上證報(bào)中國(guó)證券網(wǎng)訊據(jù)工信部9月16日消息,工業(yè)和信息化部近日發(fā)布關(guān)于加強(qiáng)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知。通知要求,要全面加強(qiáng)安全保護(hù)。各相關(guān)企業(yè)要采取管理和技術(shù)措施,按照車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)要求,加強(qiáng)汽車(chē)、網(wǎng)絡(luò)、平臺(tái)、數(shù)據(jù)等安全保護(hù),監(jiān)測(cè)、防范、及時(shí)處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅,確保數(shù)據(jù)處于有效保護(hù)和合法利用狀態(tài),保障車(chē)聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行。
全文
工業(yè)和信息化部關(guān)于加強(qiáng)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知
工信部網(wǎng)安〔2021〕134號(hào)
各省、自治區(qū)、直轄市及新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門(mén),各省、自治區(qū)、直轄市通信管理局,中國(guó)電信集團(tuán)有限公司、中國(guó)移動(dòng)通信集團(tuán)有限公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司,有關(guān)智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)、車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè),有關(guān)標(biāo)準(zhǔn)化技術(shù)組織:
車(chē)聯(lián)網(wǎng)是新一代網(wǎng)絡(luò)通信技術(shù)與汽車(chē)、電子、道路交通運(yùn)輸?shù)阮I(lǐng)域深度融合的新興產(chǎn)業(yè)形態(tài)。智能網(wǎng)聯(lián)汽車(chē)是搭載先進(jìn)的車(chē)載傳感器、控制器、執(zhí)行器等裝置,并融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù),實(shí)現(xiàn)車(chē)與車(chē)、路、人、云端等智能信息交換、共享,具備復(fù)雜環(huán)境感知、智能決策、協(xié)同控制等功能,可實(shí)現(xiàn)“安全、高效、舒適、節(jié)能”行駛的新一代汽車(chē)。在產(chǎn)業(yè)快速發(fā)展的同時(shí),車(chē)聯(lián)網(wǎng)安全風(fēng)險(xiǎn)日益凸顯,車(chē)聯(lián)網(wǎng)安全保障體系亟須健全完善。為推進(jìn)實(shí)施《新能源汽車(chē)產(chǎn)業(yè)發(fā)展規(guī)劃(2021-2035年)》,加強(qiáng)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理工作,現(xiàn)將有關(guān)事項(xiàng)通知如下:
一、網(wǎng)絡(luò)安全和數(shù)據(jù)安全基本要求
(一)落實(shí)安全主體責(zé)任。各相關(guān)企業(yè)要建立網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理制度,明確負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)責(zé)任。強(qiáng)化企業(yè)內(nèi)部監(jiān)督管理,加大資源保障力度,及時(shí)發(fā)現(xiàn)并解決安全隱患。加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全宣傳、教育和培訓(xùn)。
(二)全面加強(qiáng)安全保護(hù)。各相關(guān)企業(yè)要采取管理和技術(shù)措施,按照車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)要求,加強(qiáng)汽車(chē)、網(wǎng)絡(luò)、平臺(tái)、數(shù)據(jù)等安全保護(hù),監(jiān)測(cè)、防范、及時(shí)處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅,確保數(shù)據(jù)處于有效保護(hù)和合法利用狀態(tài),保障車(chē)聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行。
二、加強(qiáng)智能網(wǎng)聯(lián)汽車(chē)安全防護(hù)
