通過車載終端的“大考”

2019年5月26日11點，德國杜塞爾多夫機場，離登機回國還有幾個小時，鐘華生、羅毅、我三人坐在候機大廳里，望著落地窗外的藍天白云和一架架起降的飛機，想起十天前的那一周經歷的種種，每個人都思緒萬千。

這趟旅程算起來并不是十來天，而是9個月。

2017年，CBG的IoT車載業務成功開啟與歐洲知名車企V客戶的合作之路，開發交付T-Box車載通信終端近千萬臺。而決定項目走向的通行證之一，是一個名為“TISAX”的可信信息安全評估認證。

拿到認證標準，我們懵了

2018年6月，華為消費者業務的IoT車載業務接到客戶通知，要求通過“TISAX認證”，才能與客戶的網絡實現對接。并提供了一份有78條標準的認證表。

我和開發代表陳治瑾、研發兄弟婁軼拿到這份表格，一下子懵了。

TISAX（Trusted Information Security Assessment Exchange，可信信息安全評估交換）是德國汽車工業聯合會（VDA）聯合歐洲汽車工業安全數據交換協會（ENX）于2017年底推出的汽車行業信息安全評估和數據交換安全標準。汽車行業擁有復雜的上下游供應鏈，其中任何一家企業的信息安全問題都有可能對上下游整個供應鏈造成巨大影響?！癟ISAX認證”被歐洲汽車行業相關方（主要是汽車整車制造商）用于內部評估、供應商、服務商評估，其評估結果可以實現汽車行業企業之間信息安全評估的相互認可，也是為歐洲汽車行業提供服務的門檻。寶馬、奔馳、奧迪等歐洲眾多汽車知名品牌及相關企業均是其組織成員。審核要求必須在9個月內完成。

車聯網系統包含四部分，主機、汽車T-Box、手機APP及后臺系統，T-Box主要用于和后臺系統/手機APP互聯通信，實現后臺系統/手機APP的車輛信息顯示與控制。有了它，用戶駕駛汽車會更舒適，更安全，更方便。例如，通過T-Box可以對汽車實現遠程控制（點火、打開空調、車門等）、遠程監控（油耗信息、位置信息等），緊急救援（出現交通碰撞事故，自動撥打后臺熱線求救）等。

對消費者業務來說，傳統的信息安全聚焦于數據泄密，之前關于信息安全的認證95%聚焦在消費類電子產品。所有人都是第一次接觸車載行業的信息安全標準，而TISAX認證范圍很廣，主要分為四大部分，包含信息安全、第三方連接安全、原型機保護以及用戶隱私，不僅涉及數據泄密，更涉及基建、網絡、資產、IT開發、業務連續性、供應商、合作方等多個方面。負責車載終端業務的我們，之前從沒做過此類認證。審核的流程是怎樣的？找哪家有資質的審核機構？審核的內容是什么？如何認證？根本不知從何下手。

而標準也很寬泛，每一條都看得懂字面意思，但實際意思根本看不懂。比如，有一條標準是：員工（內部和外部）在多大程度上了解和培訓了信息處理和處理相關的風險？

除此之外，我們最擔心的，也是未來長達半年都不知道的是，客戶并沒有給華為明確的審核范圍，比如需要審核的地點有哪些？原型機保護是否每處地點都涉及？三個等級，要認證哪一個等級才算通過？

一個個問號縈繞心頭，我們幾個人面面相覷：太難了。

半年才搞清認證的“What”和“How”

我們是做車載業務，不太了解信息安全領域的相關管理規范，只能向CBG信息安全管理辦公室求助。但負責信息安全的同事看完標準后，說了一句“工作量很大，難度也很大?！庇绕涫窃蜋C保護，是汽車行業的要求，對我們來說是全新的東西。

