《车企R155与R156合规的持续挑战.pdf》由会员分享,可在线阅读,更多相关《车企R155与R156合规的持续挑战.pdf(23页珍藏版)》请在三个皮匠报告上搜索。
1、车企R155与R156合规的持续挑战顾吉杰网络安全及隐私保护服务,普华永道13924030702普华永道网络安全及隐私保护服务,关于普华永道关于普华永道2全球,汽车数字化中国汽车行业营销场景用户运营中国营销场景研发场景管理场景数字化技术中国汽车行业数据资产实现价值的方向智能网联汽车安全白皮书全球专业网络扎根服务中国30年汽车行业前瞻思考2022财年收入503亿美元按照业务分布来看:审计收入约180美元 咨询收入约200亿美元 税务收入约123亿美元 在中国财政部批准成立下成立的会计师事务所,在股权关系、法律性质和企业使命上立足本土 由中国合伙人拥有和管理,出具的报告的签署权属于国家治理的主权范
2、畴,同时加入类似“联合国”性质的国际网络,拓展国际业务合作和发挥品牌国际影响力的协同作用 2023年普华永道中国成立三十周年,在中国注册会计师协会的行业排名连续20年排名第一 2006年成立普华永道党支部,于2010年成立普华永道党委,并在当地组织部以及行业党委带领下,分别在广州、深圳和北京成立基础党委,党员人数占比25%“把合伙人发展为党员,把党员培养为合伙人”,由政治过硬、业务突出的党员担任国企项目负责人,充实到领导岗位上 截止2023年2月28日,普华永道合伙人中有3名全国政协委员、1名省级人大代表、若干名市区级政协委员,得到党和国家的充分信任,为国家建设和发展建言献策152 个国家/地
3、区328,000名专业顾问中国区超2万人普华永道网络安全及隐私保护服务,主机厂正在密集的实施出海战略,在此讨论汽车网络安全与软件升级的持续挑战主机厂正在密集的实施出海战略,在此讨论汽车网络安全与软件升级的持续挑战3挑战三:车型研发计划与VTA的时间要求,存在突出矛盾关键词挑战一:随着CSMS证书颁发,网络安全运营的持续挑战,才刚刚开始挑战二:软件升级的价值在海外市场没有充分体现中国车企的出海战略为全球市场提供了更好的产品和服务体验,但也带来更多的安全风险 体验-用户体验设计能力 技术-以新四化为核心的车型研发能力 安全-全方面的安全能力 安全不能重复造轮子,安全是叠加而不是迭代 缺少系统性、整
4、体性的网络安全设计 探寻安全研发测试与安全运营的平衡 海外客户有更高的期望 不同市场需要进行差异化的软件定义 尚未打通前后端的OTA运营体系 按照过往习惯,通常在SOP前就需完成VTA/车型公告 R155/R156等新法规所依赖的功能,当前无法在认证阶段完成开发普华永道网络安全及隐私保护服务,主机厂主机厂出海欧洲或类欧盟地区,必须完成出海欧洲或类欧盟地区,必须完成 R155和和R156法规的合规要求法规的合规要求4中国欧洲 UNECE/WP29通过了 R155 CSMS 网络安全法规和R156 SUMS 软件升级法规,于2021年1月22日生效。法规明确所有新车型将于2022年7月起强制实施,
5、在产车型(即2022年7月前获取WVTA)与小批量车型于2024年7月起强制实施。R155和R156法规属于强制实施的准入型法规,销往欧洲与类欧盟市场的车型需要获取体系认证和车型认证后方可在当地注册和销售。获取CSMS体系证书获取SUMS体系证书获取R155 VTA车型证书获取R156 VTA车型证书合规要求=体系*2+车型*N出海计划车型出口欧盟目标国家某车型1个WMI(可以涵盖多个子公司、多个研发体系、多个工厂)CSMS=Cybersecurity Management System=汽车网络安全管理体系SUMS=Software Update Management System=软件升级
