ISO/PAS 5112 标准解读——从审核视角解析汽车网络安全管理体系（CSMS）建设

Part 01

标准概况

1、基本情况

2022年3月31日，国际标准化组织ISO正式发布《ISO/PAS 5112 道路车辆—网络安全工程审核指南》（ISO/PAS 5112 Road vehicles-Guidelines for auditing cybersecurity engineering）首版标准文件（以下简称 ISO/PAS 5112）。该标准由道路车辆ISO/TC22技术委员会-电子电气部件及通用系统SC 32分委会筹备编写。ISO/PAS 5112基本复用《ISO 19011：2018 管理体系审核指南》（以下简称“ISO 19011”）的结构框架，将其拓展应用于汽车网络安全管理领域。ISO/PAS 5112紧密衔接《ISO/SAE 21434 道路车辆—网络安全工程》(以下简称“ISO/SAE 21434”)标准相关要求，以支撑指导其审核工作，而后者是全球首个汽车网络安全管理体系的国际标准。因此ISO/PAS 5112也是汽车领域在网络安全管理体系建设方面的又一重要文件，对该标准的研究解读，将帮助从业者从审核的角度理解汽车网络安全管理体系，从而更好地构建思路，开展实践。

2. 适用范围及作用

ISO/PAS 5112 面向汽车产业链中实施汽车网络安全工程的企业及开展相关审核工作的组织；但仅针对组织层面的网络安全活动，项目及产品层面的工作成果可作为实施网络安全管理体系的证明，但并非在ISO/PAS 5112的讨论范围内。标准对多种类型的审核主体和场景均可发挥指导作用。

3. 与其他相关文件的关系

3.1  ISO/PAS 5112与ISO 19011

ISO/PAS 5112作为ISO标准体系下的审核指南类标准，其内容结构与ISO 19011基本相同（一致性对应至3级标题），充分体现了ISO 标准体系的协调性和规范性。在标准各项条文中，均提出应首先遵守ISO 19011相应条款要求。进而结合汽车网络安全管理体系审核的特殊需求，以ISO/SAE 21434相关内容为依据，在部分条款中对具体规定、注意事项和示例进行补充。经统计，在标准4-7主体章节共49项条文中，有14条进行了补充规定。这些规定也构成了ISO/PAS 5112的核心内容。

3.2 ISO/PAS 5112与ISO/SAE 21434

ISO/PAS 5112作为支撑ISO/SAE 21434审核的标准，其与ISO/SAE 21434的紧密关联性是不言而喻的。具体来看，首先，ISO/PAS 5112所审核的管理体系，即网络安全管理体系（cybersecurity management system CSMS），其定义、范围和组成要素均采用ISO/SAE 21434的规定。其次，在审核内容上，ISO/PAS 5112主要考察汽车网络安全管理体系的六个方面（详见后文），这些方面的划分正是基于ISO/SAE 21434所规定的CSMS应建设内容，均可在ISO/SAE 21434中找到对应的章节；并且，将ISO/SAE 21434中提出的具体目标项(objectives)是否达成作为审核指标，工作成果项（work products）作为主要证明资料示例；以上均在附录A中以审核问卷的形式呈现。此外，ISO/PAS 5112也规定了审核人员\团队应具备的知识和技能，其中包括充分掌握 ISO/SAE 21434标准所规定的网络安全活动。

3.3 ISO/PAS 5112与VDA红皮书

汽车网络安全管理体系的另一重要审核支撑类文件是由德国汽车工业协会质量管理中心VDA QMC于2020年12月发布的《汽车网络安全管理体系审核》（通常称为“VDA红皮书”）。VDA红皮书定位于对R155法规CSMS认证部分的审核操作指南，与ISO/PAS 5112具有很强的关联性但侧重有所不同。总体来看，ISO/PAS 5112更强调审核体系下程序规则的完整性与规范化；VDA红皮书侧重于对R155法规中在审核实操方面未尽内容的补充及细化。例如，关于审核流程，由于R155已做较为详细的规定，VDA红皮书中未进行重复叙述，但重点补充说明了评级方式、规则等；关于审核内容，其结构划分与R155法规项思路保持一致，而在最低要求和工作成果方面，则基于R155解读文件（Proposals for Interpretation documents for UN Regulation No.155）中给出的R155 CSMS认证要求与ISO/SAE DIS 21434的映射关系，一定程度上采用ISO/SAE DIS 21434相关内容。

图1：ISO/PAS 5112 与其他文件的关系

Part 02

结构及主要内容

1. 结构框架

ISO/PAS 5112正文包含7个章节、2个附录，主要结构框架如图所示。

图2：ISO/PAS 5112 结构框架

2. 审核原则

ISO/PAS 5112在审核原则上再次强调仅针对ISO/SAE 21434所定义的组织层面网络安全审核，产品层级不在讨论范围内。在产品层面，ISO/SAE 21434中所定义的网络安全评估（cybersecurity assessment）用以判断特定相关项或组件的网络安全水平。

3. 审核项目管理

关于建立审核项目的目标，应考虑ISO/SAE 21434各目标项的实现、被审核方产品所特有的网络安全风险、被审核方在汽车供应链中的位置角色以及明确审核是否包括对CSMS流程中所应用具体方法的评估。

关于审核项目的管理人员能力要求，需掌握被审核方所使用的建立和维护CSMS的网络安全相关标准；汽车行业中与网络安全生命周期相关的通用流程；将被审核组织特有的流程、指南和规则与审核标准进行匹配的能力；在实施多体系审核（combined audit）时与其他管理体系审核项目协调的能力。