工作千頭萬緒，但認證關系到業務的未來，團隊必須在規定的時間內集結一切資源來完成。我們查閱大量資料，熟悉德國汽車信息組織整體框架及運作機制，并咨詢一些審核機構，了解到ENX是負責維護TISAX認證標準和評估要求，以及認證Label（標簽）交互的平臺。ENX提供了100多頁的TISAX審核指導手冊，涵蓋審核地注冊要求/付費流程、TISAX評估內容、評分依據、審核/再審流程、Label標準、Label交互方式等一系列標準化動作，是認證的“干貨”。

由于涉及領域太多，我們幾個人意識到，這不是單個人或者單個部門能解決的，必須聯合各個專業的正確角色一起跨部門作戰。在多方推動下，2018年8月成立了IoT產品線和CBG流程IT與質量運營部聯合工作組，組建體系認證團隊，全面負責審核。

當時負責在ENX平臺注冊信息的婁軼發現，具有TISAX審核資質的機構全球僅5家，且之前和華為從無合作。一個與項目契合度高的審核機構，對項目成功交付尤為重要。綜合了各項要素之后，我們選取了唯一能提供中文服務、審核資源比較豐富的全球四大會計師事務所之一的E機構，來負責對華為的認證審核。后來我們從其他咨詢機構才了解到，E機構審核過100多家，沒有一家是一次性通過的。當然，這是后話了。

由于TISAX要求在不斷刷新，客戶也不清楚審核范圍，工作組只能基于假設來分析差距。團隊預估，因公司所處的外部環境以及自身的體量，必須以認證最高等級的標準來分解任務，補充和優化證據，現場整改。

之后，我們邀請了一個與華為有合作的機構進行預審，對方對華為的信息安全體系非常了解，認為華為的信息安全建設，無論是規則還是流程，以及安全環境的構建上，都很完善，基本能通過。這讓團隊信心滿滿：“通過”基本是板上釘釘了。

這期間，我們還和E機構經過長達2個月的多輪溝通和材料證明，完成了E機構對華為公司資質的認證，并根據ENX要求，梳理了詳細證據清單，4次刷新TISAX認證信息。直到2019年2月底，客戶終于提出明確要求，此次認證要求的等級是3級，即最高安全等級，審核分為三個地點：深圳的研發中心、東莞的生產基地和數據中心，以及華為德國子公司；東莞、深圳以及德國子公司均需對原型機保護進行審核。

三次審核的結果，將直接決定華為與V客戶的現有合作能否進入下一階段。這張“通行證”必須拿下！

驚險中通過二地認證

2019年4月22日，我們滿懷信心迎來了第一次在深圳的審核。

審核組是E機構中國區的兩位專家，非常嚴謹、認真，如果一定要用一個字形容的話，就是：細。

審核專家要求應審人員的舉證，細到哪份流程文件中哪句話具體支撐了哪個活動，抑或是某個文件中的某句話具體是什么意思。比如，專家問，樣機開發實驗室門窗安全設計怎樣保證的，標準是什么，是否有流程保障措施落地？華為數據中心的安全供電是怎樣保障的，有幾路市電保障，供電局承諾是怎樣？深圳天安云谷的研發中心場地是租賃的，租賃的建筑標準是什么？安全防護等級是多少？專家團甚至還讓我們證明，為什么是三級部門信息安全管理辦公室負責整個CBG的信息安全管理工作？

一連串問題把我們問得暈頭轉向。我們原來想當然以為這些與數據的信息安全沒有多大關系，壓根沒有準備。當然，很快我們就知道，門窗安全設計是基于物理環境的安全要求，專家們要知道原型機保護的防盜措施；幾路市電保障，是想了解業務的連續性，當業務被中斷后是否有容災準備來保證數據不會丟失；租賃樓宇的建筑設計規范，是為了確認物理環境安全，從而保證第三方連接和原型機的安全。