6、管理体系VTA=Vehicle Type Approval=车型形式认证普华永道网络安全及隐私保护服务,挑战一网络安全运营落地-数字化安全运营普华永道网络安全及隐私保护服务,汽车网络安全的开发、测试与持续运营,要兼顾与平衡汽车网络安全的开发、测试与持续运营,要兼顾与平衡6对车辆网络安全来说,是一个持续规划、持续建设和持续运营的工作由于法规认证的强制性与紧迫性,当前各OEM将越来越多的网络安全资源向研发、测试倾斜,而忽略了持续的安全运营合规是基础,是驱动力威胁和监管不断变化持续优化基于出海/国内合规的要求,逐步培养团队能力将网络安全真正与车型开发和运营工作结合普华永道网络安全及隐私保护服务,汽车
7、网络安全技术落地的痛点汽车网络安全技术落地的痛点7安全不能从零开始安全不能从零开始 汽车越来越像一个数据中心,要充分借鉴IT行业成熟的安全技术措施 行业抱团发展,避免重复造轮子 加快安全能力与汽车工程的融合 加快开发能力与测试能力的融合实际防护能力需提升实际防护能力需提升 相比于IT行业,汽车安全缺乏积累 基础防护措施常被遗漏 缺乏有效的安全管理体系 没有形成长期的安全技术发展规划多维安全融合多维安全融合 数据安全、网络安全的融合 短板效应明显 避免因噎废食安全是叠加而不是迭代安全是叠加而不是迭代 基础的安全技术不会过时 大部分攻击仍然使用传统的攻击手段 传统的安全技术仍然有效,而且也将长期有
8、效security普华永道网络安全及隐私保护服务,8汽车网络安全运营的痛点汽车网络安全运营的痛点外部法规和监管驱动内部运营驱动降本增效驱动合规认证审核年度CSMS审核三年CSMS换证监管检查频繁 等车辆研发强关联车辆全生命周期管理售后运营安全支撑持续监控和响应等市场环境影响竞争对手压力安全质量指标公司KPI考核等大环境的外部法规和监管、内部运营、降本增效等驱动之下,车辆网络安全工作已经没有截止时间,而是持续优化的过程和结果普华永道网络安全及隐私保护服务,9改善思路改善思路-体系数字化体系数字化-高效运转、数据统计、持续运行高效运转、数据统计、持续运行9体系管理公司方针组织架构制度体系意识文化内
9、审优化开发与测试生产报废概念设计运营网络安全计划系统/零部件TARA软/硬件安全开发网络安全相关功能定义风险评估TARA网络安全需求生产阶段网络安全需求生产控制计划管理生产一致性计划安全监控与响应处置产品更新安全管理终止支持安全管理报废软/硬件处置网络安全目标集成与安全需求验证安全测试与漏洞修复车辆生命周期管理外部威胁情报获取事件分析事件处理影响恢复事件关闭持续改进事件分级分类事件通报事件管理供应商管理漏洞收集漏洞分析漏洞风险评估漏洞修复漏洞跟踪持续监控与优化漏洞管理体系支持变更管理工具管理配置管理需求管理1.资产梳理资产定义边界划分3.影响分析损害场景识别损害影响评估2.威胁分析攻击路径分析
10、攻击可行性分析4.风险评估风险评估风险审批5.风险处置风险处置策略风险处置措施6.风险跟踪改进残余风险评估风险改进跟踪风险管理监控&防护事件发现内部安全漏洞监控安全日志存储与分析攻击入侵安全防护网络安全能力评估网络安全接口协议信息共享安全机制安全事件协同处理车辆网络安全管理体系(CSMS)OA平台制度文档管理平台教育培训平台发布/迭代/培训/记录整车研发管理平台OTA管理平台项目管理系统需求管理系统质量管理系统等安全研发/运营融合至整车管理舆情监控平台应急响应管理系统质量管理系统供应商采购系统等安全运营融合至企业运营管理流程体系数字化/线上化一高效运转:流程体系不在仅是文档,通过兼容已有运转的
