引言
联合国欧洲经委会(简称UNECE)的法规R155要求汽车制造商(简称OEM)具备网络安全管理体系(简称CSMS),并以此进行汽车产品的研发与运营管理,其中关键的一个环节是要求OEM需要识别并管理其供应链中的网络安全风险,这代表着OEM需要对供应商的网络安全开发与运营情况进行监控与管理。
对于供应链上的开发管理工作,当前行业已经有了很好的一个管理工具,也就是ASPICE:
ASPICE是一种过程评估模型,评估师可使用适当的评估方法依赖ASPICE模型对产品研发过程进行评估时,以帮助识别过程相关的产品风险。
为了将与网络安全相关的过程纳入ASPICE的范围,在ASPICE for Cybersecurity中定义了额外的过程,于此可以为行业提供一个手段,也就是通过ASPICE + ASPICE for Cybersecurity的组合,对产品研发过程的通用研发质量与网络安全过程质量进行评估,进而帮助进行供应链的CSMS工作。
在这个背景下,行业对ASPICE与ASPICE for Cybersecurity产生了许多的学习与使用需求,亚远景于此已有充足的积累,在近期的合作客户沟通中发现大家对存在众多问题,包括ASPICE for Cybersecurity本身的标准解读,与ASPICE的结合方式,与ISO/SAE21434之间的满足关系等等,为了帮助新老学习者能够更高效的学习,我们计划结合ASPICE for Cybersecurity Guideline,对该标准进行一些标准解读和应用说明,希望向更多的人明晰化标准的一些要求,也帮助推动标准在行业的发展。
当前推出的ASPICE for Cybersecurity标准中新增加了6个过程,分别是
ACQ.2 Supplier Request and Selection
供应商要求与选择;
MAN.7 Cybersecurity Risk Management
网络安全风险管理;
SEC.1 Cybersecurity Requirements Elicitation
网络安全需求获取;
SEC.2 Cybersecurity Implementation
网络安全实施;
SEC.3 Risk Treatment Verification
风险处理的验证;
SEC.4 Risk Treatment Validation
风险处理的确认。
我们从ACQ.2.Supplier Request and Selection供应商要求和选择开始讲起。
ACQ.2 供应商要求和选择
供应商要求和选择过程的目的是根据相关标准授予供应商一个合同或协议。
ACQ.2过程的主要要求在分布式网络安全活动中,需要对网络安全相关的服务和产品提供方进行RFQ。
RFQ流程在汽车行业的采购部门中是非常常见且标准化的,在ASPICE中也存在三个相关的过程:ACQ.3.“合同协定”,ACQ.14.“提案要求”和ACQ.15.“供应商资质鉴定”。
为了给汽车行业为提供网络安全相关的供应商管理的支持,VDA创建了新的过程“ACQ.2供应商要求和选择”,并与三个ASPICE原生过程ACQ.3, ACQ.14和ACQ.15形成配合。
概要来谈,在供应商要求和选择过程中,客户需定义供应商有关的及要参与的场景用例,并且至少需要应用于以下场景用例中使用预先定义好的供应商评估和选择准则:
Supplier develops a component on the base of customer requirements (e.g., engineering service).
供应商根据客户需求(如工程服务)定制开发组件;
Supplier delivers and maintains a component that is provided off-the-shelf to the customer (e.g. operating system, device drivers, system with hard and software).
供应商提供并维护一个为客户提供的现成组件(例如,操作系统、驱动、带有软硬件的系统);
Supplier delivers a component created based on the customer’s requirements and contains off-the-shelf (sub-)components.
供应商提供一个根据客户需求定制开发的组件,其中包含现成的(子)组件;
Excluded are suppliers that deliver products without any support (e.g., free and open source software).
不包括没有任何支持的产品供应商(例如,免费和开源软件)。
评级建议
(1)网络安全评估准则/Evaluation criteria for cybersecurity
对于网络安全相关的服务和产品,评估准则应包括对网络安全相关供应商的准则,如是否具备经过认证的网络安全管理系统、ASPICE for Cybersecurity的能力评估、来自以往项目的网络安全最佳实践等。
[ACQ.2.RC.1]If cybersecurity-relevant services and products are requested and cybersecurity capabilities are not covered in the evaluation criteria, the corresponding indicator BP1 should be downrated.
