[韩国汽车网络安全法规应对指南] ②认证审核员谈通过策略

* 本次采访于2025年11月进行，是《韩国汽车网络安全法规应对指南》系列的第二篇内容。

韩国汽车网络安全法规已正式实施。该法规自2025年8月起适用于新注册车型；对于已量产并完成注册的车型（量产车），则需自2027年8月起符合法规要求，方可继续销售。也就是说，对于计划进入韩国市场的汽车制造商而言，网络安全法规应对已不再是可选项，而是必备条件。然而，整个行业仍面临一个核心课题——“如何解读韩国法规，并制定相应的应对策略”。为弥补这一认知空白，飞斯柯罗策划推出了《汽车网络安全法规应对指南》系列内容，从法规制定者与认证审核员两个关键视角出发，提供多维度解读。

安正植（左），飞斯柯罗专业技术委员；崔光默（右），飞斯柯罗专业技术委员（图片来源：飞斯柯罗）

汽车网络安全法规并不是仅通过文件即可理解的规定，而是必须在“现场审查中真正通过”的标准。尤其是基于韩国《汽车管理法》的网络安全制度，其评审项目较欧洲法规更加细化。《汽车管理法》应对的成败，取决于企业对审查标准的理解是否准确，以及是否在实务层面切实落地。

韩国汽车检测研究院（KATRI）是负责审查韩国汽车制造商及进口商网络安全符合性的官方机构。在相关审查工作中，汽车网络安全专业企业飞斯柯罗的专业技术委员亦参与其中。主导全球汽车制造商获取欧洲汽车网络安全法规（UN R155、UN R156、VTA）认证过程的崔光默技术委员，以及同时拥有汽车网络安全工程国际标准（ISO/SAE 21434）、信息安全管理体系国际标准（ISO/IEC 27001）及韩国ISMS-P认证审查员资格的安正植技术委员，是本次采访的两位主角。本文将从两位专家的视角出发，梳理汽车制造商在实际审查过程中所面临的核心议题。

Q. 韩国汽车网络安全法规已正式实施，汽车制造商必须通过法规认证方可销售车辆，请介绍一下认证审查的具体流程。

▶ 安正植 委员

首先，汽车制造商需向KATRI申请网络安全管理体系（以下简称 CSMS）认证审查。在此过程中，制造商须根据由12项标准构成的认证检查清单，详细填写企业的运营现状，并提交相应的证明材料。

资料提交后，KATRI将通过事前审核确认资料的完整性与适当性。在此阶段，可能会因文件缺失、证明材料不足或说明不充分等原因提出补充要求，制造商需对资料进行完善后重新提交。由于事前审核是进入正式文件审查的首个关口，因此在初期阶段做好充分准备至关重要。

事前审核完成后，将进入文件审查阶段。审查结果分为：合格、有条件合格、轻微不合格、严重不合格、暂缓五类。若未被判定为“合格”，则需补充额外证明材料，文件审查最多可重复进行三轮。只有当所有细项至少达到“有条件合格”标准时，方可进入现场审查阶段。

在现场审查中，将重点核查提交的文件内容是否与实际运营体系一致，安全功能与相关流程是否符合立法宗旨。如存在不足之处，制造商需提交《整改措施计划书》。当上述所有流程均满足要求后，最终将颁发“CSMS 认证证书”。

▶ 崔光默 委员

在整个流程中，最关键的阶段是“事前审核”。过去，KATRI会在考虑制造商认证进度安排的前提下，积极协助其补充完善资料，并多次反复进行事前审核。然而，这种方式在审查资源分配以及整体审查进度管理方面带来了一定困难。因此，对于准备不充分的制造商，未来很可能不再设置单独的补充完善流程，而是直接将其审查顺序调整至后位。实际上，这意味着事前审核阶段的完成度，将直接决定整个审查进度安排。 

Q. 那么，在审查过程中重点关注的评估项目有哪些？

▶ 崔光默 委员

CSMS 认证主要由五大领域构成。第一是治理体系（政策·流程·组织）。审查重点在于网络安全职责与决策结构是否明确定义，相关政策与流程是否在实际运营中真正落地。第二是 TARA（威胁分析与风险评估）。需要识别并评估车辆可能面临的威胁与风险，并确认相应的安全目标是否已反映在设计与开发过程中。尤其关键的是，已识别的风险与漏洞是否不仅停留在文件层面，而是在实际开发与运营流程中得到持续管理。第三是网络安全测试。审查将确认相关战略与流程是否具备系统性，以及是否实际执行。第四是在车辆生产及生产后阶段，是否建立并运行网络安全监测与事件响应流程。通过威胁情报、入侵检测系统（IDS，Intrusion Detection System）等渠道收集的信息来源也必须全部纳入管理范围。此项对应检查表 12 个项目中的第 8～11 项，属于权重较高的关键项目。第五是针对合作伙伴及服务供应商的网络安全供应链管理流程。