11、业务系统,快速将网络安全管理流程和制度运转起来;二数据统计:通过平台或者系统线上的运转,可随时记录网络安全管理流程的时效、状态结果,从而可量化安全工作的KPI,以及各业务部门的配合力度,用于支撑汇报;三持续运行:文档化的流程,往往因为专职人员的变动,就会导致交接缓慢,甚至有可能因此流程和制度缺失;而在线上化的流程,通过以往记录,可快速上手,降低缺失风险。普华永道网络安全及隐私保护服务,改善思路改善思路-完善安全顶层规划、设定规划落地路径完善安全顶层规划、设定规划落地路径7.253大目标3年规划合规:通过R155/R156审核及持续复审、国标/ICV准入/L3试点及其他工信部/网信办发布的标准规
12、定扎实推进:注重流程侧的运行优化&能力侧的培养提升,在调研其他业务规划逻辑的同时,应对欧标及国内法规标准的审查全面深化:制定网络安全相关业务战略规划,完善扩充网络安全人员架构的同时强化合作协同,并着重研究自研开发核心技术顶层规划落地实施降本:管理流程优化,避免人工、时间浪费;可持续技术复用,节省研发成本增效:安全转化为重要属性赋予产品差异性和价值,安全能力与品牌形象挂钩,增强产品竞争力,成为行业标杆厚积薄发:落实车辆网络安全发展路线和量化指标,提高产品自研比率并精进产品质量,逐步迈入行业领跑者队列10普华永道网络安全及隐私保护服务,11改善思路改善思路-咨询服务团队伴飞咨询服务团队伴飞吸取行业
13、经验、团队赋能提效吸取行业经验、团队赋能提效11一吸取行业经验:监管环境日趋严峻,需全面对标竞争对手的安全技术维度、管理维度、运营维度、成熟度等,布局安全战略;二团队赋能提效:受限大环境,安全团队人力无法扩大甚至裁剪,急需强要求现有人力的专业技术、管理、思维等能力。序号问题方向问题详细说明风险改善思路1车辆网络安全规划暂无全局规划能力无明确目标和价值输出基于专业培训和分享,结合项目实践,在车辆网络安全各个能力矩阵进行赋能,充分开发自主性,实现“伴飞-单飞”,举例:1.提升车型安全规划能力,2.提升车型安全设计能力;3.提升车型安全开发能力;4.提升车型安全测试能力;5.提升车型项目管理能力;6
14、.提升车型和OTA安全运营能力;7.完善合规及提效工具。2风险评估TARA目前依托供应商能力,无自主分析能力成本高,受制于人3安全设计主要依托供应商能力和其他部门交付,无自主评估和设计能力成本高,受制于人4安全开发主要依托供应商能力和其他部门交付,自主开发交付薄弱成本高,受制于人5安全测试基于安全需求测试,自主安全测试和漏洞挖掘能力薄弱可能遗留漏洞上车6安全运营售后安全运营机制缺失,无法快速对车辆网络安全漏洞和事件预警及应急处置,认证迎审被动处置,可能低效高成本1.满足法规要求开发车型2.满足车型认证时间计划3.获取目标车型 VTA 证书目标一满足合规-60分1.完成目标车型安全开发工作-功能
15、/分析/设计/开发/测试2.建立车型平台安全复用机制-威胁库/风险库/需求库/技术方案库/测试用例库目标二最佳实践-80分1.提升车型安全规划能力2.提升车型安全设计能力3.提升车型安全开发能力4.提升车型安全测试能力5.提升车型项目管理能力目标三团队赋能-100分100分普华永道网络安全及隐私保护服务,挑战二OTA的真正价值尚未体现普华永道网络安全及隐私保护服务,1301长期战略模糊软件升级及相关团队日常以完成项目工作为主,对于整个软件升级运营业务板块没有形成清晰、统一、有效的战略共识,进而无法完成目标的拆解与逐步落地。02运营效率较低虽然OEM拥有较为成熟的OTA技术方案,但是在软件变更的
