整车生命周期长、涉及面广的新形势为合规工作带来巨大挑战，且地图测绘相关政策等以往被忽略的标准被提到台前。

　　

2022年8月26日，由盖世汽车主办的2022中国汽车信息安全与功能安全大会中，零束科技有限公司标准法规专家王艳艳表示，为应对安全合规要求落地和融合的痛点，零束建立起全方位立体的安全防护体系，并打造全生命周期的研发流程以及实现闭环的网络安全漏洞管理流程，使研发流程和漏洞管理、修复进行结合，同时建立起持续的网络安全监控体系。旨在通过解读行业规范和监管机构意图，做好相关信息吸收与转化，在合规工作中实现技术和平台的开发创新。

　　 　　

     　　

王艳艳 | 零束科技有限公司标准法规专家

　　

以下为演讲内容整理：

　　

　　零束是一家专门做汽车软件开发的公司，我们的目标是致力于打造软件定义汽车的新时代。今天我会结合专业背景，从监管角度去思考如何做好网络安全和数据安全的合规工作。

　　

国内外汽车安全合规形势

　　

关于当前的合规形势，如果站在监管角度去思考怎样管理智能网联汽车，我们首先可以分析智能网联行业有什么特点。

　　

传统汽车行业较关注Safety和可靠性，产品开发周期和生命周期较长，较为关注硬件的连接。

　　

而智能网联汽车时代引入传统ICT行业的要求和特点，抖客网，且更多地关注用户体验。由于引入了大量软件代码，开发过程中就会出现很多漏洞、BUG，Security问题也随之提出。敏捷开发的模式在缩短产品生命周期的同时也缩短了软件开发周期，开发的重点逐渐从硬件变为软件。

　　

联合国发布的《自动驾驶汽车框架文件》提出9个共性原则，以后的监管将主要基于这9个原则中进行标准或法规的出台。

　　

第一，系统安全，自动驾驶系统应使驾驶员及其他道路使用者免于不合理的的安全风险。

　　

第二，失效保护响应，其中包括最小风险策略的概念。

　　

第三，人机交互界面，自动驾驶系统需在驾驶员参与的情况下发出接管请求。

　　

第四，目标事件探测与响应，自动驾驶汽车应当能够对其运行范围内的合理可预见物体进行检测和响应，这是自动驾驶汽车的基本功能和要求。

　　

第五，设计使用范围，汽车采用自动驾驶模式的具体使用情形。

　　

第六，系统安全验证，车辆制造商设计出免于不合理安全风险的系统。

　　

第七，信息安全。

　　

第八，软件更新。

　　

第九，搭建数据记录仪和自动驾驶汽车数据存储系统，以应对事故发生后的追溯要求。

　　

在国内，工信部在2021年发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》，重点关注几部分：一是数据与网络安全，二是软件升级，三是自动驾驶的产品管理。今天我们讨论的很多功能安全，都是自动驾驶功能产品安全管理中的要求。

　　 　　

     　　

图片来源：零束科技

　　

国内从法律到行政法规、部门规章、规范性文件，再到下面的标准都提出了很多要求。我们可以认为这三部法律是纲领性文件，它为相关执法提供了法律依据，但不会针对具体的情境进行约定。下面会根据三部法律制定详细的监管要求，成为今后相关工作中的参考。行政法规明确了管理机构应该履行的安全保护职责，部门规章针对具体情形进行约束。

　　 　　

     　　

图片来源：零束科技

　　

这边列出了现在和智能网联汽车、网络安全和数据安全相关的标准体系。需要和大家特别介绍的是最底下小的表格，这里其实还有两个强制标准，一是智能汽车地理信息采集安全技术基本要求，它是针对地理信息采集提出的专门技术标准，这个标准目前已经在自然资源部进行立项；另一项是智能汽车测绘传感系统安全检测技术要求。

　　

另外针对智能汽车基础地图数据传输安全保护技术规范，还有智能汽车地图的数据安全保护基本要求，也会确立两个相关标准。

　　

新形势下的合规工作挑战

　　

在新的形势下，合规工作面临更多挑战。在智能网联汽车的全生命周期中，模型训练导入期、量产车研发期、上路运营期等每个阶段到底要遵守哪些规定，其中有很多考量。

　　

做安全合规工作有很多概念、很多边界要厘清。我们会经常提到个人信息保护、网络安全、数据安全、隐私保护等等，这些概念之间其实是一个交织的关系，它可以扩展也可以收缩。如何让边界更清晰、更加有效地进行协同？这是一个很大的挑战，我觉得可以从几方面来看：

　　

第一，流程体系的设计，以及如何对流程体系进行融合，尽可能复用现有的流程体系。

　　

第二，风险评估，包括个人信息的影响评估、重要数据的风险评估，以及是否有专业工具去支持相关工作等。

　　

第三，安全审计。我们需要更多地引入传统IT的思路，针对合规问题做相关的安全审计。

　　

另外从数据安全的角度来看，现在数据安全已经成为全民话题，后面会有很多工作要做。现在汽车行业到底怎么做，大家还没有明确的思路。后面还包括安全架构、隐私保护、产品设计等方面的问题。

　　

零束科技的探索与实践

　　

零束科技目前主要做了的事情如下：技术方面我们建立了全方位立体的安全防护体系，以及打造了全生命周期的研发流程，并与现有的研发流程进行融合。另外打造了闭环的网络安全漏洞管理流程，建立起网络安全持续的监测运营。

　　

我们的目标是希望首先能做好相关信息吸收与转化，并通过对行业规范的解读清楚地理解监管机构的意图。基于合规的解读输出，我们能搭建起相关的体系，规范好每个单位、部门、业务人员所应承担的能力和角色。这个过程中我们建设了ISO21434、数据安全等管理体系，另外将合规能力嵌入整个内控体系。

　　

通过基础体系的建设，我们要着重建设和提升相关能力，在此过程中推动相关的技术开发和验证，并打造相关的合规工具和平台创新。我们希望能基于零束所做的工作打造协作的生态，与我们的合作伙伴共筑汽车安全生态。

　　 　　

     　　

图片来源：零束科技

　　

这是上汽集团网络与数据安全的协作平台的框架，包括体系内控、安全技术、审查考核、应急响应的管理闭环，并从管理体系、技术体系方面去规范研发过程的数据安全、产品的网络安全和产品数据安全，以及通用领域的信息安全。这几个领域存在一定差异，需要各领域各司其职，进行协作配合。围绕组织、人、流程等层面，共同建设整个体系。

　　 　　

     　　

图片来源：零束科技

　　

原标题：【全方位立体+全生命周期防护 零束打造智能网联汽车“安全服”】 内容摘要：整车生命周期长、涉及面广的新形势为合规工作带来巨大挑战，且地图测绘相关政策等以往被忽略的标准被提到台前。 2022年8月26日，由盖世汽车主办的2022中国汽车信息安全与功能安全大会中 ... 文章网址：https://www.doukela.com/qiche/149687.html； 免责声明：抖客网转载此文目的在于传递更多信息，不代表本网的观点和立场。文章内容仅供参考，不构成投资建议。如果您发现网站上有侵犯您的知识产权的作品，请与我们取得联系，我们会及时修改或删除。