(三)保障車(chē)輛網(wǎng)絡(luò)安全。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)要加強(qiáng)整車(chē)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)。加強(qiáng)車(chē)內(nèi)系統(tǒng)通信安全保障,強(qiáng)化安全認(rèn)證、分域隔離、訪問(wèn)控制等措施,防范偽裝、重放、注入、拒絕服務(wù)等攻擊。加強(qiáng)車(chē)載信息交互系統(tǒng)、汽車(chē)網(wǎng)關(guān)、電子控制單元等關(guān)鍵設(shè)備和部件安全防護(hù)和安全檢測(cè)。加強(qiáng)診斷接口(OBD)、通用串行總線(xiàn)(USB)端口、充電端口等的訪問(wèn)和權(quán)限管理。
(四)落實(shí)安全漏洞管理責(zé)任。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)要落實(shí)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求,明確本企業(yè)漏洞發(fā)現(xiàn)、驗(yàn)證、分析、修補(bǔ)、報(bào)告等工作程序。發(fā)現(xiàn)或獲知汽車(chē)產(chǎn)品存在漏洞后,應(yīng)立即采取補(bǔ)救措施,并向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送漏洞信息。對(duì)需要用戶(hù)采取軟件、固件升級(jí)等措施修補(bǔ)漏洞的,應(yīng)當(dāng)及時(shí)將漏洞風(fēng)險(xiǎn)及修補(bǔ)方式告知可能受影響的用戶(hù),并提供必要技術(shù)支持。
三、加強(qiáng)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)
(五)加強(qiáng)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和網(wǎng)絡(luò)系統(tǒng)安全防護(hù)能力。各相關(guān)企業(yè)要嚴(yán)格落實(shí)網(wǎng)絡(luò)安全分級(jí)防護(hù)要求,加強(qiáng)網(wǎng)絡(luò)設(shè)施和網(wǎng)絡(luò)系統(tǒng)資產(chǎn)管理,合理劃分網(wǎng)絡(luò)安全域,加強(qiáng)訪問(wèn)控制管理,做好網(wǎng)絡(luò)邊界安全防護(hù),采取防范木馬病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害車(chē)聯(lián)網(wǎng)安全行為的技術(shù)措施。自行或者委托檢測(cè)機(jī)構(gòu)定期開(kāi)展網(wǎng)絡(luò)安全符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估,及時(shí)消除風(fēng)險(xiǎn)隱患。
(六)保障車(chē)聯(lián)網(wǎng)通信安全。各相關(guān)企業(yè)要建立車(chē)聯(lián)網(wǎng)身份認(rèn)證和安全信任機(jī)制,強(qiáng)化車(chē)載通信設(shè)備、路側(cè)通信設(shè)備、服務(wù)平臺(tái)等安全通信能力,采取身份認(rèn)證、加密傳輸?shù)缺匾募夹g(shù)措施,防范通信信息偽造、數(shù)據(jù)篡改、重放攻擊等安全風(fēng)險(xiǎn),保障車(chē)與車(chē)、車(chē)與路、車(chē)與云、車(chē)與設(shè)備等場(chǎng)景通信安全。鼓勵(lì)相關(guān)企業(yè)、機(jī)構(gòu)接入工業(yè)和信息化部車(chē)聯(lián)網(wǎng)安全信任根管理平臺(tái),協(xié)同推動(dòng)跨車(chē)型、跨設(shè)施、跨企業(yè)互聯(lián)互認(rèn)互通。
(七)開(kāi)展車(chē)聯(lián)網(wǎng)安全監(jiān)測(cè)預(yù)警。國(guó)家加強(qiáng)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)建設(shè),開(kāi)展網(wǎng)絡(luò)安全威脅、事件的監(jiān)測(cè)預(yù)警通報(bào)和安全保障服務(wù)。各相關(guān)企業(yè)要建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制和技術(shù)手段,對(duì)智能網(wǎng)聯(lián)汽車(chē)、車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)及聯(lián)網(wǎng)系統(tǒng)開(kāi)展網(wǎng)絡(luò)安全相關(guān)監(jiān)測(cè),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件或異常行為,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個(gè)月。