16、规划,开发,测试等阶段的工作流程不完善,没有形成标准的、有效的日常运营模式。软件升级相关业务团队始终处于被动接受需求、疲于追赶进度的被动工作模式。团队协同困难 软件升级运营业务中,大量工作需要多个公司之间、部门之间的多个团队协同办公。由于团队职责分工不清晰,现有的部分流程落地时依然难以开展。03升级规划混乱 04各个车型没有统筹的软件升级规划管理,更缺乏跨车型的平台化管理05需求管理被动 SDV、S-BOM等工作方式尚未落地,当前还是以ECU为单元开展OTA相关业务,无法拉通整车软件版本的变更,同时缺少相关的管理工具平台,无法真正拉通整车软件管控的业务。OTA运营面临的典型痛点运营面临的典型痛
17、点06海外特点缺失 大部分OTA更新的业务与服务,均以中国市场为基础,针对不同市场缺乏差异化的软件定义。普华永道网络安全及隐私保护服务,14设定核心目标:使设定核心目标:使OTA成为从成为从“以产品为核心以产品为核心”向向“以服务为核心以服务为核心”转型转型过程的核心能力过程的核心能力借助借助OTA运营,盘活运营,盘活OEM现有的现有的“用户用户”“产品更新产品更新”“生态生态”三大资源。三大资源。依靠自身能力延展能力范畴服务+出行+生活需求车辆+行车需求传统OEM主机厂智慧生态出行智能新能源汽车出行服务整车研发与制造能力三大件能力固定资产资源过去沉淀的能力与资源用户资源+用户运营能力产品更新
18、+保持持久的产品新鲜度生态资源+生态拓展与运营能力面向未来的能力与资源OTA是盘活三大资源与能力的重要载体之一也是主机厂需要树立差异化的重中之重用户用起来产品活起来生态转起来普华永道网络安全及隐私保护服务,15OTA运营盘活既有资源:用户资源用户反馈新需求评审内容得分用户需求度场景需求度刚需U1增值U2功能需求度刚需U3增值U4专项最终分U商业持续性竞争优异性行业普遍性B1行业领先性B2专项最终分B评审结论通过需要优化未通过(否决)评分方法说明(用户调研,自测)U1-场景需求度/刚需您在用车过程中是否出现过此类需求场景?1 完全没有此类场景2 低频出现,影响不大 3 低频出现,但有一定影响4
19、高频出现,且有一定影响5 高频出现,且影响较大U2-场景需求度/增值如果此类需求被解决,您认为对您的用车体验有怎样的影响?U4-功能需求度/增值您认为此功能的新增对您的用车体验有怎样的影响?B1-竞争优异性/普遍性此功能竞品搭载率(R)1 80%R2 60%R80%3 40%R60%4 20%R40%5 R20%B2-竞争优异性/领先性与您关注的车型相比,此功能的领先性如何?1 低于行业平均水平2 持平于行业平均水平3 持平于行业平均水平,但具有一定的差异化优势4 略高于行业平均水平5 有较大的领先优势用户调研问卷在签署保密协议的前提下,招募至少100位用户对每个idea进行评测;用户招募以5
20、0%本品同级别车型车主及50%主要竞品车主构成;问卷中需包含每个idea的需求描述、功能描述及图片示意;问卷中针对每个idea设计主观评价问题,并要求用户进行打分(5层档位制),最终以所有用户对每题确认的平均分作为最终得分;1 负面影响2 没有影响3 有所帮助4 较大的体验提升5 巨大的体验提升1 负面影响2 没有影响3 有所帮助4 较大的体验提升5 巨大的体验提升打通OTA与客户服务业务,盘活用户群体资源,策划各类用户线上线下调研活动,增加用户品牌粘性。如下展示用户调研问卷示例:普华永道网络安全及隐私保护服务,16OTA运营盘活既有资源:生态资源OTA运营团队可与车联网生态团队紧密融合,进行
21、商业模式的策划,与第三方生态方进行合作研讨,挖掘商业可行性。在当前行业中,车联网付费生态服务的定义主要分为自动驾驶、硬件升级选配、权益服务、车辆保险四个版块,其中前三点OTA运营团队都可以深度参与:1/自动驾驶服务的不断迭代与策划3.1/车主权益包理想PLUS服务包按年付费购买,可享受售后、用车及生活等多个场景的优质权益,包含增程器基础保养、空调滤芯更换、维保取送车、无限流量、商城PLUS价;小鹏汽车XPILOT3.0软件及升级服务售价36000;仅限P7和P5 E系列车型;蔚来NAD的完整功能将采用“按月开通、按月付费”的服务订阅模式,价格为680RMB/月特斯拉AutoPilot(FSD)
