工業(yè)和信息化部關(guān)于加強車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò )安全和數據安全工作的通知
工信部網(wǎng)安〔2021〕134號
各省�����、自治區�����、直轄市及新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門(mén),各省���、自治區�����、直轄市通信管理局,中國電信集團有限公司���、中國移動(dòng)通信集團有限公司�、中國聯(lián)合網(wǎng)絡(luò )通信集團有限公司,有關(guān)智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)�、車(chē)聯(lián)網(wǎng)服務(wù)平臺運營(yíng)企業(yè),有關(guān)標準化技術(shù)組織:
車(chē)聯(lián)網(wǎng)是新一代網(wǎng)絡(luò )通信技術(shù)與汽車(chē)���、電子���、道路交通運輸等領(lǐng)域深度融合的新興產(chǎn)業(yè)形態(tài)�。智能網(wǎng)聯(lián)汽車(chē)是搭載先進(jìn)的車(chē)載傳感器����、控制器�����、執行器等裝置,并融合現代通信與網(wǎng)絡(luò )技術(shù),實(shí)現車(chē)與車(chē)����、路�、人�、云端等智能信息交換�、共享,具備復雜環(huán)境感知��、智能決策���、協(xié)同控制等功能,可實(shí)現“安全���、高效�����、舒適����、節能”行駛的新一代汽車(chē)�����。在產(chǎn)業(yè)快速發(fā)展的同時(shí),車(chē)聯(lián)網(wǎng)安全風(fēng)險日益凸顯,車(chē)聯(lián)網(wǎng)安全保障體系亟須健全完善�。為推進(jìn)實(shí)施《新能源汽車(chē)產(chǎn)業(yè)發(fā)展規劃(2021-2035年)》,加強車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò )安全和數據安全管理工作,現將有關(guān)事項通知如下:
一���、網(wǎng)絡(luò )安全和數據安全基本要求
(一)落實(shí)安全主體責任����。各相關(guān)企業(yè)要建立網(wǎng)絡(luò )安全和數據安全管理制度,明確負責人和管理機構,落實(shí)網(wǎng)絡(luò )安全和數據安全保護責任�。強化企業(yè)內部監督管理,加大資源保障力度,及時(shí)發(fā)現并解決安全隱患�����。加強網(wǎng)絡(luò )安全和數據安全宣傳�、教育和培訓�����。
(二)全面加強安全保護���。各相關(guān)企業(yè)要采取管理和技術(shù)措施,按照車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò )安全和數據安全相關(guān)標準要求,加強汽車(chē)�、網(wǎng)絡(luò )���、平臺��、數據等安全保護,監測��、防范�、及時(shí)處置網(wǎng)絡(luò )安全風(fēng)險和威脅,確保數據處于有效保護和合法利用狀態(tài),保障車(chē)聯(lián)網(wǎng)安全穩定運行���。
二�、加強智能網(wǎng)聯(lián)汽車(chē)安全防護
(三)保障車(chē)輛網(wǎng)絡(luò )安全�。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)要加強整車(chē)網(wǎng)絡(luò )安全架構設計�。加強車(chē)內系統通信安全保障,強化安全認證���、分域隔離��、訪(fǎng)問(wèn)控制等措施,防范偽裝��、重放��、注入�、拒絕服務(wù)等攻擊�。加強車(chē)載信息交互系統��、汽車(chē)網(wǎng)關(guān)���、電子控制單元等關(guān)鍵設備和部件安全防護和安全檢測�。加強診斷接口(OBD)�����、通用串行總線(xiàn)(USB)端口����、充電端口等的訪(fǎng)問(wèn)和權限管理����。
(四)落實(shí)安全漏洞管理責任�����。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)要落實(shí)《網(wǎng)絡(luò )產(chǎn)品安全漏洞管理規定》有關(guān)要求,明確本企業(yè)漏洞發(fā)現�����、驗證����、分析���、修補��、報告等工作程序�。發(fā)現或獲知汽車(chē)產(chǎn)品存在漏洞后,應立即采取補救措施,并向工業(yè)和信息化部網(wǎng)絡(luò )安全威脅和漏洞信息共享平臺報送漏洞信息����。對需要用戶(hù)采取軟件���、固件升級等措施修補漏洞的,應當及時(shí)將漏洞風(fēng)險及修補方式告知可能受影響的用戶(hù),并提供必要技術(shù)支持�。
三����、加強車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò )安全防護