(八)做好車(chē)聯(lián)網(wǎng)安全應(yīng)急處置。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)、車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)要建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,定期開(kāi)展應(yīng)急演練,及時(shí)處置安全威脅、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》等規(guī)定向有關(guān)主管部門(mén)報(bào)告。
(九)做好車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級(jí)備案。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)、車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)要按照車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)相關(guān)標(biāo)準(zhǔn),對(duì)所屬網(wǎng)絡(luò)設(shè)施和系統(tǒng)開(kāi)展網(wǎng)絡(luò)安全防護(hù)定級(jí)工作,并向所在省(區(qū)、市)通信管理局備案。對(duì)新建網(wǎng)絡(luò)設(shè)施和系統(tǒng),應(yīng)當(dāng)在規(guī)劃設(shè)計(jì)階段確定網(wǎng)絡(luò)安全防護(hù)等級(jí)。各省(區(qū)、市)通信管理局會(huì)同工業(yè)和信息化主管部門(mén)做好定級(jí)備案審核工作。
四、加強(qiáng)車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)安全防護(hù)
(十)加強(qiáng)平臺(tái)網(wǎng)絡(luò)安全管理。車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)要采取必要的安全技術(shù)措施,加強(qiáng)智能網(wǎng)聯(lián)汽車(chē)、路側(cè)設(shè)備等平臺(tái)接入安全,主機(jī)、數(shù)據(jù)存儲(chǔ)系統(tǒng)等平臺(tái)設(shè)施安全,以及資源管理、服務(wù)訪問(wèn)接口等平臺(tái)應(yīng)用安全防護(hù)能力,防范網(wǎng)絡(luò)侵入、數(shù)據(jù)竊取、遠(yuǎn)程控制等安全風(fēng)險(xiǎn)。涉及在線(xiàn)數(shù)據(jù)處理與交易處理、信息服務(wù)業(yè)務(wù)等電信業(yè)務(wù)的,應(yīng)依法取得電信業(yè)務(wù)經(jīng)營(yíng)許可。認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的,要落實(shí)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》有關(guān)規(guī)定,并按照國(guó)家有關(guān)標(biāo)準(zhǔn)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。
(十一)加強(qiáng)在線(xiàn)升級(jí)服務(wù)(OTA)安全和漏洞檢測(cè)評(píng)估。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)要建立在線(xiàn)升級(jí)服務(wù)軟件包安全驗(yàn)證機(jī)制,采用安全可信的軟件。開(kāi)展在線(xiàn)升級(jí)軟件包網(wǎng)絡(luò)安全檢測(cè),及時(shí)發(fā)現(xiàn)產(chǎn)品安全漏洞。加強(qiáng)在線(xiàn)升級(jí)服務(wù)安全校驗(yàn)?zāi)芰,采取身份認(rèn)證、加密傳輸?shù)燃夹g(shù)措施,保障傳輸環(huán)境和執(zhí)行環(huán)境的網(wǎng)絡(luò)安全。加強(qiáng)在線(xiàn)升級(jí)服務(wù)全過(guò)程的網(wǎng)絡(luò)安全監(jiān)測(cè)和應(yīng)急響應(yīng),定期評(píng)估網(wǎng)絡(luò)安全狀況,防范軟件被偽造、篡改、損毀、泄露和病毒感染等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
(十二)強(qiáng)化應(yīng)用程序安全管理。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)、車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)要建立車(chē)聯(lián)網(wǎng)應(yīng)用程序開(kāi)發(fā)、上線(xiàn)、使用、升級(jí)等安全管理制度,提升應(yīng)用程序身份鑒別、通信安全、數(shù)據(jù)保護(hù)等安全能力。加強(qiáng)車(chē)聯(lián)網(wǎng)應(yīng)用程序安全檢測(cè),及時(shí)處置安全風(fēng)險(xiǎn),防范惡意應(yīng)用程序攻擊和傳播。
五、加強(qiáng)數(shù)據(jù)安全保護(hù)
