ISO/SAE 21434 懶人包: 一次看懂汽車網絡安全標準

2021年8月，一份對汽車產業影響深遠的網絡安全標準正式推出。這套標準很快被眾多汽車製造商及其供應鏈廣泛採用。為了讓大家能更容易理解ISO/SAE 21434這一標準，筆者整理了一份簡明易懂的懶人包，那麼讓我們繼續看下去。

什麼是ISO/SAE 21434？

標準的起源

在2015年，國際汽車工程學會（SAE）便開始致力於研擬網絡安全的標準和指南。翌年，SAE制定了一份具體的網絡安全實作指南，名為SAE J3061:2016。此文件為汽車行業在網絡安全領域，提供了初步的指導方針。

隨後，國際標準組織（ISO）亦開始著手發展與網絡安全相關的標準。

由於雙方目標一致，SAE與ISO合作研擬了一個新標準，即ISO/SAE 21434「道路車輛—網絡安全工程」（Road vehicles – Cybersecurity engineering），並於2021年8月正式發布。

為什麼要提及SAE J3061?

當閱讀ISO/SAE 21434標準時，你會發現其內容寫作風格極為簡單與抽象。標準這樣寫的目的，是為了保持靈活與廣泛的適用性。但是，這對於執行這些標準的單位來說，就頭痛了！

SAE J3061標準，作為ISO/SAE 21434的早期參照文件，不僅詳細介紹了實施的具體方向，還針對實際操作提供了範例和建議，使得標準的運用更加明確和容易理解。這對於需要實作標準的團隊來說，無疑是一大幫助。

值得一提的是，這份SAE J3061指南，在2021底也跟進標準發布而改版。

前往了解SAE J3061:2021

誰參與了標準的審查？

參與標準審查，至少涵蓋了82間公司，這裡面包含：

OEM : Ford, GM, Volvo, Mitsubishi, FCA, Honda, Toyota, VW, BMW, Jaguar Land Rover, Opel, Peugeot, Renault, Dailmer, Nissan, Iveco, etc.
ECU Suppliers: Continental, Valeo, Bosch, Lear, Delphi, ZF, Magna, Denso, Hella, Wabco, Actia, etc
MICRO SUPPLIERS: Infineon, Intel, Melexes, ON Semiconductor, etc.
CYBERSECURITY COMPANIES: Karamba, Vector, TowerSec, Synopsys, etc.
RESEARCH/ VALIDATION: University of Warwick, Southwest Research Institute, AIT, Horiba Mira, TUV, UL, Bureau Veritas, etc.
GOVERNINGORG: NIST, RDW, etc.
STANDARDS ORG: SAE, ISO, JSAE, VDA, etc

標準章節一次看

ISO/SAE 21434 標準包含了 15 個章節及 A 至 H 八個附錄。此標準主要涉及組織管理、專案管理、供應商管理、持續監控等領域，並全面涵蓋了產品開發的整個生命週期。生命週期從概念階段開始，經過產品開發階段，再到生產、運營與維護，最後終結於服務溝通及產品退役。

在這個標準中，特別引入了一種關鍵的方法—威脅分析與風險評估（TARA）。透過 TARA，組織可以更有效地識別潛在的威脅並評估這些威脅對安全性的風險，從而在其產品中制定相應的防範措施。

