干货回放!公益讲座第23弹:车企建立合适的信息安全管理体系迫在眉睫 | 中国汽车报
发布时间:2020-12-05 19:20:30来源:中国汽车报
回顾历史,从工业1.0的机械化、2.0的电气化到3.0的机电一体化,汽车工业发生了许多次重大变革,如今,随着人工智能、大数据和云平台等技术的不断涌现,智能网联已经成为了汽车产品转型升级的新方向。人工智能与汽车机械深度融合,这将带来怎样的机遇和挑战?
12月4日,英国劳氏北亚区信息安全产品总监姚修杰在中国汽车报公益直播讲座第二十三讲中,以“车联网背景下信息安全的重要性及如何保障信息安全”为题,着重分析并阐述了新时代下的新烦恼——信息安全问题。“在车联网背景下,信息安全问题成为焦点。”姚修杰表示,信息安全管理体系可以通过应用风险管理过程来保持信息的保密性、完整性和可用性,从而为相关方树立风险管理的信心。
新趋势:信息安全至关重要
在姚修杰看来,在过去的一百多年时间里,作为文明的象征,汽车征服了世界的每一个角落。伴随着工业4.0时代的到来,汽车工业已经踏上了变革的新征程。智能网联汽车带来的利好是显而易见的,姚修杰例举了一系列详细数据:交通安全事故率可以降低95%;道路通行效率可以提高10%;协同式交通系统可提高自车燃油经济性20%~30%,高速公路编队行驶可降低油耗10%~15%;再加上由此拉动的机械、电子、通信和互联网等相关产业快速发展,智能网联发展的大趋势和大潮流不可逆转,汽车也正在从功能车向智能车转变,功能不断更新、性能持续升级、迭代频率持续提高,已成为对智能车的基本要求。
但就在大家深刻感受到人工智能带来便利的同时,信息安全问题变得日益严峻。这并不是整车企业了解和擅长的领域,也因此成为了智能网联汽车的“短板”之一。据国家互联网应急中心车联网的监测及分析报告显示,截至2019年底,国家互联网应急中心安全漏洞库已收录汽车安全漏洞6600余个,其中高危漏洞超过1000个,典型严重及高危漏洞主要体现在APP越权远程控制、TSP越权访问/注入/爆破等方面。
“为保证智能网联汽车的信息安全,我们需要建设网联安全防护体系,来抵御和减轻网络攻击引起的危害。”姚修杰说。
信息安全标准与管理体系
近两三年来,我国对信息安全问题的关注和重视程度越来越高,从《网络安全法》到《个人信息保护法》的出台,再到《通用数据保护条例》的提出,以及“工业控制系统信息安全行动计划”,与之相对应的,有关标准也进行了升级和补充,车联网行业需要关注的包括ISO/IEC27001、ISO/IEC27701、TISAX、ISO26262和A-SPICE等。
姚修杰尤其提到了在信息安全方面的国际标准法规现状,例如以处罚金额著称的欧盟通用数据保护条例,还有NIST发布的隐私管理框架等,对于正在积极拓展海外业务的中国车企来说,这些都需要加以研究并重视,只有符合相关的法规标准,才能更好地助力中国汽车走出去。
基于此,建立信息安全管理体系就显得更加必要而迫切了。据姚修杰介绍,信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立风险得到充分管理的信心,主要用以确保信息的保密性(信息不能被未授权的个体、实体或过程利用或知悉的属性)、完整性(保护资产准确和完整的属性)和可用性(根据授权实体的要求,可被访问和利用的属性)。姚修杰指出,信息安全管理体系适用于所有类型的组织(例如:商业企业、政府机构、非盈利组织),包括但不限于银行、证券、保险等金融机构;交通、能源等大型国有企业;互联网数据中心(IDC)服务提供商;软件和信息技术服务企业;公共管理、社会保障和社会组织等。
简而言之,一切关注资产保密性、完整性和可用性的组织都适用于信息安全管理体系。
应用标准解决问题和提升管理
为了更好地构建适合汽车企业的信息安全管理体系,首先需要识别风险的主要来源。姚修杰认为,目前我国整车企业主要面临四方面风险:首先是公司的涉密数据遭到泄漏,可能由于员工的违规或不当操作,也可能是因为外部入侵,甚至合作第三方是否尽到涉密数据保护义务也值得注意;其次,汽车生产因安全事件导致中断,例如工控环境感染病毒或外部人员入侵,恶意停止设备运转等;第三,安全合规问题使业务推进受阻,主要包括未达到行业信息安全标准无法上市,或违反跨境数据传输、个人隐私保护相关法规,面临较重处罚;第四,公司研发或产品存在安全漏洞,这不仅涵盖已经上市的产品,也涉及到供应链引发的产品安全漏洞和运营中的信息系统。
作为业内第一家把审核服务重心从“满足标准要求”向“满足企业目标”转移的认证机构,2005年劳氏就创新性推出了业务保障(BusinessAssurance)服务方法。姚修杰强调,认证机构的业务保障方法应当根据体系对各方面的运营风险进行管理和减少的情况,来量身设计适合不同组织的审核方式,同时确保符合所选标准的所有要求,遵循这一原则,劳氏的独特审核方法就建立在三大支柱之上,并将专注点从合规性扩展至绩效,帮助组织实现战略目标。
“通过审视汽车行业当下的发展趋势,基本可以确定信息安全工作必须开展,一定要加以重视。”演讲最后,姚修杰建议,运用ISO标准来保障信息安全是一个不错的选择,当然,车企需要正确理解并灵活运用ISO标准。只有确保信息安全,车联网产业才能实现健康可持续的长足发展。
文:施芸芸编辑:刘晓烨版式:赵方婷
喜欢请点亮“在看”↓↓↓