(五)加強車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò )設施和網(wǎng)絡(luò )系統安全防護能力����。各相關(guān)企業(yè)要嚴格落實(shí)網(wǎng)絡(luò )安全分級防護要求,加強網(wǎng)絡(luò )設施和網(wǎng)絡(luò )系統資產(chǎn)管理,合理劃分網(wǎng)絡(luò )安全域,加強訪(fǎng)問(wèn)控制管理,做好網(wǎng)絡(luò )邊界安全防護,采取防范木馬病毒和網(wǎng)絡(luò )攻擊�、網(wǎng)絡(luò )侵入等危害車(chē)聯(lián)網(wǎng)安全行為的技術(shù)措施����。自行或者委托檢測機構定期開(kāi)展網(wǎng)絡(luò )安全符合性評測和風(fēng)險評估,及時(shí)消除風(fēng)險隱患����。
(六)保障車(chē)聯(lián)網(wǎng)通信安全�。各相關(guān)企業(yè)要建立車(chē)聯(lián)網(wǎng)身份認證和安全信任機制,強化車(chē)載通信設備�、路側通信設備�、服務(wù)平臺等安全通信能力,采取身份認證���、加密傳輸等必要的技術(shù)措施,防范通信信息偽造�����、數據篡改�、重放攻擊等安全風(fēng)險,保障車(chē)與車(chē)�、車(chē)與路����、車(chē)與云�、車(chē)與設備等場(chǎng)景通信安全�����。鼓勵相關(guān)企業(yè)�、機構接入工業(yè)和信息化部車(chē)聯(lián)網(wǎng)安全信任根管理平臺,協(xié)同推動(dòng)跨車(chē)型����、跨設施�、跨企業(yè)互聯(lián)互認互通���。
(七)開(kāi)展車(chē)聯(lián)網(wǎng)安全監測預警���。國家加強車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò )安全監測平臺建設,開(kāi)展網(wǎng)絡(luò )安全威脅��、事件的監測預警通報和安全保障服務(wù)���。各相關(guān)企業(yè)要建立網(wǎng)絡(luò )安全監測預警機制和技術(shù)手段,對智能網(wǎng)聯(lián)汽車(chē)����、車(chē)聯(lián)網(wǎng)服務(wù)平臺及聯(lián)網(wǎng)系統開(kāi)展網(wǎng)絡(luò )安全相關(guān)監測,及時(shí)發(fā)現網(wǎng)絡(luò )安全事件或異常行為,并按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于6個(gè)月���。
(八)做好車(chē)聯(lián)網(wǎng)安全應急處置����。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)����、車(chē)聯(lián)網(wǎng)服務(wù)平臺運營(yíng)企業(yè)要建立網(wǎng)絡(luò )安全應急響應機制,制定網(wǎng)絡(luò )安全事件應急預案,定期開(kāi)展應急演練,及時(shí)處置安全威脅��、網(wǎng)絡(luò )攻擊�、網(wǎng)絡(luò )侵入等網(wǎng)絡(luò )安全風(fēng)險���。在發(fā)生危害網(wǎng)絡(luò )安全的事件時(shí),立即啟動(dòng)應急預案,采取相應的補救措施,并按照《公共互聯(lián)網(wǎng)網(wǎng)絡(luò )安全突發(fā)事件應急預案》等規定向有關(guān)主管部門(mén)報告�����。
(九)做好車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò )安全防護定級備案���。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)���、車(chē)聯(lián)網(wǎng)服務(wù)平臺運營(yíng)企業(yè)要按照車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò )安全防護相關(guān)標準,對所屬網(wǎng)絡(luò )設施和系統開(kāi)展網(wǎng)絡(luò )安全防護定級工作,并向所在省(區�����、市)通信管理局備案�。對新建網(wǎng)絡(luò )設施和系統,應當在規劃設計階段確定網(wǎng)絡(luò )安全防護等級����。各省(區����、市)通信管理局會(huì )同工業(yè)和信息化主管部門(mén)做好定級備案審核工作��。
四�、加強車(chē)聯(lián)網(wǎng)服務(wù)平臺安全防護
(十)加強平臺網(wǎng)絡(luò )安全管理����。車(chē)聯(lián)網(wǎng)服務(wù)平臺運營(yíng)企業(yè)要采取必要的安全技術(shù)措施,加強智能網(wǎng)聯(lián)汽車(chē)�、路側設備等平臺接入安全,主機�、數據存儲系統等平臺設施安全,以及資源管理�、服務(wù)訪(fǎng)問(wèn)接口等平臺應用安全防護能力,防范網(wǎng)絡(luò )侵入��、數據竊取���、遠程控制等安全風(fēng)險����。涉及在線(xiàn)數據處理與交易處理���、信息服務(wù)業(yè)務(wù)等電信業(yè)務(wù)的,應依法取得電信業(yè)務(wù)經(jīng)營(yíng)許可���。認定為關(guān)鍵信息基礎設施的,要落實(shí)《關(guān)鍵信息基礎設施安全保護條例》有關(guān)規定,并按照國家有關(guān)標準使用商用密碼進(jìn)行保護,自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估��。