對於更具體的章節內容與結構，請參考下圖：

標準基本章節

章節	描述
第一章	範圍
第二章	規範性引用文件
第三章	術語、定義和縮寫術語

標準重要章節

章節	描述
第四章	一般考慮因素介紹道路車輛網絡安全工程的背景，並從多個視角探討其重要性。
第五章	組織網絡安全管理包含在組織層面建立有效的管理系統，包括政策、規則和程序。
第六章	專案網絡安全管理包括在專案層面的網絡安全管理策略和活動。
第七章	外包網絡安全活動包括客戶與供應商之間在外包活動中的網絡安全責任。
第八章	持續的網絡安全活動包括如何持續的風險評估和漏洞管理，直至網絡安全支持結束。
第九章	產品的概念階段包括如何在產品設計初期識別網絡安全風險和設定網絡安全目標。
第十章	產品的開發階段 (包含設計與驗證) 包括如何制定和實施網絡安全規範，以及如何驗證這些安全要求。
第十一章	產品的確校在車輛層面對專案進行網絡安全驗證。
第十二章	生產闡述生產的網絡安全考量，包括與製造和組裝相關的安全措施。
第十三章	營運和維護包括如何處理網絡安全事件，以及如何更新和維護專案或部件。
第十四章	網絡安全支持和產品除役在產品結束時處理網絡安全問題，包括終止支持和安全退役。
第十五章	威脅分析和風險評估方法包括用於分析和評估的模組化方法，以確定網絡安全風險的程度，從而進行處理。

標準附錄章節

章節	描述
附錄A	(informative) 每個章節的工作產出一覽表
附錄B	(informative) 案例: 網絡安全文化 (好的、壞的)
附錄C	(informative) 案例: 網絡安全介面協議（CsIA）
附錄D	(informative) 案例: 網絡安全相關評估
附錄E	(informative) 網絡安全等級（CAL）及其應用
附錄F	(informative) 指南: 影響評分
附錄G	(informative) 指南: 攻擊可行性評分
附錄H	(informative) 案例: 應用TARA方法於一個頭燈系統

ISO/SAE 21434標準的適用範圍？

標準的定義1 (第2章)

這份標準主要涵蓋了道路車輛中的電子與電氣系統，這包括它們的組件和介面。標準提供一套工程要求，用於規範從概念設計到產品開發、生產、營運及維護，以及最終產品除役的網絡安全風險管理。

為了統一管理網絡安全風險，本標準設立了一個框架。這個框架不僅包括對網絡安全流程的具體要求，還提供了一套共通的語言，以便在不同階段和部門之間有效溝通網絡安全事宜。

本標準適用於標準發布後，新開發或更新的系統、組件和介面。

重要的是，本標準不涉及具體的網絡安全技術或解決方案。

標準的定義2 (第4章)

本標準的適用範圍限於與網絡安全相關的系列生產道路車輛（即非原型車）的元件和組件，包括非原廠零件(Aftermarket)和服務零件(Service Part)。

出於網絡安全的考慮，車輛外部的系統（例如: 後端服務器）可以考慮，但不在本標準的範圍內。

筆者總結

這份標準適用的範圍:

所有在車內組件（硬體、軟體），尤其是與電子和電氣系統相關的部分。
遙控鑰匙

不適用範圍:

機構件
車子外的系統 (充電樁、服務伺服器、手機APP、電信服務)

為什麼要做ISO/SAE 21434？

供應鏈要求

隨著科技進步，汽車變得更智慧和連網。現代汽車廣泛依賴電子系統來提供輔助駕駛、娛樂系統和遠端控制等進階功能。這些系統不只需要與車內其他裝置協作，還要能與外界，如雲端服務和其他車輛交換資料。

但是，這樣的連網功能增加了網路安全風險，包括被駭和資料外洩。

舉個例子，如果車上的娛樂系統被駭客入侵，可能會影響到導航和娛樂功能，甚至讓駭客能控制剎車或油門，這對安全是個極大的威脅。

因此，提升汽車的網路安全變得非常重要。汽車製造商必須確保供應鏈加強對產品的網絡安全防護，以提升車輛與乘客的安全。

值得一提的是...

早在2019年初，筆者的客戶就已經收到來自日本汽車製造商Toyota的網絡安全要求。
豐田要求導入ISO/SAE 21434標準，這項要求甚至早於聯合國的UN R155規範正式生效。

這顯示了汽車業界對於加強網絡安全的重視。

法規要求

當今汽車業界不僅面臨供應鏈的要求，更需遵守國際網絡安全法規，如: UN R155。這項法規自2021年1月起實施，為因應汽車日益智慧和連網的趨勢。它要求汽車製造商必須遵守相關規定，否則其新車將無法上路。想了解更多關於UN R155的詳情，可以參考我另一篇文章：《什麼是UN R155?》。

