本文将由亚远景科技为大家带来ASPICE for Cybersecurity Engineering  汽车网络安全产品研发标准介绍。

ASPICE(Automotive SPICE) for Cybersecurity Engineering的适用范围：

UNECE法规R155要求车辆制造商OEM识别和管理供应链中的网络安全风险。知名的Automotive SPICE是一种过程评估模型及能力评级方法，用于评判汽车电子电气研发过程相关产品的风险。现将网络安全相关过程纳入Automotive SPICE范围，规范和定义网络安全过程参考（PRM）与评估模型(PAM)的安全工程实践，就是Automotive SPIC Process Reference & Assessment Model for Cybersecurity Engineering汽车网络安全产品过程参考与评估模型。该标准第一部分是对Automotive SPICE PAM 3.1的增补，它使得网络安全相关开发过程可被评价。

要开展汽车网络安全过程评估，先决条件是之前已存在Automotive SPICE VDA相关过程范围的评估结果。否则，要结合Automotive SPICE for Cybersecurity和ASPICE PAM开展评估。

该标准第二部分补充了现有Automotive SPICE指南（第一版）。它包含了Automotive SPICE第一部分第1章和第2章中定义的过程指南（第一版）也适用于第二部分，因此不再累述。

附录B包含了与Automotive SPICE for Cybersecurity相关过程工作产品特征的子集。

附件C包含与Automotive SPICE for Cybersecurity相关过程的术语子集。

ASPICE(Automotive SPICE) for Cybersecurity Engineering与ISO21434的关系：

ASPICE评估的目的是确定车载电子电气其产品开发主要生命周期过程、管理过程、以及支持过程的系统性风险。

ASPICE PAM Ver3.1和Automotive SPICE for Cybersecurity涵盖系统工程和软件工程，机械工程和硬件工程不属于当前ASPICE PAM评估范围。

ISO21434的某些方面不在该标准范围内，因为21434的一些要求不在产品项目研发段，由Automotive Cybersecurity Management System解决，如网络安全管理、网络安全活动和后开发阶段，这些都是Audit of the CyberSecurity Management System（ACSMS）的主题。         

也就是说Automotive SPICE for Cybersecurity主要是面向研发过程的参考与评估模型。

该标准支持分布式网络安全过程、网络安全概念开发、网络安全产品开发、网络安全验证、威胁分析和风险评估这些过程的能力评估。

ASPICE for Cybersecurity过程模型：

如下图所示，Automotive SPICE for Cybersecurity将从事车载网络安全研发活动分成6个过程，它们分别是ACQ.2供应商要求与选择，MAN.7网络安全风险管理，SEC.1网络安全需求获取，SEC.2网络安全开发，SEC.3风险应对验证，SEC.4风险应对确认。并将SEC.1~4四个工程过程融入Automotive SPICE模型系统组下的第二层。

以上就是ASPICE for Cybersecurity Engineering  汽车网络安全产品研发标准介绍。