日前，在联合国欧洲经济委员会(以下简称“UNECE”)的世界车辆法规协调论坛上决议了三项智能网联汽车领域的重要法规，其中一项便涉及信息安全(以下简称“WP.29信息安全法规”)。该法规适用于M类、N类、至少装有1个电控单元的O类以及具备L3以上自动驾驶功能的L6和L7类车辆，并将于2021年1月起生效。一些传统汽车生产强国也据此发布了实施计划时间表，比如欧盟要求信息安全法规将在2022年7月起成为车辆准入欧盟的新强检项之一。对此，全球知名的第三方认证检测机构 -- TUV南德意志集团(以下简称“TUV南德”)表示：WP.29信息安全法规的强制实施意味着，对于有计划出口至欧盟地区的汽车制造商而言将面临更为严峻的准入挑战。

　　得益于网联技术及自动驾驶技术的不断发展，汽车行业正经历着深刻的变革。如今，一部汽车包含多达150个电子控制单元和大约1亿行软件代码，预计到2030年将激增到3亿行代码。暴露于众的接口日益增多，随之而来的信息安全问题也不断凸显，比如黑客试图访问电子系统和数据，这将极大地威胁车辆安全和消费者隐私。为此，欧盟将当前WP.29信息安全法规中制定的原则纳入欧盟法律框架，并确保与欧盟其它法规的一致性(例如排放、维修保养信息、成员国和/或欧盟信息安全通用规则)。考虑到UNECE法规在全球汽车领域应用范围之广，预计这项法规会在UNECE 1958年协议的54个缔约国中广泛采用并覆盖至全球。

　　WP.29信息安全法规概述

　　WP.29相关法规中针对信息安全的要求主要分为：信息安全管理体系认证(Cyber Security Management System，以下简称“CSMS认证”)和车辆型式审批两方面。

　　其中CSMS认证主要审查OEM是否在汽车的全生命周期中制定了信息安全相关的流程，以确保汽车全生命周期中都有对应的流程措施。各流程实施于开发、生产、量产运维各个阶段，保证信息安全设计、实施及响应均有流程体系指导。而车辆型式审批则是针对OEM的信息安全开发中具体的工作项进行审查，旨在保证实施于车辆的信息安全防护技术在进行审查认证时足够完备。换言之，CSMS认证是车辆型式审批的前提，而最终车辆准入必须完成CSMS认证及车辆型式审批。　　

　　WP.29信息安全法规的两大要求

　　信息安全认证合规落地 任重道远

　　TUV南德的信息安全专家黄清泉坦言，获得信息安全认证(包括CSMS认证及车辆型式审批)将会是一个长战线的系统性工程。“短期来看，信息安全认证涉及面广，贯穿开发、生产、量产维护及响应等各阶段，工作量之大不言而喻。长期来看，鉴于行业内的自动驾驶技术和网联技术的持续性发展，车辆信息安全势必无法做到一蹴而就。OEM除了完成CSMS认证及车辆型式审批外，还需要对信息安全流程及防护方案进行持续审查和更新，并及时向技术服务机构或发证机构上报变化情况。同时，发证机构也将不定期抽查信息安全流程及防护方案的实施状态。如果当前状态无法确保车辆信息安全，将直接影响车辆的信息安全认证。” 黄清泉总结道。

　　新型技术在引发汽车行业变革、加速技术创新的同时，也对车辆安全性提出了前所未有的挑战。作为一家在汽车工业安全领域深耕逾150年检测认证经验的技术服务机构，TUV南德始终紧跟国际车辆法规要求，致力于帮助汽车制造商解决信息安全认证中的难点、痛点。　　

　　TUV南德信息安全认证一站式解决方案

　　目前，TUV南德专家正深度参与最新的汽车信息安全标准(ISO/SAE 21434)制定。此外，TUV南德的信息安全专家小组还加入了UNECE WP.29自动驾驶工作组，参与制定有关信息安全的法规。“我们确保遵循最新技术标准和最佳实践，助力汽车制造商应对信息安全威胁，携手研发和验证尖端的安全系统，为其扬帆海外市场保驾护航。”黄清泉如是说。