(十一)加強在線(xiàn)升級服務(wù)(OTA)安全和漏洞檢測評估����。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)要建立在線(xiàn)升級服務(wù)軟件包安全驗證機制,采用安全可信的軟件��。開(kāi)展在線(xiàn)升級軟件包網(wǎng)絡(luò )安全檢測,及時(shí)發(fā)現產(chǎn)品安全漏洞��。加強在線(xiàn)升級服務(wù)安全校驗能力,采取身份認證����、加密傳輸等技術(shù)措施,保障傳輸環(huán)境和執行環(huán)境的網(wǎng)絡(luò )安全���。加強在線(xiàn)升級服務(wù)全過(guò)程的網(wǎng)絡(luò )安全監測和應急響應,定期評估網(wǎng)絡(luò )安全狀況,防范軟件被偽造���、篡改�����、損毀��、泄露和病毒感染等網(wǎng)絡(luò )安全風(fēng)險�����。
(十二)強化應用程序安全管理����。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)����、車(chē)聯(lián)網(wǎng)服務(wù)平臺運營(yíng)企業(yè)要建立車(chē)聯(lián)網(wǎng)應用程序開(kāi)發(fā)�、上線(xiàn)�、使用�、升級等安全管理制度,提升應用程序身份鑒別����、通信安全��、數據保護等安全能力�����。加強車(chē)聯(lián)網(wǎng)應用程序安全檢測,及時(shí)處置安全風(fēng)險,防范惡意應用程序攻擊和傳播��。
五�、加強數據安全保護
(十三)加強數據分類(lèi)分級管理���。按照“誰(shuí)主管����、誰(shuí)負責,誰(shuí)運營(yíng)�����、誰(shuí)負責”的原則,智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)�、車(chē)聯(lián)網(wǎng)服務(wù)平臺運營(yíng)企業(yè)要建立數據管理臺賬,實(shí)施數據分類(lèi)分級管理,加強個(gè)人信息與重要數據保護�����。定期開(kāi)展數據安全風(fēng)險評估,強化隱患排查整改,并向所在省(區���、市)通信管理局��、工業(yè)和信息化主管部門(mén)報備�����。所在省(區�、市)通信管理局����、工業(yè)和信息化主管部門(mén)要對企業(yè)履行數據安全保護義務(wù)進(jìn)行監督檢查�����。
(十四)提升數據安全技術(shù)保障能力�。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)��、車(chē)聯(lián)網(wǎng)服務(wù)平臺運營(yíng)企業(yè)要采取合法�����、正當方式收集數據,針對數據全生命周期采取有效技術(shù)保護措施,防范數據泄露���、毀損���、丟失�、篡改��、誤用��、濫用等風(fēng)險����。各相關(guān)企業(yè)要強化數據安全監測預警和應急處置能力建設,提升異常流動(dòng)分析�����、違規跨境傳輸監測���、安全事件追蹤溯源等水平;及時(shí)處置數據安全事件,向所在省(區����、市)通信管理局���、工業(yè)和信息化主管部門(mén)報告較大及以上數據安全事件,并配合開(kāi)展相關(guān)監督檢查,提供必要技術(shù)支持���。
(十五)規范數據開(kāi)發(fā)利用和共享使用�����。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)�����、車(chē)聯(lián)網(wǎng)服務(wù)平臺運營(yíng)企業(yè)要合理開(kāi)發(fā)利用數據資源,防范在使用自動(dòng)化決策技術(shù)處理數據時(shí),侵犯用戶(hù)隱私權和知情權��。明確數據共享和開(kāi)發(fā)利用的安全管理和責任要求,對數據合作方數據安全保護能力進(jìn)行審核評估,對數據共享使用情況進(jìn)行監督管理�����。
(十六)強化數據出境安全管理����。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)���、車(chē)聯(lián)網(wǎng)服務(wù)平臺運營(yíng)企業(yè)需向境外提供在中華人民共和國境內收集和產(chǎn)生的重要數據的,應當依法依規進(jìn)行數據出境安全評估并向所在省(區���、市)通信管理局���、工業(yè)和信息化主管部門(mén)報備�����。各省(區�����、市)通信管理局會(huì )同工業(yè)和信息化主管部門(mén)做好數據出境備案����、安全評估等工作�����。
六�、健全安全標準體系
(十七)加快車(chē)聯(lián)網(wǎng)安全標準建設����。加快編制車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò )安全和數據安全標準體系建設指南�����。全國通信標準化技術(shù)委員會(huì )��、全國汽車(chē)標準化技術(shù)委員會(huì )等要加快組織制定車(chē)聯(lián)網(wǎng)防護定級��、服務(wù)平臺防護���、汽車(chē)漏洞分類(lèi)分級�、通信交互認證��、數據分類(lèi)分級�、事件應急響應等標準規范及相關(guān)檢測評估�、認證標準�。鼓勵各相關(guān)企業(yè)���、社會(huì )團體制定高于國家標準或行業(yè)標準相關(guān)技術(shù)要求的企業(yè)標準���、團體標準����。
特此通知����。
工業(yè)和信息化部
2021年9月15日
中企網(wǎng)微博
中企網(wǎng)微信