(文:陳宣宏博士)
隨著「軟體定義汽車」(Software-Defined Vehicle, SDV) 的浪潮席捲全球,汽車已成為裝在輪子上的超級電腦。然而,高度聯網化也帶來了前所未有的網路安全威脅。為了從根本管控風險,聯合國歐洲經濟委員會 (UNECE) 頒布的 UN R155 法規已正式上路(於2024年7月已全面生效),強制要求車輛製造商 (OEM) 及其龐大的供應鏈必須建立完善的車輛網路安全管理系統 (CSMS)。
過去,由於缺乏統一的第三方稽核標準,各大 OEM 往往各自制定專屬的供應商網路安全稽核問卷。這導致了 Tier-1 與 Tier-2 供應商面臨嚴重的 「稽核疲勞」(Audit Fatigue),不僅需要應付各家車廠寬嚴不一的標準,耗費巨大的顧問費與行政資源,更難以在跨國供應鏈中建立一致、可被廣泛接受的安全基準。
此外,若依循 ISO/SAE 21434 進行的驗證,則要求企業在三年證書效期內必須進行兩次年度追蹤稽核,這也為企業帶來了龐大的後續維運與差旅成本。
為此,歐洲網路交換協會 (ENX Association) 結合了 ISO/SAE 21434 工程標準與 ISO/PAS 5112 稽核指南,正式推出了全球統一的ENX VCS(Vehicle Cyber Security) 「車輛網路安全」稽核的標準。這項標準不僅能讓供應商以單一驗證向全球車廠證明其資安實力,更大幅降低了重複稽核的財務負擔。
ENX VCS 如何解決供應鏈痛點?
為了解決產業痛點,ENX Association 推出基於 ISO/SAE 21434 標準與 ISO/PAS 5112 稽核指南的 ENX VCS 驗證機制。取得 VCS 驗證,能為供應鏈帶來三大核心優勢:
- 免除年度追蹤稽核,大幅降低成本: ENX VCS 標章有效期為三年,且期間 「不需要」進行定期的年度追蹤稽核。這項制度設計大幅減輕了供應商的財務負擔與內部人力消耗
- 角色導向 (Role-oriented) 的精準評估: VCS 導入靈活的彈性評估思維,供應商可根據自身在產品生命週期中參與的實際階段選定「稽核目標 (Audit Objectives)」,如: VCS Development, VCS Production and VCS Operations & Maintenance。系統會動態篩選出適用的管控提問,避免企業耗費心力證明與自身業務無關的合規項目,極大提升稽核效率。
- 全球互認,避免重複稽核: 透過 ENX Portal 的全球互認機制,供應商得以用統一的標準向全球 OEM 展現一致的安全承諾,一次稽核即可滿足多家車廠要求。
為什麼已經有了 TISAX,ENX 還要建立 VCS?
許多客戶不禁想問:「我們已經取得了 TISAX (Trusted Information Security Assessment Exchange) 驗證,為什麼車廠現在又要求 VCS?」原因在於,隨著「軟體定義汽車」時代來臨與 UN R155 法規的強制要求,供應鏈的風險防護焦點必須從「企業內部的資訊/實體環境」進一步延伸至「行駛在道路上的車輛產品本身」。雖然兩者皆由 ENX 協會治理,但 TISAX 解決的是組織「基礎建設的網路安全」,而 VCS 解決的則是更為複雜的「產品工程的網路安全」。正因為傳統的資訊安全稽核無法涵蓋車輛工程的特殊技術要求,ENX 才會量身打造全新的 VCS 標準。
前進全球車用資安供應鏈的最後一哩路
必維集團 (Bureau Veritas) 準備好了!
面對這波不可逆的車規資安浪潮,必維集團 (Bureau Veritas, 以下簡稱BV) 是您最值得信賴的戰略夥伴。身為全球驗證界的領導品牌,BV 擁有跨越兩個世紀的公信力,更是 ENX Association 官方正式認可的稽核服務商。
選擇BV,您將享有以下獨家優勢:
- 「TISAX + VCS」一站式整合服務:從基礎設施防護的 ISO 27001、TISAX® 汽車業可信任資訊安全評估,一路到產品工程與生命週期防護的 ENX VCS,BV 提供涵蓋全價值鏈的驗證解決方案。
- 最高規格的信任賦能:BV 的稽核團隊不僅精通系統稽核,更具備深厚的汽車電子工程與威脅風險分析 (TARA) 領域知識,我們核發的標章,就是全球車廠最安心的信任憑證。
在軟體定義汽車的時代,資安不再是成本,而是企業接單的最強競爭力。
立即聯繫BV,讓我們協助您的企業無縫接軌國際標準,穩步邁向全球車聯網供應鏈的頂端!
作者簡歷
- 必維集團驗證事業部大中華區ICT產品經理