工業(yè)和信息化部關(guān)于加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知
工信部網(wǎng)安〔2021〕134號
各省,、自治區(qū),、直轄市及新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門,各省、自治區(qū),、直轄市通信管理局,,中國電信集團有限公司,、中國移動通信集團有限公司,、中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司,有關(guān)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè),、車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè),,有關(guān)標(biāo)準(zhǔn)化技術(shù)組織:
車聯(lián)網(wǎng)是新一代網(wǎng)絡(luò)通信技術(shù)與汽車、電子,、道路交通運輸?shù)阮I(lǐng)域深度融合的新興產(chǎn)業(yè)形態(tài),。智能網(wǎng)聯(lián)汽車是搭載先進的車載傳感器、控制器,、執(zhí)行器等裝置,,并融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù),實現(xiàn)車與車,、路,、人、云端等智能信息交換,、共享,,具備復(fù)雜環(huán)境感知,、智能決策,、協(xié)同控制等功能,可實現(xiàn)“安全,、高效,、舒適、節(jié)能”行駛的新一代汽車,。在產(chǎn)業(yè)快速發(fā)展的同時,,車聯(lián)網(wǎng)安全風(fēng)險日益凸顯,車聯(lián)網(wǎng)安全保障體系亟須健全完善,。為推進實施《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃(2021-2035年)》,,加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理工作,現(xiàn)將有關(guān)事項通知如下:
一,、網(wǎng)絡(luò)安全和數(shù)據(jù)安全基本要求
?。ㄒ唬┞鋵嵃踩黧w責(zé)任。各相關(guān)企業(yè)要建立網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理制度,,明確負(fù)責(zé)人和管理機構(gòu),,落實網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護責(zé)任。強化企業(yè)內(nèi)部監(jiān)督管理,加大資源保障力度,,及時發(fā)現(xiàn)并解決安全隱患,。加強網(wǎng)絡(luò)安全和數(shù)據(jù)安全宣傳、教育和培訓(xùn),。
?。ǘ┤婕訌姲踩Wo。各相關(guān)企業(yè)要采取管理和技術(shù)措施,,按照車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)要求,,加強汽車、網(wǎng)絡(luò),、平臺,、數(shù)據(jù)等安全保護,監(jiān)測,、防范,、及時處置網(wǎng)絡(luò)安全風(fēng)險和威脅,確保數(shù)據(jù)處于有效保護和合法利用狀態(tài),,保障車聯(lián)網(wǎng)安全穩(wěn)定運行,。
二、加強智能網(wǎng)聯(lián)汽車安全防護
?。ㄈ┍U宪囕v網(wǎng)絡(luò)安全,。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)要加強整車網(wǎng)絡(luò)安全架構(gòu)設(shè)計。加強車內(nèi)系統(tǒng)通信安全保障,,強化安全認(rèn)證,、分域隔離、訪問控制等措施,,防范偽裝,、重放、注入,、拒絕服務(wù)等攻擊,。加強車載信息交互系統(tǒng)、汽車網(wǎng)關(guān),、電子控制單元等關(guān)鍵設(shè)備和部件安全防護和安全檢測,。加強診斷接口(OBD)、通用串行總線(USB)端口,、充電端口等的訪問和權(quán)限管理,。
(四)落實安全漏洞管理責(zé)任,。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)要落實《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求,,明確本企業(yè)漏洞發(fā)現(xiàn),、驗證、分析,、修補,、報告等工作程序。發(fā)現(xiàn)或獲知汽車產(chǎn)品存在漏洞后,,應(yīng)立即采取補救措施,,并向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送漏洞信息。對需要用戶采取軟件,、固件升級等措施修補漏洞的,,應(yīng)當(dāng)及時將漏洞風(fēng)險及修補方式告知可能受影響的用戶,并提供必要技術(shù)支持,。
三,、加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護
(五)加強車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和網(wǎng)絡(luò)系統(tǒng)安全防護能力,。各相關(guān)企業(yè)要嚴(yán)格落實網(wǎng)絡(luò)安全分級防護要求,,加強網(wǎng)絡(luò)設(shè)施和網(wǎng)絡(luò)系統(tǒng)資產(chǎn)管理,合理劃分網(wǎng)絡(luò)安全域,,加強訪問控制管理,,做好網(wǎng)絡(luò)邊界安全防護,采取防范木馬病毒和網(wǎng)絡(luò)攻擊,、網(wǎng)絡(luò)侵入等危害車聯(lián)網(wǎng)安全行為的技術(shù)措施,。自行或者委托檢測機構(gòu)定期開展網(wǎng)絡(luò)安全符合性評測和風(fēng)險評估,及時消除風(fēng)險隱患,。