22、城市道路完全自动驾驶一次性激活付费,收取10000美元,国内64000元2.1/功能付费升级2.2/舒适性选配3.2/生活服务生活社群服务:偏向社群聚会类的活动,通过积分+现金的模式参加活动,蔚来官方主办,车主参加;基础服务:洗车服务代驾服务包含全季节舒适加强包,智能香氛系统及负离子净化;其他车辆还有方向盘、座椅加热、座椅按摩通风等;3.3/导航服务&娱乐包按年/月高级连接订阅服务,可享受实时交通可视化卫星视图地图、在线影院、视频流媒体、音乐服务等功能;订阅服务4/车辆保险01/正常车险缴费模式02/保险订阅制:车联网数据中心可以对驾驶行为、生活资历、诚信度、以往事故等对保费精准定位价格弹性按
23、月收取;其中,硬件相关的硬件升级、舒适性选配,以及软件功能相关的车主权益包、生活服务、导航服务&娱乐包等内容,都是作为OTA运营团队“产品规划中心”可以参与和策划的部分。普华永道网络安全及隐私保护服务,17OTA运营盘活既有资源:产品资源作为OTA运营的“开源”手段,拓展OTA软件付费业务是当前行业探索的普遍趋势。汽车制造商的商业模式正在发生改变,硬件“成本化”+软件“利润”的模式在智能汽车市场不断渗透,多家车企在新的车型进行硬件预埋,后续通过软件OTA的方式实现功能开放使用,从而获取商业利润。下表为近两年来,典型的OTA软件付费案例:2023年6月蔚来ES7、2022款ET7、ET5、EC7
24、、2023款ET7、ES6辅助驾驶 NOP+增强领航辅助,订阅收费,380元/月2023年6月smart精灵#1智能座舱 野兔形象29.9元2023年4月福特福特电马智能座舱 新车360全景影像免费试用90天后为选装价格15800元2023年4月奔驰四驱的EQE/四驱的EQS动力系统 增强动力的OTA服务:60/90美元/月或600/900美元/年;1950/290美元/终身2023年2月欧拉芭蕾猫智能座舱 标配免费,冥想模式,爱丽丝,唾美人版可选装暧心闺蜜选装包以开启。2023年2月特斯拉Model 3智能座舱 寒冷天气功能2400元,包括:后排座椅加热功能+方向盘加热功能2023年1月sm
25、art精灵#1智能座舱前排座椅加热:1299元永久开通,399元/年或129元/月前排座椅通风:1999元永久开通,599元/年或199元/月 方向盘加热:999元永久开通,299元/年或99元/月 宠物29.9/只2022年12月极星极星2动力系统 车辆动力参数升级(收费1195美元,约合人民币8340元(针对美国、加拿大等地区)2022年7月奔驰EQS底盘系统后轮转向升级:前3个月免费,后续4998元/年注:数据来自2023年智能汽车ota产业研究报告普华永道网络安全及隐私保护服务,挑战三车型研发计划与VTA的时间要求,存在突出矛盾普华永道网络安全及隐私保护服务,19举例:某车型国内上市发
26、布时间轴13452工信部公告发布2023年11月15日约2023年10月通过各项强标检测技术发布会2023年12月28日约2024年2月2024年3月底产品发布并交付用户开始强标相关检测约2023年9月启动批量生产持续OTA迭代认证到量产:前后相距约7个月时间普华永道网络安全及隐私保护服务,20假如该车型需要同步出口至欧洲市场13452获取WVTA认证2023年11月15日约2023年10月通过单项VTA认证技术发布会2023年12月28日约2024年2月2024年3月底产品发布并交付用户开始进行R155 R156 vta认证约2023年7月启动批量生产持续OTA迭代认证到量产:前后相距约9个