(十三)加強(qiáng)數(shù)據(jù)分類(lèi)分級(jí)管理。按照“誰(shuí)主管、誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則,智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)、車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)要建立數(shù)據(jù)管理臺(tái)賬,實(shí)施數(shù)據(jù)分類(lèi)分級(jí)管理,加強(qiáng)個(gè)人信息與重要數(shù)據(jù)保護(hù)。定期開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,強(qiáng)化隱患排查整改,并向所在省(區(qū)、市)通信管理局、工業(yè)和信息化主管部門(mén)報(bào)備。所在省(區(qū)、市)通信管理局、工業(yè)和信息化主管部門(mén)要對(duì)企業(yè)履行數(shù)據(jù)安全保護(hù)義務(wù)進(jìn)行監(jiān)督檢查。
(十四)提升數(shù)據(jù)安全技術(shù)保障能力。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)、車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)要采取合法、正當(dāng)方式收集數(shù)據(jù),針對(duì)數(shù)據(jù)全生命周期采取有效技術(shù)保護(hù)措施,防范數(shù)據(jù)泄露、毀損、丟失、篡改、誤用、濫用等風(fēng)險(xiǎn)。各相關(guān)企業(yè)要強(qiáng)化數(shù)據(jù)安全監(jiān)測(cè)預(yù)警和應(yīng)急處置能力建設(shè),提升異常流動(dòng)分析、違規(guī)跨境傳輸監(jiān)測(cè)、安全事件追蹤溯源等水平;及時(shí)處置數(shù)據(jù)安全事件,向所在省(區(qū)、市)通信管理局、工業(yè)和信息化主管部門(mén)報(bào)告較大及以上數(shù)據(jù)安全事件,并配合開(kāi)展相關(guān)監(jiān)督檢查,提供必要技術(shù)支持。
(十五)規(guī)范數(shù)據(jù)開(kāi)發(fā)利用和共享使用。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)、車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)要合理開(kāi)發(fā)利用數(shù)據(jù)資源,防范在使用自動(dòng)化決策技術(shù)處理數(shù)據(jù)時(shí),侵犯用戶(hù)隱私權(quán)和知情權(quán)。明確數(shù)據(jù)共享和開(kāi)發(fā)利用的安全管理和責(zé)任要求,對(duì)數(shù)據(jù)合作方數(shù)據(jù)安全保護(hù)能力進(jìn)行審核評(píng)估,對(duì)數(shù)據(jù)共享使用情況進(jìn)行監(jiān)督管理。
(十六)強(qiáng)化數(shù)據(jù)出境安全管理。智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)、車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)企業(yè)需向境外提供在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)的,應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估并向所在省(區(qū)、市)通信管理局、工業(yè)和信息化主管部門(mén)報(bào)備。各省(區(qū)、市)通信管理局會(huì)同工業(yè)和信息化主管部門(mén)做好數(shù)據(jù)出境備案、安全評(píng)估等工作。
六、健全安全標(biāo)準(zhǔn)體系
(十七)加快車(chē)聯(lián)網(wǎng)安全標(biāo)準(zhǔn)建設(shè)。加快編制車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南。全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)、全國(guó)汽車(chē)標(biāo)準(zhǔn)化技術(shù)委員會(huì)等要加快組織制定車(chē)聯(lián)網(wǎng)防護(hù)定級(jí)、服務(wù)平臺(tái)防護(hù)、汽車(chē)漏洞分類(lèi)分級(jí)、通信交互認(rèn)證、數(shù)據(jù)分類(lèi)分級(jí)、事件應(yīng)急響應(yīng)等標(biāo)準(zhǔn)規(guī)范及相關(guān)檢測(cè)評(píng)估、認(rèn)證標(biāo)準(zhǔn)。鼓勵(lì)各相關(guān)企業(yè)、社會(huì)團(tuán)體制定高于國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)相關(guān)技術(shù)要求的企業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)。
特此通知。
工業(yè)和信息化部
2021年9月15日