在上述五个领域中，治理体系与供应链管理通常多数制造商已具备基础框架，即便存在不足，也可通过整改措施加以完善。相较之下，TARA、网络安全测试及监测相关项目属于审查过程中较难妥协的领域，KATRI 也会进行更加严格和细致的评估。

其中，网络安全测试是制造商普遍感到最具挑战性的部分，同时也是 KATRI 审查最为严格的项目。网络安全测试大致分为 Verification 与 Validation 两类。Verification 是在开发阶段，对已定义的网络安全规范是否在部件（组件）、系统及整车层级正确实现进行验证的测试。Validation 则是确认通过 TARA 推导出的安全目标是否在整车层面真正达成的测试，通常通过基于实车的渗透测试（Penetration Testing）等真实攻击场景进行评估，以验证车辆是否具备足够的安全性。由于该部分与“自我认证符合性调查”密切相关，因此审查会细化至具体测试用例层级进行确认。

Q. 请说明一下“自我认证符合性调查”。

▶ 安正植 委员

网络安全认证大体分为两类：CSMS 认证与 VTA（车辆型式批准）。CSMS 主要验证制造商的网络安全组织体系及流程；VTA 则验证实际车辆是否正确落实了安全对策。在欧洲或中国，车辆在销售前必须同时取得上述两项认证，实行的是“事前批准制度”。而在韩国，原则上采用“自我认证制度”，即由制造商自行确认车辆是否符合汽车安全标准后进行销售，政府再进行事后检查。不过，在网络安全领域，韩国对 CSMS 例外地采用了事前批准制度；而 VTA 仍维持原有的自我认证方式。

为应对“自我认证符合性调查”，汽车制造商需事先向 KATRI 提交今后将使用的网络安全测试报告格式等资料。不仅要完成测试本身，还需清晰整理测试项目、测试方法以及测试结果的记录形式，形成规范明确的报告体系。为尽可能降低车辆网络安全风险，KATRI 自 CSMS 认证审查阶段起，就会对测试评估项目进行细致核查。车辆销售后，监管机构将针对制造商实施的自我认证开展“自我认证符合性调查”；如认定不符合要求，可能会采取召回或处以罚款等措施。

Q. 在对汽车制造商进行审查时，那些网络安全法规应对准备充分的企业，有哪些共同点？

▶ 崔光默 委员

汽车网络安全需要贯穿整车全生命周期进行管理，同时还要求制造商内部组织与合作伙伴协同应对。因此，从一开始就以“怎样的战略”进行布局至关重要。如果完全按照标准条款逐项展开工作，往往会导致业务负担过重。

我参与审查的全球汽车制造商有一个共同点：在设计网络安全战略时，都以“尽量减少额外工作量”为目标。与其新建一套庞大的独立体系，不如在既有的开发、测试与质量管理体系之上，自然地整合网络安全流程，从而提升整体业务生产效率以及认证应对效率。核心在于建立一个能够以最少人力维持运转、且全组织可承受的流程体系。

例如，虽然网络安全法规通常需要按国家、按车型分别进行认证，但有企业通过尽可能统一网络安全架构，来减少重复认证带来的负担。鉴于近年来网络安全法规已从欧洲、韩国扩展至中国、印度等国家，建立一套能够综合应对多国监管要求的体系，显得尤为重要。

Q. 在审查过程中，汽车制造商通常会遇到哪些困难？您认为应当如何解决？

▶ 安正植 委员

目前，部分汽车制造商认为韩国《汽车管理法》相较于 UN R155 需要准备的内容更多，但实际上，《汽车管理法》仍在 UN R155 及其解释文件的框架范围内运行，并未新增本质性的工作内容。不过，由于评估项目更加细化，企业在准确理解各项条款要求，并准备相应证明材料时，往往会面临较大难度。

为此，KATRI正在编制《汽车网络安全及软件更新指南》。然而，仅依靠该指南仍难以完全缓解企业的实际工作负担，因为在网络安全专业能力不足的情况下，企业仍需独立承担所有流程要求。尤其是进口商方面，韩国法人负责人常常需要仅凭大量文字资料来理解庞杂的网络安全体系与检查清单，实际操作难度较高。正如前文所述，今后 KATRI 将以更加严格且更加高效压缩的方式开展审查工作，若准备不足，整体认证进度可能被延后数月。这不仅影响认证时间安排，还可能对整车上市计划产生连锁影响。

归根结底，《汽车管理法》应对的核心在于“能否有效管控进度与风险”。所有企业需要满足的法规要求本质相同，但选择在可预期的时间框架内高效推进，还是在准备范围不明的情况下被动应对，取决于企业自身的策略判断。对于上市节奏至关重要的企业而言，在初期阶段与专业网络安全机构开展合作，也是一种值得考虑的战略选项。

-

汇聚立法制定者与认证审查者两大视角的《汽车网络安全法规应对指南系列》至此圆满收官。

今后，飞斯柯罗也将持续提供涵盖从法规解读到落地执行全过程的实务型洞察，助力企业稳健应对全球汽车网络安全监管要求。

咨询：fescaro.cn@fescaro.com