專家審得細，但華為分工也很細，信息安全定義的規則也很多，根本無法快速找到答案，一個個問題“殺”得應審團隊措手不及。第一天的現場有些混亂，我們也很慌亂，要么卡殼，要么答非所問。晚上的時候，大伙總結，如果明天還是這種狀態，審核就很“危險”了。應對策略必須立刻調整。信息安全管理辦公室專家鐘華生連夜打電話求助集團、CBG和IT團隊調動資源，迅速找到合適的人負責接下來及時舉證各種材料并現場支持。

30多人組成的應審團隊臨時擴大，有了各路專家的加持，基于華為信息安全體系自身的強大，我們把專家組提出的問題一條一條補充完善，深圳后兩天的審核很順利；而原定的東莞2天認證，也延長到了三天，每天近10個小時，第三天是周六，專家團都主動過來加班審核舉證材料，一直到晚上。

現場審核結束后的第一天，是周日，每個相關領域的核心代表，近20人，一大早擠滿了會議室，在忐忑不安中等待審核專家的到來。專家整理了一份初評報告，報告的第一頁便亮出了初評分數：2.7分，剛達及格線。

“及格了！”所有人緊繃的神經放松下來。審核專家在指出問題的同時也給予了肯定“你們是我們在國內見到做得最好的公司”。

初評結果不代表最終的結果，但總算是在驚險中通過了深圳和東莞的認證。

快速集結資源 高效協同

還沒來得及感受這份小小的喜悅，18天后，華為德國子公司便得接受審核了。

與前兩次相比，這次我們的擔憂又多了些。

第一個是標準。德國子公司同樣是首次接觸TISAX標準，但一線業務場景簡單，比如開發測試、業務連續性、密鑰、數據中心機房、樣機管理這些模塊的業務場景在一線很少，如何應審？

第二是資源。德國子公司應審團隊未真正組建起來，而留給我們應審的時間只有兩周多，時間非常緊。

第三是自身能力的差距。德國子公司的質量專家咨詢了當地和華為合作過的認證機構，對方搖搖頭：“差距太大了，如果不整改根本不可能通過審核?！边@其中風險最大的就是原型機的保護，因為子公司主要是辦公區域，沒有總部實驗室和庫房的條件，以及嚴格的原型機管理規范和制度。

基于這樣的情況，我作為質量PQA（產品質量保證工程師），和鐘華生、V項目版本經理羅毅需要出差德國現場支撐。

我們仨真是壓力山大，甚至有點打退堂鼓了，德國人的嚴謹是出了名的，時間這么緊迫，子公司又是這樣的情況，大家都不看好，我們還有必要繼續認證嗎？

可就差臨門一腳了，項目絕不能丟在我們手上。最后一關，無論如何要拼一把。我們第一時間聯系德國子公司，成立緊急求助工作群組，包括產品線、西歐地區部、德國子公司等相關負責人，得到了他們的大力支持，并協調平臺信息安全、IT、行政、人力資源、合規等專家資源，快速組成了德國子公司TISAX應審特戰隊。很快，一線和機關快速聯動，召開了對齊目標和任務分工的開工會。

留給我們準備的時間只有10個工作日。而原來由80多名專家支持的應審內容，去現場支撐的三人必須都要“吃透”。為保證準備充分，我們幾個核心成員集中到一個專用會議室“閉關”辦公，連續5天早上8點半開始就“釘”在會議室里，將TISAX認證標準對應的流程規范全部打印了出來，人均100多頁，逐個審視，劃好重點，做好筆記。在德國團隊上班后，馬不停蹄開始溝通，讓應審人員對標準充分理解，對怎么應答做到心中有數。同時，梳理德國團隊已準備的證據，及時分享給機關應審團隊，讓他們熟悉德國應審情況。夙興夜寐，高強度集中作戰了一周，應審材料框架初步搭了起來。

離正式審核只有4天時，我們匆忙奔赴德國。第一次見面，大家已默契十足，迅速進入作戰狀態。針對審核條款對應的文檔證據，我們做了一個清晰的目錄結構；吸取在國內應審時答復不太專業、應審技巧欠缺等教訓，每個領域的負責人，根據要求準備好證據，大家相互挑戰和提問，如果遇到類似問題該怎么應對。演練了一遍又一遍，直到最后胸有成竹。

