歐盟即將針對車廠強制實施資安標準R155,車用供應商則需要透過導入ISO/SAE 21434來協助車廠達成R155的要求。DEKRA德凱認證全球功能安全/網路安全資深經理黃浩鈿分析,企業導入ISO/SAE 21434有三大常見挑戰,首先是供應商需要持續監控產品,產品出貨給車廠之後,可以採用相應的軟體工具,持續搜集市場上的數據。
DEKRA德凱認證全球功能安全/網路安全資深經理黃浩鈿分析,企業導入ISO/SAE 21434有三大常見挑戰,首先是供應商需要持續監控產品,產品出貨給車廠之後,可以採用相應的軟體工具,持續搜集市場上的數據。其次,在威脅分析和風險評估(TARA)的過程中,分析人員需要界定關鍵資產、威脅建模、攻擊可能性,以進行分析與評估。第三點是部分企業雖然有產品測試小組,但是沒有專門的資安測試人員,多數透過外包執行,較難掌握測試狀況。
企業若要順利整合ASPICE、ISO 26262及ISO/SAE 21434流程,首先需要建立良好的品質管理(QM)流程。良好的QM流程指的是,由保證人員負責整合並監控ASPICE、ISO 26262及ISO/SAE 21434流程。接著資訊安全管理要在各個專案啟動後,不論是產品開發或設計,都要通過審查及驗證。
黃浩鈿指出,車用供應商只要按照標準流程、執行順序、方法指南、適當的負責人員與QM流程,來開發產品的功能安全與資安功能,就能順利導入ASPICE、ISO 26262及ISO/SAE 21434流程,並且未來所有專案都能在標準流程的基礎上,進行彈性調整。