27、月时间开始认证前提:网络安全、软件升级法规所相关的所有整车功能,需要开发完毕,完成OEM自测。相关功能举例:所有零部件的网络安全、软件升级功能 TBOX:车联网通信、车控服务、安全认证与校验 IVI:用户登录、Wi-Fi、蓝牙、地图导航、生态服务、隐私保护相关 蓝牙钥匙、NFC钥匙 TSP:海外本地平台部署、联调完成 手机APP:车控、数字钥匙等挑战:当前大部分OEM的智能网联相关车型研发时间计划,根本无法满足在SOP前完成R155、R156等新法规认证的要求!以后国标落地后,也会出现同样的挑战!对策:开发前移 or 认证推迟?普华永道网络安全及隐私保护服务,如何在有限的时间内,同时满足“持续
28、迭代”和“合规认证”谁牵头,谁主责 哪些部门/团队参与其中 最终组织架构长什么样 各个部门/团队工作职责和工作内容是什么 各个团队之间的工作交互是怎样的提前完成策划合理制定计划监督车型实施 法规有哪些工作领域/流程的要求 哪些流程是关键的,认证重点关注的 法规要求的工作流程与原有的流程(如何整车开发,软件升级,供应商管理等)如何进行关联 如何证明这些体系流程是有效运行的(人知道,有记录,持续优化)哪些工作要求是落在车型开发的 这些工作内容应该如何开展才能满足法规要求(做什么,颗粒度)车型开发过程中有哪些工具、平台的需求 车型的测试如何开展(V&V)在生产阶段,工厂需要做什么工作 在运营阶段,车
29、型需要关注什么工作21普华永道网络安全及隐私保护服务,22我们的观点总结如下,感谢聆听我们的观点总结如下,感谢聆听挑战三:车型研发计划与VTA的时间要求,存在突出矛盾关键词挑战一:随着CSMS证书颁发,网络安全运营的持续挑战,才刚刚开始挑战二:软件升级的价值在海外市场没有充分体现中国车企的出海战略为全球市场提供了更好的产品和服务体验,但也带来更多的安全风险 体验-用户体验设计能力 技术-以新四化为核心的车型研发能力 安全-全方面的安全能力 体系数字化 完善安全顶层规划 咨询服务团队伴飞 盘活用户资源 盘活生态资源 盘活产品资源 提前完成策划 合理制定计划 监督车型实施普华永道网络安全及隐私保护
30、服务,Thank you 2024 PwC.All rights reserved.Not for further distribution without the permission of PwC.“PwC”refers to the network of member firms of PricewaterhouseCoopers International Limited(PwCIL),or,as the context requires,individual member firms of the PwC network.Each member firm is a separate
31、legal entity and does not act as agent of PwCIL or any other member firm.PwCIL does not provide any services to clients.PwCIL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way.No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firms professional judgment or bind another member firm or PwCIL in any way.普华永道网络安全及隐私保护服务,