與 UN R155 規範不同的是，ISO/SAE 21434 不是強制性的。然而，這兩個標準相當一致並相互補充。他們都強調汽車網路安全管理系統(CSMS) 的必要性，需要進行徹底的風險評估以訂出關鍵領域，並強調網路安全在車輛整個生命週期中的重要性。

適用對象

那麼誰需要實施ISO/SAE 21434? 答案是：

汽車製造商 (車廠)
汽車供應商 (包含Tier-1, Tier-2, Tier-3)
晶片製造商 (包含IP製造商)

那麼誰不需要？

充電站製造商
伺服器製造商
電信服務提供商
APP開發商

上述的對象，主要是筆者針對目前業界的一個總整理。
當然，也可能存在特殊案例。例如，我最近接到一家日本汽車製造商的特殊請求，他們希望台灣的伺服器服務提供商，能夠實施ISO/SAE 21434標準。

如果您對是否需要實施ISO/SAE 21434標準感到疑惑，
或對如何進行有疑問，
歡迎隨時聯絡我！

如何導入ISO/SAE 21434標準？

了解你的角色

首先，必須從明確公司在供應鏈中所扮演的角色開始。

通常，每個公司根據其在產業鏈中的位置和服務範圍，可以選擇適合的標準章節來進行實施。在這裡，我們將產業中的角色劃分為三大類：

ODM: 這類公司專注於產品的開發和設計，但不涉及實際生產過程。
ODM+OEM: 這些公司不僅負責產品的開發和設計，同時也參與生產過程。
OEM: 這些企業主要進行代工生產，按照客戶的具體需求製造產品。

理解了這些角色的不同之處後，筆者將具體介紹針對各類型公司推薦的標準章節。

不同角色所需導入的章節

不同角色，所需導入的ISO/SAE 21434章節，說明於以下表格。

然而，實際應用時需考慮到各個車廠的特定需求，本表格提供的資訊僅作為初步參考。筆者建議，在實際決定導入哪些章節前，您應與客戶進行深入的討論，以確保滿足特定的安全需求。

章節	描述	ODM	ODM+OEM	OEM
4	一般考慮因素	O	O	O
5	組織網絡安全管理	V	V	V
6	專案網絡安全管理	V	V	–
7	外包網絡安全活動	V	V	☆
8	持續的網絡安全活動	V	V	V
9	產品的概念階段	V	V	–
10	產品的開發階段 (包含設計與驗證)	V	V	–
11	產品的確校	☆	☆	–
12	生產	–	V	–
13.3	網絡安全事故回應	V	V	V
13.4	更新	V	V	–
14	網絡安全支持和產品除役	V	V	–
15	威脅分析和風險評估方法	V	V	☆

表格中圖示說明：

O：表示可實作，但是這章節並不存在需求，因此無關認證
V：表示需要實作
–：表示不用實作
☆：根據需求可實作，或不用實作

教育訓練

根據標準的要求[RQ-05-07]，公司應確保確保負責網絡安全的人員具備相應的能力和意識。

這邊提到的人員能力，可以涵蓋以下內容：

公司內部關於網絡安全的規則和管理流程
關於功能安全、隱私、等網絡安全相關學科的規則和流程
相關領域的專業知識
系統工程
網絡安全相關的技術、工具和指南
已知的攻擊手法和網絡安全控制方式

綜合上述內容，筆者簡單整理對應如下：

涵蓋領域	教育訓練細部說明
(對應上述1)	ISO/SAE 21434及其相關流程(組織管理、開發、生產、TARA)
(對應上述2)	ISO 26262、TISAX
(對應上述3)	ISO 27001； IEC 62443系列標準（尤其是 IEC 62443-3-2） IATF 16949 ； ISO 9001； ISC² CISSP、等
(對應上述4)	ISO 26262 Part4、Part5、Part6； ASPICE v3.1； ASPICE for Cybersecurity； IEC 62443系列標準（尤其是IEC 62443-4-1）
(對應上述5)	組織層面的管理工具、專案層面的相關工具
(對應上述6)	EC-Council CEH IEC 62443系列標準（尤其是IEC 62443-3-3、IEC 62443-4-2）