?。┍U宪嚶?lián)網(wǎng)通信安全。各相關(guān)企業(yè)要建立車聯(lián)網(wǎng)身份認(rèn)證和安全信任機制,,強化車載通信設(shè)備,、路側(cè)通信設(shè)備,、服務(wù)平臺等安全通信能力,,采取身份認(rèn)證、加密傳輸?shù)缺匾募夹g(shù)措施,,防范通信信息偽造,、數(shù)據(jù)篡改、重放攻擊等安全風(fēng)險,,保障車與車,、車與路、車與云,、車與設(shè)備等場景通信安全,。鼓勵相關(guān)企業(yè),、機構(gòu)接入工業(yè)和信息化部車聯(lián)網(wǎng)安全信任根管理平臺,協(xié)同推動跨車型,、跨設(shè)施,、跨企業(yè)互聯(lián)互認(rèn)互通。
?。ㄆ撸╅_展車聯(lián)網(wǎng)安全監(jiān)測預(yù)警,。國家加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測平臺建設(shè),開展網(wǎng)絡(luò)安全威脅,、事件的監(jiān)測預(yù)警通報和安全保障服務(wù),。各相關(guān)企業(yè)要建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制和技術(shù)手段,對智能網(wǎng)聯(lián)汽車,、車聯(lián)網(wǎng)服務(wù)平臺及聯(lián)網(wǎng)系統(tǒng)開展網(wǎng)絡(luò)安全相關(guān)監(jiān)測,,及時發(fā)現(xiàn)網(wǎng)絡(luò)安全事件或異常行為,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個月,。
?。ò耍┳龊密嚶?lián)網(wǎng)安全應(yīng)急處置。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè),、車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè)要建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機制,,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,定期開展應(yīng)急演練,,及時處置安全威脅,、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全風(fēng)險,。在發(fā)生危害網(wǎng)絡(luò)安全的事件時,,立即啟動應(yīng)急預(yù)案,采取相應(yīng)的補救措施,,并按照《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》等規(guī)定向有關(guān)主管部門報告,。
(九)做好車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護定級備案,。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè),、車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè)要按照車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護相關(guān)標(biāo)準(zhǔn),對所屬網(wǎng)絡(luò)設(shè)施和系統(tǒng)開展網(wǎng)絡(luò)安全防護定級工作,,并向所在?。▍^(qū)、市)通信管理局備案,。對新建網(wǎng)絡(luò)設(shè)施和系統(tǒng),,應(yīng)當(dāng)在規(guī)劃設(shè)計階段確定網(wǎng)絡(luò)安全防護等級。各?。▍^(qū),、市)通信管理局會同工業(yè)和信息化主管部門做好定級備案審核工作,。
四、加強車聯(lián)網(wǎng)服務(wù)平臺安全防護
?。ㄊ┘訌娖脚_網(wǎng)絡(luò)安全管理,。車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè)要采取必要的安全技術(shù)措施,加強智能網(wǎng)聯(lián)汽車,、路側(cè)設(shè)備等平臺接入安全,,主機、數(shù)據(jù)存儲系統(tǒng)等平臺設(shè)施安全,,以及資源管理,、服務(wù)訪問接口等平臺應(yīng)用安全防護能力,防范網(wǎng)絡(luò)侵入,、數(shù)據(jù)竊取,、遠(yuǎn)程控制等安全風(fēng)險。涉及在線數(shù)據(jù)處理與交易處理,、信息服務(wù)業(yè)務(wù)等電信業(yè)務(wù)的,,應(yīng)依法取得電信業(yè)務(wù)經(jīng)營許可。認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的,,要落實《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》有關(guān)規(guī)定,,并按照國家有關(guān)標(biāo)準(zhǔn)使用商用密碼進行保護,自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估,。