解读:如果供应商端提供服务和产品被识别是网络安全相关的,但是在对供应商进行评估时所使用的评估标准中,如果没有包括对供应商的网络安全能力的相关评估标准的话,则应降低相应的指标BP1的评级。
—— ACQ.2 BP1:Establish supplier evaluation criteria建立供应商评估标准。
当前在业内比较常见的可以用来快捷的评估供应商能力的标准常见于ASPICE for Cybersecurity的评估结果,网络安全认证,VDA ACSMS的审计报告等等,可以根据具体产品的网络安全相关程度,对这些的标准进行定量化要求,比如,ASPICE for Cybersecurity中6个过程需要有CL2的能力。
(2)缺少ACSMS和ASPICE的相关证据/Missing evidence ACSMS and ASPICE
对于网络安全相关的服务和产品的供应商,如果没有证据表明其具备以下能力:
Supplier’s certified Cybersecurity Management System (ACSMS)
供应商认证的网络安全管理系统(ACSMS)
Automotive SPICE Assessment
ASPICE评估
Automotive SPICE for Cybersecurity assessment results
为网络安全评估结果提供服务的ASPICE
需要在后续达成一致的行动计划中确定相关的改进活动,以获得以上缺失的证据。
[ACQ.2.RC.2]If cybersecurity-relevant services and products are requested and cybersecurity evidence such as certification of Cybersecurity Management System, Automotive SPICE assessment results and Automotive SPICE for Cybersecurity assessment are not available and not part of the agreed upon action plan, the corresponding indicator BP3 and BP4 should be downrated.
解读:对于网络安全相关的服务和产品的供应商,如果ACSMS, ASPICE, ASPICE for Cybersecurity的网络安全能力证据不足,且也没有针对性的去约定相应的行动计划,相应的指标BP3和BP4应被下调。
——BP3:Prepare and execute request for quotation (RFQ) 准备一份执行报价请求(RFQ)
——BP4:Negotiate and award the contract/agreement协商并授予合同/协议
如果供应商缺少供应商能力评估标准相关的能力证明,那就需要供应商给出有效的行动计划,包含具体的改进活动如过程改进,评估计划,流程搭建等等,经过双方的沟通确认有效后可以作为BP3和BP4的有效证据,支持本过程目标的实现。
(3)缺少网络安全要求/Missing cybersecurity requirements
如果需要网络安全相关的服务和产品的外包供应商,客户应对外包相关的网络安全需求进行细化拆解,以作为网络安全评估的基础。
[ACQ.2.RC.3]If cybersecurity-relevant services and products are requested and the cybersecurity evaluation does not contain all for the supplier’s service or product relevant cybersecurity requirements, the corresponding indicator PA1.1 should be downrated.
解读:如果需要网络安全相关的服务和产品的外包供应商,但网络安全的评估没有包含所有的外包网络安全相关需求,应降低相应的指标PA1.1的评级。
下图展示了ACQ.2中各BP(base practices)之间的关系
评级一致性
在ACQ.2中各BP之间的关系:
BP2:Evaluate potential suppliers评估潜在的供应商
[ACQ.2.RL.1]If the indicator BP1 is downrated due to an inappropriate, insufficient, or incomplete definition of the supplier evaluation criteria, the corresponding indicator BP2 shall be downrated.
解读:如果指标BP1由于对供应商评估标准的定义不适当、不充分或不完整而被下调,则应下调相应的指标BP2。
BP3:Prepare and execute request for quotation (RFQ) 准备并执行报价请求(RFQ)
[ACQ.2.RL.2]If the indicator BP2 is downrated due to an inappropriate, insufficient, or incomplete evaluation of the potential suppliers, the corresponding indicator BP3 shall be downrated.
解读:如果指标BP2由于对潜在供应商的评估不适当、不充分或不完整而被下调,则相应的指标BP3应被下调。
BP4:Negotiate and award the contract/agreement协商并授予合同/协议
[ACQ.2.RL.3]If the indicator BP3 is downrated due to an inappropriate, insufficient, or incomplete quotation request, the corresponding indicator BP4 shall be downrated.
解读:如果指标BP3因一项不适当、不足或不完整的报价请求而被下调,则相应的指标BP4应被下调。
因为存在不合理的评估标准定义(BP1),基于这个评估标准进行的相应的评估工作肯定也是不合理的(BP2),进一步引发RFQ工作的隐患风险(BP3),同时最后商定的协议,包括其中可能包含的行动计划都会存在不充分的风险(BP4),整个过程工作到这,每个BP都存在风险,过程的目标风险也会增大,所以BP1-4之间都会有连锁降级的规则,这将直接影响ACQ.2过程的PA1.1的评级。
关于亚远景科技
上海亚远景信息科技有限公司是国内汽车软件行业咨询及评估领军机构之一,深耕于ASPICE、ISO26262功能安全、ISO21434网络安全领域,拥有10年以上的行业经验,专精于培训、咨询及评估服务,广受全球车厂及供应商赞誉,客户好评率行业领先。坚持以“探索、研发、融合”引领创新发展,秉持“用心服务、专业技术、合作发展”的理念,不断以新技术新模式为客户提供更有效更敏捷的服务。