ISO / GMP / อย.

ISO/SAE 21434 คืออะไร? คู่มือ Automotive Cybersecurity สำหรับอุตสาหกรรมยานยนต์ไทย 2026

ISO/SAE 21434 เป็นมาตรฐานความปลอดภัยไซเบอร์สำหรับยานยนต์ที่กำหนดกระบวนการ Cybersecurity Engineering ตลอด lifecycle ของรถ ตั้งแต่ concept, design, production จนถึง decommission — เป็น requirement ของ UN R155 สำหรับผู้ผลิตรถที่จะขายในตลาด EU/UK/ญี่ปุ่น และสำคัญกับ Tier-1 suppliers ในไทย

AF
ADS FIT Team
·9 นาที
Share:
ISO/SAE 21434 คืออะไร? คู่มือ Automotive Cybersecurity สำหรับอุตสาหกรรมยานยนต์ไทย 2026

# ISO/SAE 21434 คืออะไร? คู่มือ Automotive Cybersecurity สำหรับอุตสาหกรรมยานยนต์ไทย 2026

รถยนต์ยุคใหม่ไม่ได้เป็นแค่เครื่องจักรกล แต่คือ คอมพิวเตอร์ที่มีล้อ รถยนต์รุ่นหลังปี 2023 มี ECU (Electronic Control Unit) กว่า 100 ตัว มีโค้ดมากกว่า 100 ล้านบรรทัด เชื่อมต่อ 5G, OTA update, CarPlay/Android Auto, V2X และ telematics ผลคือ attack surface มหาศาล — การเจาะ ECU หนึ่งตัวอาจทำให้ควบคุมพวงมาลัย เบรก หรือคันเร่งได้

ISO/SAE 21434 คือมาตรฐานสากลฉบับแรกที่ออกแบบมาสำหรับ Cybersecurity Engineering ในอุตสาหกรรมยานยนต์โดยเฉพาะ เผยแพร่ปี 2021 (ร่วมระหว่าง ISO และ SAE) และกลายเป็นพื้นฐานของ UN R155 ที่ EU/UK/ญี่ปุ่น/เกาหลีใต้ บังคับใช้กับรถที่จดทะเบียนใหม่ตั้งแต่ 2024 เป็นต้นไป

บทความนี้จะอธิบายว่า ISO 21434 คืออะไร, ทำไมผู้ผลิตชิ้นส่วนยานยนต์ไทย (Tier-1/Tier-2) ต้องรู้, และต้องเตรียมตัวอย่างไรในปี 2026

ขอบเขตและโครงสร้างของ ISO/SAE 21434

ISO/SAE 21434 ประกอบด้วย 15 clauses ครอบคลุม cybersecurity ตลอด vehicle lifecycle ตั้งแต่ concept, development, production, operation/maintenance จนถึง decommission โดยเน้น risk-based approach ไม่ใช่ checklist แบบมาตรฐานเก่า

| Clause | หัวข้อ | สาระสำคัญ |

|---|---|---|

| 5 | Organizational CS | CSMS — Cybersecurity Management System ของบริษัท |

| 6 | Project dependent CS | วางแผน CS สำหรับแต่ละโครงการ |

| 7 | Distributed CS | บริหาร supplier/Tier-n |

| 8 | Continual CS | Monitoring, vulnerability management |

| 9 | Concept | TARA — Threat Analysis & Risk Assessment |

| 10 | Product dev | Security architecture, secure coding |

| 11 | CS validation | Pen test, fuzzing |

| 12-14 | Production, Operation, Decommission | ดูแลหลังขาย |

| 15 | Threat analysis methods | วิธีทำ TARA |

ทำไมผู้ผลิตชิ้นส่วนยานยนต์ไทยต้องสนใจ

ไทยเป็นฐานการผลิตยานยนต์อันดับ 10 ของโลก และเป็นอันดับ 1 ของอาเซียน มี Tier-1 suppliers ระดับโลกอยู่ใน EEC จำนวนมาก หากผลิตชิ้นส่วนที่มี software/electronics ให้ OEM ญี่ปุ่น/ยุโรป/เกาหลีที่ต้อง comply UN R155 ซัพพลายเออร์ต้องสามารถพิสูจน์ได้ว่า กระบวนการพัฒนาของตนสอดคล้อง ISO 21434

  • **BMW, Mercedes, VW, Toyota, Honda, Hyundai** ทุกราย require supplier ตาม ISO 21434 แล้ว
  • **OEM audit** จะตรวจ CSMS, TARA, secure coding evidence และ incident response plan
  • **ไม่มี ISO 21434 = หมดสิทธิ์ supply ให้ OEM** ภายใน 1–2 ปี

    • TARA – หัวใจของ ISO 21434

    Threat Analysis and Risk Assessment (TARA) คือกระบวนการวิเคราะห์ภัยคุกคามและประเมินความเสี่ยงที่ต้องทำก่อนออกแบบระบบ ต่างจาก IT security ตรงที่เน้น safety consequence หากถูกโจมตีจะกระทบชีวิตคนหรือไม่

