王素

日前，联合国欧洲经济委员会（以下简称“UNECE”）的世界车辆法规协调论坛（WP.29）决议了3项智能网联汽车领域的重要法规，其中一项便涉及信息安全，即“WP.29信息安全法规”。该法规适用于M类、N类、至少装有1个电控单元的O类及具备L3以上自动驾驶功能的L6和L7类车辆，并将于2021年1月起生效。一些传统汽车生产强国据此也发布了实施计划时间表。比如，欧盟要求新的WP.29信息安全法规于2022年7月起成为车辆准入欧盟的新强检项之一。

新信息安全法规应用范围广

得益于网联技术及自动驾驶技术的不断发展，汽车行业正经历着深刻的变革。如今，一部汽车已包含多达150个电子控制单元和大约1亿行软件代码，预计到2030年将激增到3亿行代码。暴露于众的接口日益增多，随之而来的信息安全问题也不断凸显。比如，黑客试图入侵电子系统和窃取敏感数据，将极大地威胁车辆安全和消费者隐私。

为此，欧盟将新的WP.29信息安全法规中制定的原则纳入欧盟法律框架，并确保与欧盟其他法规的一致性（如排放、维修保养信息、成员国和/或欧盟信息安全通用规则）。考虑到UNECE法规在全球汽车领域应用范围之广，预计这项新法规会在UNECE 《1958年协定书》的54个缔约方中广泛采用并覆盖全球。

WP.29信息安全法规的两大要求

在WP.29相关法规中，针对信息安全的要求主要分為两大方面，即信息安全管理体系认证（Cyber Security Management System，以下简称“CSMS认证”）和车辆型式审批。

CSMS认证主要审查原始设备制造商（OEM）是否在汽车的全生命周期中制定了信息安全相关的流程，以确保汽车全生命周期中都有对应的流程措施。各流程实施于开发、生产、量产运维各个阶段，保证信息安全设计、实施及响应均有流程体系指导。

车辆型式审批则是针对OEM信息安全开发中具体的工作项进行审查，旨在保证实施于车辆的信息安全防护技术在进行审查认证时足够完备。换言之，CSMS认证是车辆型式审批的前提，而最终车辆准入必须完成CSMS认证及车辆型式审批。

信息安全认证合规落地任重道远

WP.29信息安全法规的强制实施，意味着对于有计划出口至欧盟地区的汽车制造商而言将面临更为严峻的准入挑战。

T?V南德意志集团信息安全专家黄清泉坦言 ，获得信息安全认证（包括CSMS认证和车辆型式审批）将会是一个长战线的系统性工程。

“短期来看，信息安全认证涉及面广，贯穿开发、生产、量产维护及响应等各阶段，工作量之大不言而喻。长期来看，鉴于行业内的自动驾驶技术和网联技术的持续性发展，车辆信息安全势必无法做到一蹴而就。OEM除了需要完成CSMS认证及车辆型式审批外，还需要对信息安全流程及防护方案进行持续审查和更新，并及时向技术服务机构或发证机构上报变化情况。同时，发证机构也将不定期地抽查信息安全流程及防护方案的实施状态。如果当前状态无法确保车辆信息安全，将直接影响车辆的信息安全认证。” 黄清泉总结道。