了国际标准 ISO/IEC 27001: 2013，该系列标准将信息安全定义为保护信息的保密性、完整性和可用性，还包括真实性、可核查性、不可否认性和可靠性等，其中保密性、完整性和可用性是信息安全最为重要的三个维度。标准基于持续的风险评估，建立和实施信息安全管理体系，并对体系运行进行监督、评审和改进，采用 PDCA模型作为实施、运行、监视和改进信息安全管理体系的过程方法。据不完全统计，2021 年我国汽车行业获得信息安全管理体系认证的企业仅有百家左右，其中一个很重要的原因是通用的信息安全管理体系认证不能完全覆盖汽车企业关注的特殊要求。

国外汽车组织多年前已着手布局信息安全，德国汽车工业协会 VDA 针对汽车行业开发了信息安全评估标准 ISA，并联合欧洲汽车工业安全数据交换协会 ENX 建立了可信信息安全评估交换机制 TISAX，TISAX 面向所有 VDA 成员单位和汽车OEM，针对汽车企业信息安全进行评估，评估结果在成员组织间相互认可、交换和信任，在一定程度上实现了汽车企业之间的安全互信。TISAX采用的 VDA-ISA 是基于 ISO/IEC 27001 标准，增加了原型保护和数据保护等相关要求，不能完全体现国内各大主机厂的特殊要求，也没有涵盖我国信息安全相关法律法规要求，现阶段无法充分满足我国汽车行业企业的客观情况和实际需求。目前，大众等德系车企已采用 TISAX 评估体系，以提升其信息安全管理保障能力，并逐步在国内开始推广，华为、宁德时代等德系供应商相继接受 TISAX 评估。

汽车行业企业出于合规性、信息安全管理和风险防控的目的，急需建立一套符合我国汽车行业客观实际的、可信赖的信息安全管理评估体系，为国内主机厂及其供应链提升信息安全管理水平提供有力支撑，以应对这一严峻的行业形势。由此可见，建立适用于我国汽车行业的信息安全体系可信赖度评估机制（简称 CARISSA）迫在眉睫。

二、目标定位

图1 CARISSA 目标定位

CARISSA 将充分融入国家信息安全相关法律法规要求，并在企业层面、工厂层面和产品层面支撑汽车企业数字化转型、工业控制系统信息安全以及汽车产品网络安全管理等相关领域发展，最终推动整个汽车产业信息安全体系管理创新发展。

（一）国家层面

信息安全是守护国家安全的重要战略防线和底线，关乎国家的长治久安。一直以来，国家高度重视信息安全工作，近年来力推多项信息安全相关法律法规出台，《网络安全法》《数据安全法》和《个人信息保护法》相继发布。与此同时，国家也在加快推进智能网联汽车信息安全相关政策、标准的制定，对信息安全的监管和要求日趋严格。2021 年 8 月，工业和信息化部作为汽车行业主管部门，发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》，对智能网联汽车生产企业及产品网络安全管理提出了明确要求。

（二）企业层面

在国家新四化战略提升要求下，汽车企业纷纷将数字化建设纳入十四五发展规划和战略布局，并加速推动核心业务数字化的转型升级，以数字化发展变革促进业务创新。随着汽车行业数字化建设不断深入，信息安全不单单局限于车辆的信息安全，更贯穿到企业经营管理、研发生产的方方面面。数字化企业的正常运营，离不开信息技术和信息资源的支持，一些重要文件和数据信息一旦丢失、损坏和泄漏，或者不能及时送达，将会给企业造成不可挽回的巨大损失。作为支撑和保障汽车行业企业数字化转型的关键环节，信息安全重要性不言而喻。

（三）工厂层面

在汽车企业数字化、网络化、智能化转型发展的趋势下，一些汽车制造工厂的工控系统正面临着前所未有的安全隐患。工业控制系统作为汽车制造企业生产运营的核心，是具有高度自动化、智能化和网络化的生产线控制和管理系统。工控系统信息安全不仅涉及生产管理层、生产控制层和设备层的信息安全，还涉及各层之间的边界防护，可以看出在当前形势下加强工控系统信息安全的紧迫性愈发凸显。因此，推动工控系统的信息安全管理和应急响应体系建设，对于提升汽车企业工控安全防护水平，改进和优化工控安全保障能力具有重要意义，同时为汽车企业建设智慧工厂，实现智能制造保驾护航。

（四）产品层面

随着信息化、数字化技术应用的日趋深入，车联网正逐步成为汽车行业新的增长点，在智能化和网联化不断推进过程中，网络攻击、木马病毒等互联网安全威胁也逐步渗透延伸到车联网领域。ISO/SAE 21434:2021《道路车辆-网络安全工程》标准是联合国世界车辆法规协调论坛WP.29 网络安全法规 R155 的关键支撑标准，于 2021 年 8月底正式发布。该标准从企业管理体系和产品生命周期角度提出网络安全风险管理要求及评估方法，贯穿车辆的整个生命周期，遵循 V 模型产品开发过程，覆盖概念、开发、生产、运维和报废等各个阶段，致力于解决车辆网络安全问题，提升智能汽车网络安全防护能力。

三、总体思路

CARISSA 的建立和实施，将会为我国汽车行业提供一个自主的信息安全可信赖度的评估体系，该体系将会伴随着行业信息安全管理体系发展逐步完善，成为保障汽车行业信息化、数字化、网络化和智能化发展的坚实基础，促进汽车行业产业链信息安全管理能力和水平提升。

图2 CARISSA 总体思路

（一）评估标准

基于 GB/T 22080-2016（ISO/IEC 27001:2013）信息安全管理体系要求标准，融入我国网络安全法、数据安全法等相关法律法规要求，拟将涵盖系统开发运维、通信安全和信息安全事件管理等汽车行业对信息安全管理的特殊要求，制定汽车行业信息安全管理体系要求标准和评估准则，为汽车企业实施信息安全管理体系评估提供重要的参考依据，推动汽车企业在其组织架构的各个方面进一步强化信息安全管理，规范信息安全工作，促使管理控制手段更为有效，最终实现信息安全的系统管理和风险防控。

（二）评估规则

依据汽车行业信息安全体系评估标准要求和汽车行业企业关注的特殊要求，编制信息安全体系评估实施规则，为国内不同规模、类型的企业提供信息安全体系的综合性评估，根据企业对不同模块需求，给出科学、专业和权威的等级评估结果。此外，规则还将对实施信息安全体系评估流程进行了规定，提出了对评估机构和评估人员的相关要求，确保实施评估的过程可控，形成一整套符合汽车行业实际的信息安全体系可信赖度评估技术方案。

（三）评估服务平台

通过建立专业服务于汽车行业信息安全体系评估管理平台，致力于实现统一的评价尺度、直观的量化结果和精准的管理对比，可为企业提供信息安全体系评估结果发布和报告查询等相关服务。此外，汽车企业还可通过平台在信息安全管理方面择选优质供应商或服务商。

四、结 语

信息安全问题正逐步成为整个汽车行业面临的极为重要的课题，信息安全体系化管理对于汽车企业的重要性愈发凸显。面对这一严峻形势，汽车企业急需建立评估模式，依据标准和规则评估当前信息安全体系管理现状，发现和改进信息安全问题，强化信息安全意识和能力，降低信息安全风险。因此，建立适用于我国汽车行业的信息安全体系可信赖度评估机制迫在眉睫，通过 CARISSA 评估实施，可为国内主机厂及供应链提升信息安全管理水平提供有力支撑和保障，助力汽车行业全产业链信息安全管理能力和水平的提升。