近年来，汽车行业智能网联化步伐加快，车载系统数字化、IT系统后端扩展及软件传播等创新层出不穷。汽车智能化、网联化的快速发展，也带来了网络安全风险的增加，如黑客攻击、恶意控制等事件频发，对行车安全、车主数据构成潜在威胁。在此背景下，各国监管机构纷纷意识到加强汽车网络安全的重要性，提升汽车行业在网络安全方面的防御能力，并积极推进相关法规与标准的制定与实施。

1.UN R155

联合国世界车辆法规协调论坛（UN/WP.29）发布的第155号法规（UN R155），作为全球首个专门针对汽车网络安全的强制性规范，自2021年1月起正式生效，其影响力覆盖加入1958年UNECE运输协定及公约的54个成员国，包括欧盟、英国、日本和韩国等，该法规明确所有新生产的M1类、N1类和O1类车辆均须遵循其规定。

具体来说， R155要求汽车制造商（OEM）建立并实施网络安全管理体系（CSMS），确保车辆在整个生命周期内能够抵御网络攻击。法规还规定了网络安全措施的评估审核、制造商和供应商降低网络安全风险的方法以及实施风险评估的义务等要求。

UN R155的生效也标志着车辆网络安全从自愿性标准转变为强制遵循的时代。汽车制造商必须事先获得CSMS认证证书，并证明CSMS已在特定车型开发及量产项目上充分且有效地运行后，方可申请特定车型VTA型式认证，这一转变进一步强调了汽车网络安全的重要性，并促使汽车制造商加强网络安全管理，提升产品的安全性。

法规执行时间

OEM对供应商的网络安全管理职责

汽车制造企业的生态圈由多层次供应商、部件配套、设计研究、汽车装配以及下游的经销商、零售商和售后服务网络等诸多环节构成，必须有效管理供应链中（尤其是汽车电子软件系统供应商）的网络安全风险所带来的潜在威胁和损害。

2.ISO/SAE 21434

与UN R155相呼应，首个车辆网络安全标准ISO/SAE 21434《道路车辆—网络安全工程》于2021年8月正式发布，为汽车制造商和供应商提供了一套全面的方法论和标准化要求，以确定和评估与汽车电子安全相关的风险，并在整个车辆开发生命周期中实施适当的安全性措施。这一标准覆盖了从设计、开发、测试到维护和升级的全生命周期，涉及到车辆制造商、基于硬件和软件的组件和系统的供应商、工程服务供应商以及软件和信息和通信技术基础设施提供商等多个方面。

此外R155 的解释文件明确指出，ISO/SAE 21434 是 R155 合规的重要参考依据，汽车制造商应认真阅读和理解 R155 解释文件和 ISO/SAE 21434 标准，并将其纳入到自身网络安全管理体系中，以确保车辆产品的网络安全。

3.德系汽车行业VDA和ENX的汽车网络安全审计

VDA（Verband der Automobilindustrie，德国汽车工业协会）和ENX（European Network Exchange，欧洲网络交换协会）作为代表德国汽车制造商和供应商两大协会，除了积极致力于汽车供应链中的信息安全互认（TISAX审计），在车辆网络安全方面同样正发挥着关键的作用：

VDA ASPICE（Automotive Software Process Improvement Capability Determination, 汽车软件过程改进及能力评估）

ASPICE 是一个面向汽车行业的流程评估模型，用于指导零部件供应商软件开发过程的改进活动，以提升汽车电控单元和车载软件系统的质量。ASPICE模型框架旨在确保软件开发过程的透明性和一致性，提高软件产品的质量和可靠性。

VDA ACSMS (Automotive Cybersecurity Management System Audit，汽车网络安全管理体系审计)

VDA ACSMS用于审核OEM和汽车行业合作伙伴（供应商、服务提供商等）的网络安全管理体系，涵盖了网络安全管理，风险识别、评估、分类和管理，一致性检查，网络安全规范、验证、确认和发布，更新风险评估，网络安全事件响应，向当局报告，供应链中的网络安全管理等方面。

ENX VCSA（Vehicle Cybersecurity Audit，车辆网络安全审计）

鉴于TISAX（可信信息安全评估）在供应链信息安全管理领域所积累的丰富经验和高效流程，考虑在ENX审计生态系统中引入VCS（车辆网络安全）审计，以满足OEM和供应商审计需求。VCSA通过识别和解决车辆研发、生产和运营过程中的网络安全风险，促进汽车制造商、供应商和客户之间的信任和信心。

VCS 审计依赖于已完成的 ISMS 审计（如 TISAX），通过在 ISO/SAE 21434 的背景下实施 ISO/PAS 5112，并利用 ENX 现有的审核框架，提供标准化的 CSMS（网络安全管理系统）审核，VCSA重点关注管理层政策、工具管理、软件更新、生产中的网络安全、供应商管理等方面。

ENX组织了一个由汽车制造商、供应商以及电子/电气（E/E）组件工程服务提供商专家组成的项目组，选取了6家主要针对从事道路车辆电气和电子系统的开发、生产或维护的汽车供应商，测试ENX审计生态系统中实施VCS审计的可行性，通过制定一套通用的第三方审计方案，保护车辆网络安全。项目组首轮测试于2023 年 10 月 完成，并随后颁发了首个VCS标签。

4.中国《汽车整车信息安全技术要求（征求意见稿）》

中国作为全球领先的汽车市场，对汽车网络安全和数据安全问题给予了极高关注。为响应国内外法规与标准的双重需求，工信部先后发布的《关于加强车联网网络安全和数据安全工作的通知》及《车联网（智能网联汽车）网络安全和数据安全标准体系建设指南》，并着手制定强制性国家标准——《汽车整车信息安全技术要求》。该标准在2023年5月5日面向社会公开征求意见。《汽车整车信息安全技术要求》（征求意见稿）详细规定了多个关键领域的具体要求，包括汽车信息安全管理体系（CSMS）、车辆信息安全的一般性原则、具体的技术要求，以及审核评估与测试验证的方法，旨在确保汽车行业的网络安全和数据安全得到全面、有效的保障。

特别指出，该标准中的第5章“信息安全管理体系”与UN R155规定保持了基本一致，均强调汽车原始设备制造商（OEM）需建立覆盖车辆全生命周期的信息安全管理体系。同时，OEM也需要建立企业内部管理信息安全的流程、风险管理流程、车辆信息安全测试流程、漏洞、威胁、信息安全事件管理流程、供应商管理流程。

在车辆安全方面，《汽车整车信息安全技术要求》（征求意见稿）规定车辆信息安全一般要求、车辆外部连接安全要求、车辆通信安全要求、车辆软件升级安全要求和车辆数据代码安全要求，同时提供了车辆信息安全要求测试验证方法。

本文内容仅供一般参考用，并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料，但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。

©2024毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所，均是与英国私营担保有限公司— 毕马威国际有限公司（“毕马威国际”）相关联。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体，其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所；毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司；毕马威会计师事务所 — 香港合伙制事务所。版权所有，不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。