原型機保護部分，我們反復研究了審核條款，并對前期已準備的現場環境進行了自檢，發現差距還是較大。于是，子公司終端MKT、質量運營、行政、IT全力出動，快速整改，把在國內的經驗和規范移植到杜塞，騰出一個十多平方米的倉庫作為原型機保護的場所，搬運了多個保密柜，分門別類放入我們的手機、車載產品，安裝攝像頭，設好門禁，并安排專人管理，門窗做好防盜處理等。

一切準備就緒，正式應審的前一晚，我們特意開了一次全員溝通會，確保所有人都進入戰備狀態，準備好迎接黎明前最后的挑戰！

終極考驗，滿分！

德國當地時間5月15日，第三次正式審核開始了。負責審核的是一位年輕的德國專家。

基于專家對華為并不了解，我們改變了之前在深圳、東莞被動應對的策略，主動全面介紹華為的信息安全政策流程，展現華為在信息安全管理方面的能力。同事海英有十幾年體系認證經驗，懂英語和德語，是我們和專家之間的有效樞紐。針對一些比較專業的術語或問題，她就用德語翻譯和解釋，很多嚴苛的問題就這樣被一一化解。

三天的審核，一切都在有條不紊地推進。最后的審核項是我們最擔心的原型機保護。專家進行了半小時的審核檢查，所有人的心都提到了嗓子眼，但讓我們意外又慶幸的是，專家并沒有提任何問題，只說了一句：“OK.”

審核結束了，我們圍坐在會議室里，等待審核專家給出初評分數。與上一次不同的是，這次我們心里更有底了。經過一番整理和總結，德國專家給出的分數還是讓我們大吃一驚，簡直不敢相信，因為這個分數，竟然是：滿分（3分）！

霎時間，所有人開始瘋狂鼓掌，掩飾不住勝利的喜悅。專家很驚訝，沒想到我們反應如此強烈。這個掌聲給老師，更是給我們自己。從深圳、東莞，到德國，一路磕磕絆絆，最終竟在德國打了一場超出預期的勝仗。那一刻，我們出差的三人才真正放下了心中的大石，第一時間把喜訊分享給國內的同事，所有人都開心不已。

當晚認證團隊聚餐慶祝時，有人問我們感覺怎么樣？我說，就跟打仗一樣，所有人各司其職，又相互支撐，不管三七二十一往前沖，真真切切感受到了“敗則拼死相救，勝則舉杯相慶”。當然我們并沒有敗，但是在勝利之前的那種拼死相救，讓人尤為難忘。

是啊，這是一次難忘的戰役，從來沒有哪次體系審核如此“折騰”大家，這也是一次特別“享受”的戰役，歷經波折之后收獲成功的果實，總是格外香甜。這更是一次收獲滿滿的戰役，它讓我們對信息安全的邊界認識更加深刻，信息安全不僅在于規則、流程，更在于每個員工，在于日常生活中的點滴。

2019年6月17日，E機構發來審核報告，華為通過TISAX第3級最高標準。這是歐洲汽車行業信息安全評估和數據交換安全標準的最高級別，這也是E機構審核的中國企業中一次性通過TISAX安全認證的首家，并且三年內不用再重復認證。

這意味著華為的信息安全水平不僅滿足通信行業要求，也獲得了歐洲汽車行業的高度認可，為公司汽車相關業務通過自己的核心技術更廣泛服務歐洲車企，將數字世界帶給汽車行業夯實了基礎。

回顧這一路走來的9個月，感謝公司提供了這樣一個大的平臺，感謝所有給予指導和支持的專家、同事，沒有所有人的力出一孔，就沒有最后的勝利。

本文為《華為人》版權所有，未經允許不得轉載。如需轉載請聯系編輯部hwrb@huawei.com

華為人期刊

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。