?。ㄊ唬┘訌娫诰€升級服務(wù)(OTA)安全和漏洞檢測評估。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)要建立在線升級服務(wù)軟件包安全驗證機制,,采用安全可信的軟件,。開展在線升級軟件包網(wǎng)絡(luò)安全檢測,及時發(fā)現(xiàn)產(chǎn)品安全漏洞,。加強在線升級服務(wù)安全校驗?zāi)芰?,采取身份認(rèn)證、加密傳輸?shù)燃夹g(shù)措施,,保障傳輸環(huán)境和執(zhí)行環(huán)境的網(wǎng)絡(luò)安全,。加強在線升級服務(wù)全過程的網(wǎng)絡(luò)安全監(jiān)測和應(yīng)急響應(yīng),定期評估網(wǎng)絡(luò)安全狀況,,防范軟件被偽造,、篡改,、損毀,、泄露和病毒感染等網(wǎng)絡(luò)安全風(fēng)險。
?。ㄊ娀瘧?yīng)用程序安全管理,。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè),、車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè)要建立車聯(lián)網(wǎng)應(yīng)用程序開發(fā)、上線,、使用,、升級等安全管理制度,提升應(yīng)用程序身份鑒別,、通信安全,、數(shù)據(jù)保護等安全能力。加強車聯(lián)網(wǎng)應(yīng)用程序安全檢測,,及時處置安全風(fēng)險,,防范惡意應(yīng)用程序攻擊和傳播。
五,、加強數(shù)據(jù)安全保護
?。ㄊ┘訌姅?shù)據(jù)分類分級管理。按照“誰主管,、誰負(fù)責(zé),,誰運營、誰負(fù)責(zé)”的原則,,智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè),、車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè)要建立數(shù)據(jù)管理臺賬,實施數(shù)據(jù)分類分級管理,,加強個人信息與重要數(shù)據(jù)保護,。定期開展數(shù)據(jù)安全風(fēng)險評估,強化隱患排查整改,,并向所在?。▍^(qū)、市)通信管理局,、工業(yè)和信息化主管部門報備,。所在省(區(qū),、市)通信管理局,、工業(yè)和信息化主管部門要對企業(yè)履行數(shù)據(jù)安全保護義務(wù)進行監(jiān)督檢查。
?。ㄊ模┨嵘龜?shù)據(jù)安全技術(shù)保障能力,。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)、車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè)要采取合法,、正當(dāng)方式收集數(shù)據(jù),,針對數(shù)據(jù)全生命周期采取有效技術(shù)保護措施,防范數(shù)據(jù)泄露,、毀損,、丟失,、篡改、誤用,、濫用等風(fēng)險,。各相關(guān)企業(yè)要強化數(shù)據(jù)安全監(jiān)測預(yù)警和應(yīng)急處置能力建設(shè),提升異常流動分析,、違規(guī)跨境傳輸監(jiān)測,、安全事件追蹤溯源等水平;及時處置數(shù)據(jù)安全事件,,向所在?。▍^(qū)、市)通信管理局,、工業(yè)和信息化主管部門報告較大及以上數(shù)據(jù)安全事件,,并配合開展相關(guān)監(jiān)督檢查,提供必要技術(shù)支持,。
?。ㄊ澹┮?guī)范數(shù)據(jù)開發(fā)利用和共享使用。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè),、車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè)要合理開發(fā)利用數(shù)據(jù)資源,,防范在使用自動化決策技術(shù)處理數(shù)據(jù)時,侵犯用戶隱私權(quán)和知情權(quán),。明確數(shù)據(jù)共享和開發(fā)利用的安全管理和責(zé)任要求,,對數(shù)據(jù)合作方數(shù)據(jù)安全保護能力進行審核評估,對數(shù)據(jù)共享使用情況進行監(jiān)督管理,。
?。ㄊ娀瘮?shù)據(jù)出境安全管理。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè),、車聯(lián)網(wǎng)服務(wù)平臺運營企業(yè)需向境外提供在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)的,,應(yīng)當(dāng)依法依規(guī)進行數(shù)據(jù)出境安全評估并向所在省(區(qū),、市)通信管理局,、工業(yè)和信息化主管部門報備。各?。▍^(qū),、市)通信管理局會同工業(yè)和信息化主管部門做好數(shù)據(jù)出境備案、安全評估等工作,。
六,、健全安全標(biāo)準(zhǔn)體系
(十七)加快車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)建設(shè)。加快編制車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南,。全國通信標(biāo)準(zhǔn)化技術(shù)委員會,、全國汽車標(biāo)準(zhǔn)化技術(shù)委員會等要加快組織制定車聯(lián)網(wǎng)防護定級,、服務(wù)平臺防護,、汽車漏洞分類分級、通信交互認(rèn)證,、數(shù)據(jù)分類分級,、事件應(yīng)急響應(yīng)等標(biāo)準(zhǔn)規(guī)范及相關(guān)檢測評估、認(rèn)證標(biāo)準(zhǔn),。鼓勵各相關(guān)企業(yè),、社會團體制定高于國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)相關(guān)技術(shù)要求的企業(yè)標(biāo)準(zhǔn)、團體標(biāo)準(zhǔn),。
特此通知,。