关于建立审核项目的范围，应考虑到的影响因素包括：被审核方的规模及其对网络安全过程的参与程度；网络安全相关的供应链及供应链中需纳入审核范围的实体；在网络安全过程范围内，保护相关网络安全资产的重要程度。

关于定义特定审核目标、范围及标准，审核范围应覆盖被审核方在网络安全生命周期阶段所实际涉及的CSMS流程；审核范围可以是整个组织，也可以是一个或几个被明确划定的组织单元；如果CSMS流程依赖于与其他流程的交互，那么应识别出交互方式及依赖关系；如果组织需依赖其他外部组织来实现其CSMS目标，那么应识别出做出贡献的外部组织，并明确被审核方在管理其与外部组织依赖关系时所涉及的范围；在网络安全接口协议中定义的分布式网络安全活动可纳入审核范围。

审核目标应包括确认用以实现ISO/SAE 21434目标所实施的流程、所应用的方法和标准的适宜性；被审核方如在实施外部审核前，进行内部审核来识别和弥补当前CSMS体系中的不足，那么内部和外部审核的范围和目标应协调一致。

4. 审核执行

关于审核合同，审核人员和被审核方应该就不公开信息达成一致；信息可分为保密信息和敏感信息两类，这些信息的访问权限应限制在部分审核团队成员范围内。

关于审核启动，审核团队和被审核方应在以下方面达成一致：可提供给审核团队的信息和/或物料类型以及这些信息和/或物料、其他证明材料的位置；临时增加审核团队成员的程序；对于供应链伙伴（外包商）的审核流程及方法；临时沟通机制和方法；所需信息的可用性及权限。

关于审核过程中的沟通，应包括：关于审核方式方法的偏差；关于审核项目目标预期的偏差；联系点可用性的偏差；已声明的沟通程序的偏差；审核期间由于保密性和敏感性原因导致的相关证明材料或文件不可用；已声明的组织网络安全流程的偏差；审核期间的网络安全风险。

关于信息收集和确认的方法，应包括：文档信息审核，关于相关项及部件开发工程的政策、规则文件；现场查验网络安全流程及方法；现场查验工程环境

关于审核判定，对于每一项目标的达成情况判定为三级，包括符合、轻度不符合、严重不符合，对于所有不符合项需给出判定理由。

表1：ISO/PAS 5112审核评级及标准

关于审核结论，基于审核判定情况，将审核结论分为三类，包括通过、有条件通过和不通过。对于不通过和有条件通过的，被审核方应分析原因并提出具体整改措施；对于有条件通过的，如果被审核方不提供整改措施或者整改措施不被审核团队接受，那么审核结论应为不通过。

表2：ISO/PAS 5112审核结论及标准

关于审核完成，如果审核归档信息由审核团队保存，那么审核团队和被审核方应在保密信息的处理方式上达成一致；如果需要将审核期间获取的信息披露给第三方，那么审核团队和被审核方应在披露事宜上达成一致；如果被审核方授予了保密信息的获取权限，那么审核团队应该通知被审核方该权限的可撤回时间。权限在后续跟踪活动期间可重新授予。保密信息应基于各参与方共识，仅用于获取经验。

5. 审核人员的能力要求及评估

审核团队需建立与审核范围相匹配的相关能力，在ISO/PAS 5112 附录B中已做出详细列举，除充分掌握ISO/SAE 21434网络安全活动外，还需具备CSMS以及其他相关知识与技能。审核团队可以通过CSMS相关的授权资质、接受并完成相关培训课程记录、持续性的专业研发工作记录及审核项目经历等，证明所拥有的知识和技能。

6. 审核问卷

ISO/PAS 5112 附录A给出审核问卷的示例作为资料参考，主要涉及六个模块：网络安全管理、持续性网络安全活动、风险评估及方法、概念及产品开发阶段、后开发阶段和分布式网络安全活动，并在每个方面下设置若干问题，以细化各方面的审核内容。同时，ISO/SAE 21434中规定的目标、工作成果，分别作为审核指标及证明材料示例来支撑审核。但应注意，ISO/SAE 21434中列举的工作成果并不作为唯一的证明材料，并且在某些方面也可能是不充足的，需其他材料补充证明。

表3：ISO/PAS 5112 附录A 审核问卷（摘要整理）

Part 03

结语

如上文所述，ISO/PAS 5112作为ISO/SAE 21434的审核支撑类标准，是指导CSMS建设的重要文件之一。非常建议将此标准与本文提到的ISO/SAE 21434、ISO 19011、VDA红皮书、R155及其解读文件等结合研读，通过相关内容的对照和补充，从多方角度更加全面深刻地理解汽车网络安全管理体系建设工作。

随着国内外相关法规标准的陆续发布，行业领先企业的实践探索，汽车领域网络安全管理体系的框架思路、建设路径也在逐步清晰。行业整体从前期的讨论热烈但无从下手，到如今已初步取得阶段性实践成果。正如早期提出的QMS、ISMS等管理体系目前已在各领域各组织内广泛应用的历程一样，汽车网络安全管理体系CSMS也将成为未来汽车行业参与者的必修课程。由此，强烈建议汽车产业链上下游的企业尽早地建立起网络安全管理体系的认知，并尽快投入到建设实践中。为网络安全合规应对争取更多的时间，也为企业自身及产品的网络安全能力构建做好全面保障。

国家智能网联汽车创新中心正在牵头推进汽车网络安全管理体系相关国家标准的制定，后续将持续推出权威解读材料。创新中心信息安全业务以“支撑监管，服务行业”为目标，致力构建覆盖“云、管、端”的综合主动安全防护体系，提供ICV安全相关的咨询、培训等服务，推动智能网联汽车产业安全发展，为智能网联汽车生态圈持续赋能！

作者：国家智能网联汽车创新中心信息安全部  王翔宇