工商簡介(1) - 線上課程

筆者曾與大大學院合作，共同推出針對ISO/SAE 21434標準的7堂簡介課程。這些課程專為初學者設計，課程總長約為2至3小時，目的在於快速入門和基本了解。

欲知詳情，請參考大大課程: ISO/SAE 21434

工商簡介(2) - 企業課程

筆者目前所任職的TUV NORD公司，亦有提供企業完整的ISO/SAE 21434課程。這堂課總時數為2個整天，將會針對標準詳細介紹，並搭配實戰、案例、練習等內容。課程結束後，將配置相關考試，考試通過者可以取得ISO/SAE 21434人員認證。

欲知詳情，請參考TUV NORD官方網站 或 與我聯絡

建立政策與流程

根據標準的要求[RQ-05-01][RQ-05-02]，針對道路車輛的網絡安全風險，公司必須建立一套完善的網絡安全政策，以及相關的流程和規則。

這些政策和流程可以參考上述[不同角色所需導入的章節]，以下幾個標準：

品質保證管理系統（以ISO 9001 或 IATF 16949 為上)
資訊安全管理系統（以ISO 27001 或 TISAX 為上
功能安全相關管理流程（ISO 26262相關流程）
專案產品系統開發流程（以ASPICE v3.1 或 v4.0 為上)

關於建立政策與流程

當你深入閱讀ISO/SAE 21434標準時，可以看出該標準大量參考了其他的管理方法。這反映出汽車產業的特點，相關標準之間高度相依、互相引用。

筆者建議：在建立政策與流程前，深入理解相關標準的關聯。這可以避免重複工作，並減少實施的工作量。

業界常見狀況：一家公司花了不少努力導入了ISO/SAE 21434標準，但在與客戶的交流中，又面臨需導入其他標準的要求。如果每個標準都單獨建立一套流程，這些流程可能會互不相容，甚至相互矛盾。最終，當需要執行這些流程時，可能會引發團隊之間的混亂。

進一步來說，公司應考慮如何整合多個標準到一個統一的框架中。這樣一來，不僅可以提升效率，還能確保各個部門之間的協同工作。比如，可以設計一個汽車業的整合流程，使得新的標準或更新能夠順利地融入現有的體系中，而不是每次都重新開始。

落實管理(組織與專案)

當公司完成網絡安全政策、相關流程及規則的建立後，便應依照這些既定的規則執行P-D-C-A循環，並累積相關的作業證據。

P-D-C-A循環包括四個階段：計劃（Plan）、執行（Do）、檢查（Check）、和行動（Act）。

舉例來說：

在「計劃」階段，公司可能會評估現有的安全風險並計劃應對策略；
在「執行」階段，則實際應用這些策略，執行增強組織管理、專案管理、及產品的安全性；
在「檢查」階段，公司會檢視安全措施的實際效果，查看是否有漏洞需要修正；
在「行動」階段，根據檢查結果進行調整和改進。

當P-D-C-A循環被完整執行，公司便能自信地說「網絡安全管理系統（CSMS）已建立並運作！」

工具的採用

當導入ISO/SAE 21434標準時，通常會應用一些基本工具，這些工具主要涉及標準中的幾個章節：

資訊共享(分享)（CL 5.4.3）
工具管理（CL 5.4.5）
網絡安全監控（CL 8）
事故回應（CL 13.3）
產品的網絡安全驗證（CL 10、CL 11），包含模糊測試、漏洞掃描、和滲透測試等。
威脅分析與風險評鑑（CL 15）

如果有工具可以使用，無疑可以減輕日常工作的負擔，並提升網絡安全的效果。

然而，並不是說非使用這些工具不可。在建立標準流程前，進行全面的評估非常重要。這包括分析現有的方法和工具，以確保不會盲目地投入過多資源。

關於工具導入的考量

自ISO/SAE 21434於2021年正式發布以來，許多工具商聲稱他們的工具能夠符合「資訊安全」需求。然而，當筆者仔細檢視時，往往發現它們是針對傳統資訊技術領域所設計的。

例如，許多漏洞掃描工具專注於偵測網頁漏洞 或 電腦的漏洞。這類工具在檢查通用網頁時可能效果不錯，但卻不適用於車載組件的開發，因為車用組件並不使用常見的資訊技術通訊協議。儘管這些工具也被稱為漏洞掃描工具，實際上對於車用產品的網絡安全幾乎沒有幫助。

因此，如果企業在購買這些工具時不夠了解其功能和適用範圍，很容易因為缺乏判斷而投入大量資金，結果買到的工具並不符合需求。這不僅造成了資源的浪費，也可能錯失了提升資訊安全的良機。因此，選擇一款真正符合特定標準需求的工具是非常重要的。

到了今天2024年，許多工具商的工具已通過了「網絡安全」的符合性認證。這些獲得認證的工具，在組織、專案或產品開發中使用，才能真正發揮其應有的作用！

關於工具導入的小插曲

筆者合作的一家公司專注於汽車產品開發，對自己的產品有非常深入的了解。他們很早就開始關注汽車產業的網絡安全規範。

引入ISO/SAE 21434標準後，這家公司利用自身專業知識，開發了適合自己的安全工具。這些工具在公司內部確認有效後，甚至開始提供給其他公司使用。

這個例子顯示，如果您的公司有相關技術和人才，自行開發工具是個不錯的選擇。這樣不僅能確保工具完全適合公司需求，還能加深對行業標準的理解和應用。

導入ISO/SAE 21434會需要很久嗎？

一般來說，正規的標準導入通常需要5~6個月的時間。

然而，具體所需的時間還得根據貴司當前的情況。舉例來說，如果貴司已經獲得了IATF 16949、ISO 9001、ISO 26262、IEC 62443-2-1或ISO/IEC 27001等認證，則可以顯著縮短導入過程的時間。

這是因為，貴司在相關的管理和品質保證體系上已具備了一定的水準，因此在引進新的系統或流程時，可以在既有的基礎上更快地進行整合和調整。此外，如果您的公司在某些特定領域已有成熟的技術和管理經驗，這也將有助於加速整個導入過程。

當ISO/SAE 21434標準於2021年8月發布後，筆者有幸參加日月光高雄廠的網絡安全案。

得益於日月光已實施的 IATF 16949（車用品質管理系統）以及ISO 26262（功能安全標準），日月光僅用不到半年的時間，就成功取得了ISO/SAE 21434認證。這使得日月光成為全球首家獲此殊榮的公司。

請參考新聞全文：《日月光高雄廠榮獲TUV NORD國際車用網宇安全ISO/SAE 21434認證》

標準取證

ISO/SAE 21434的兩種認證

當我們談到認證時，通常可以分為兩大類：管理系統認證和產品認證。分別標準的對應條文提到：

[RQ-05-17]：所提及的管理系統認證
[RQ-06-26]：所提及的產品認證

管理系統認證

管理系統認證，這是屬於公司級別的認證，將會透過稽核手法。在這類認證中，稽核人員會檢查公司的網絡安全活動，並判斷組織流程是否達到本標準的目標。

管理系統認證，是一種公司級別的認證，主要是通過稽核程序來執行。在這個過程中，稽核人員會仔細評估公司的網絡安全措施及實施證據，並確認是否符合本標準之目標。

這項認證主要涉及兩大檢查項目：

政策和程序的符合性：稽核人員將檢視公司是否有制定符合ISO/SAE 21434的政策、流程和規則。這包括文件審查，確認所有政策和流程符合標準的要求。
實施的證據：稽核人員將確認公司的政策、流程和規則是否有被實際應用，並檢查實施證據是否滿足標準要求。舉例來說，如果一家公司聲稱已經建立了一套持續監控流程，稽核人員會要求查看實際監控記錄，以證明這些流程真的被實施。

透過這兩個面向的檢查，可以確保公司不僅在紙面上，而且實作都能達到標準的要求。

產品認證

產品認證，主要是針對特定專案的實作成果進行評估。在這類認證中，評鑑人員會確認以下：

網絡安全計畫（Cybersecurity Plan）
該計畫中明確的產出物（Work Products required by the cybersecurity plan）
網絡安全案例（Cybersecurity Case）