  • **Item Definition** — ระบุ asset/feature ที่จะวิเคราะห์ เช่น Telematics ECU
  • **Asset Identification** — ระบุข้อมูล/function ที่มีค่า เช่น GPS data, FOTA channel
  • **Threat Scenario Identification** — ใช้ STRIDE หรือ EVITA เพื่อหา threat
  • **Impact Rating** — S (Safety) / F (Financial) / O (Operational) / P (Privacy)
  • **Attack Path Analysis** — ศึกษา attack vectors ที่เป็นไปได้
  • **Attack Feasibility Rating** — วัดความยากของการโจมตีจริง
  • **Risk Value Determination** — Impact × Feasibility → Risk
  • **Risk Treatment Decision** — Avoid / Reduce / Share / Retain

    • ขั้นตอน Implement ISO 21434 ใน 8 Steps

  • **Step 1: Gap Assessment** — ประเมินกระบวนการปัจจุบันเทียบ ISO 21434 (ใช้เวลา 4–6 สัปดาห์)
  • **Step 2: Establish CSMS** — ตั้ง Cybersecurity Management System, แต่งตั้ง Cybersecurity Manager
  • **Step 3: Training** — เทรนทีม engineering, QA, supplier management ให้เข้าใจ threat model
  • **Step 4: TARA Process** — พัฒนา template และ tool (เช่น Ansys Medini Analyze, Jama Connect)
  • **Step 5: Secure Development Lifecycle** — integrate เข้ากับ ASPICE/Agile (secure coding, code review, SAST/DAST)
  • **Step 6: Supplier Management** — update contract, audit Tier-n suppliers
  • **Step 7: Incident Response & Vulnerability Management** — สร้าง PSIRT team
  • **Step 8: Certification Audit** — ขอการรับรองจาก TÜV SÜD, Bureau Veritas หรือ DEKRA

    • เปรียบเทียบ ISO 21434 vs มาตรฐานความปลอดภัยอื่น

    | หัวข้อ | ISO 21434 | ISO 27001 | IEC 62443 |

    |---|---|---|---|

    | อุตสาหกรรม | ยานยนต์ | IT ทั่วไป | OT/ICS |

    | Focus | Vehicle lifecycle | ข้อมูล (CIA) | Industrial control |

    | Risk emphasis | Safety + Privacy | Data | Availability + Safety |

    | Mandatory? | Yes ผ่าน UN R155 | Voluntary | Voluntary (ยกเว้นบางภาค) |

    | TARA | Required | Risk Assessment ทั่วไป | PHA/LOPA |

    | Certification | Process audit | ISMS audit | System audit |

    ข้อผิดพลาดที่พบบ่อยและต้องหลีกเลี่ยง

  • **คิดว่าเป็นแค่เอกสาร** — ISO 21434 ต้องการ evidence ว่าทำจริง ไม่ใช่แค่ template ที่เติม
  • **ทำ TARA แบบ one-shot** — ต้อง update ทุกครั้งที่มี design change หรือ threat landscape ใหม่
  • **ลืม legacy platform** — รถที่ผลิตก่อน 2024 ก็ต้อง monitor vulnerability ไม่ใช่แค่รุ่นใหม่
  • **Supplier ไม่พร้อม** — OEM audit ลึกถึง Tier-3 ต้องให้ supplier เตรียมตัวล่วงหน้า
  • **PSIRT ไม่ active** — ต้องมีทีมตอบสนอง vulnerability ภายใน 72 ชม.

    • สรุปและก้าวถัดไป

    ISO/SAE 21434 ไม่ใช่ทางเลือก แต่คือ ตั๋วเข้าตลาด สำหรับผู้ผลิตชิ้นส่วนยานยนต์ที่ส่งออกไปยังประเทศที่ใช้ UN R155 ผู้ผลิตไทยที่เริ่มเตรียมตัวปี 2026 จะทัน OEM model year 2027-2028 ส่วนคนที่ล่าช้าจะเสียโอกาสทางธุรกิจ

    Key Takeaways:

  • **ISO 21434 = process standard** เน้น risk-based ไม่ใช่ checklist
  • **TARA คือ key deliverable** ที่ OEM จะตรวจเป็นอันดับแรก
  • **CSMS และ PSIRT** ต้องตั้งก่อน certification audit
  • **Timeline 12–18 เดือน** สำหรับ Tier-1 ขนาดกลางเพื่อ implement เต็มรูปแบบ
  • **ต้นทุน 3–8 ล้านบาท** สำหรับ gap assessment, training, tool และ audit

    • ต้องการคำปรึกษา ISO 21434 / TARA / CSMS implementation สำหรับโรงงานยานยนต์ไทย? ทีม ADS FIT มีประสบการณ์พัฒนาระบบ compliance tracking และ supplier management บน Laravel/Next.js [ติดต่อเรา](/contact) หรือศึกษา [ISO 27001](/blog/iso-27001-implementation-guide) และ [IEC 62443](/blog/iec-62443-ot-ics-industrial-cybersecurity-guide-thailand-2026) เพิ่มเติม

    Tags

    #ISO 21434#Automotive Cybersecurity#UN R155#TARA#Vehicle Security

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที