日前，在联合国欧洲经济委员会（以下简称“UNECE”）的世界车辆法规协调论坛上决议了三项智能网联汽车领域的重要法规，其中一项便涉及信息安全（以下简称“WP.29信息安全法规”）。该法规适用于M类、N类、至少装有1个电控单元的O类以及具备L3以上自动驾驶功能的L6和L7类车辆，并将于2021年1月起生效。一些传统汽车生产强国也据此发布了实施计划时间表，比如欧盟要求信息安全法规将在2022年7月起成为车辆准入欧盟的新强检项之一。对此，全球知名的第三方认证检测机构 -- TUV南德意志集团（以下简称“TUV南德”）表示：WP.29信息安全法规的强制实施意味着，对于有计划出口至欧盟地区的汽车制造商而言将面临更为严峻的准入挑战。

　　得益于网联技术及自动驾驶技术的不断发展，汽车行业正经历着深刻的变革。如今，一部汽车包含多达150个电子控制单元和大约1亿行软件代码，预计到2030年将激增到3亿行代码。暴露于众的接口日益增多，随之而来的信息安全问题也不断凸显，比如黑客试图访问电子系统和数据，这将极大地威胁车辆安全和消费者隐私。为此，欧盟将当前WP.29信息安全法规中制定的原则纳入欧盟法律框架，并确保与欧盟其它法规的一致性（例如排放、维修保养信息、成员国和/或欧盟信息安全通用规则）。考虑到UNECE法规在全球汽车领域应用范围之广，预计这项法规会在UNECE 1958年协议的54个缔约国中广泛采用并覆盖至全球。

　　WP.29信息安全法规概述

　　WP.29相关法规中针对信息安全的要求主要分为：信息安全管理体系认证（Cyber Security Management System，以下简称“CSMS认证”）和车辆型式审批两方面。

　　其中CSMS认证主要审查OEM是否在汽车的全生命周期中制定了信息安全相关的流程，以确保汽车全生命周期中都有对应的流程措施。各流程实施于开发、生产、量产运维各个阶段，保证信息安全设计、实施及响应均有流程体系指导。而车辆型式审批则是针对OEM的信息安全开发中具体的工作项进行审查，旨在保证实施于车辆的信息安全防护技术在进行审查认证时足够完备。换言之，CSMS认证是车辆型式审批的前提，而最终车辆准入必须完成CSMS认证及车辆型式审批。

　　WP.29信息安全法规的两大要求

　　信息安全认证合规落地任重道远