具體來說，評鑑的步驟包括：

比對網絡安全計畫中所列的活動，檢查相關的流程實施證據。
這意味著評鑑人員需要驗證各項活動是否如計畫中所述那樣實際執行，並且有具體的執行證據。
獨立評估該產品或部件是否符合既定標準，以及所提供的論據是否足夠說服。
這需要評鑑人員從產品的最終成果出發，結合風險評估的結果，評定產品實作的說服力和依據的充分性。舉例來說，如果一個產品在風險評估中被發現存在一定風險，評鑑人員會深入審查產品的規格設定、開發過程和驗證活動，以確保這些措施能有效降低已識別的風險。

此類評鑑過程，不僅強調產品安全規範的遵循，也著重於如何通過實證和詳細的審查過程，提升產品整體的安全，進而降低網絡安全風險。

除了 ISO/SAE 21434，需要注意其他標準？

汽車產業的其他標準要求

當今，汽車技術正迅速進步，特別是在智慧化和連網化方面。正因如此，汽車越來越容易受到外部駭客的攻擊。為應對這一挑戰，因此催生了ISO/SAE 21434標準。然而，汽車產業在過去幾十年已經推出了許多重要的標準，這些標準對整個行業的發展有著深遠的影響。

當我們談論到ISO/SAE 21434標準時，我們不應該只關注這一個特定的標準。實際上，整個汽車產業的標準體系應該被視為一個整體。只有這樣，我們才能更全面地滿足供應鏈的需求，並更有效地整合進汽車供應鏈中。

汽車產業的相關標準主要可以分為三大類：品質、功能安全和網絡安全。

首先，品質標準主要關注組織層級的管理和具體產品的開發流程。這包括：

組織層級管理: IATF 16949，這是一個全球汽車行業品質管理系統標準。
細部開發流程: ASPICE v3.1 或 ASPICE v4.0，這些標準幫助提升產品開發的品質。

接著，功能安全標準ISO 26262:2018，著重於確保汽車在功能上的安全性，預防因失效導致的危害。

最後，網絡安全標準不僅包括ISO/SAE 21434，還有TISAX和ASPICE for Cybersecurity等。這些標準確保組織本身的資訊安全，或專門針對保護汽車產品免受網絡安全的威脅。

ISO/SAE 21434在實作篇幅太貧乏，你還需要…

在2023年底至2024年初，隨著UN R155法規期限逼近，越來越多的汽車產業企業完成了ISO/SAE 21434標準的導入。然而，當導入這一標準的工作告一段落後，許多車廠和一級供應商逐漸意識到該標準在開發流程中存在的不足。如果您有機會閱讀過該標準的第10章和第11章，您會驚訝於這兩個章節的要求，竟然如此簡略。

這一發現，讓不少企業開始擔心ISO/SAE 21434標準的適用性。因此，很多歐洲車廠開始尋求其他標準以補足ISO/SAE 21434在開發流程上的空缺。最終，一個與ISO國際標準競爭的產業標準突出重圍，成為眾多車廠的新選擇，這就是ASPICE for Cybersecurity。

ASPICE for Cybersecurity是基於ASPICE標準的延伸，專門針對網絡安全制定了六個新的流程。這些流程包括供應商條件與選擇、網絡安全風險管理、網絡安全需求、設計、驗證與確認等。這些新增的流程被整合進產品的既有開發流程中，有助於更全面地考慮整個產品開發過程的安全性。

目前，隨著車廠轉向採用ASPICE for Cybersecurity，已經導入ISO/SAE 21434的公司也必須注意車廠和客戶的額外要求。

ISO/SAE 21434 針對產品開發階段的要求及描述太過貧乏，車廠有要求其他標準的趨勢 (插圖 by Ayub Irawan from Noun Project)

ISO/SAE 21434 並不會因此被廢棄

因為ISO/SAE 21434 在組織管理方面的內容依然詳盡，許多車廠和一級供應商(Tier-1)仍重視其組織層面的要求。他們仍會要求供應商導入ISO/SAE 21434的網絡安全管理系統，並完成稽核取得認證。

至於特定的專案，則可能會根據需求轉向要求ASPICE for Cybersecurity標準的實施。

其他法規與標準