關于加強車聯網網絡安全和數據安全工作的通知
工信部網安〔2021〕134號
各省�����、自治區(qū)、直轄市及新疆生產建設兵團工業(yè)和信息化主管部門��,各省�、自治區(qū)、直轄市通信管理局��,中國電信集團有限公司�、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司�����,有關智能網聯汽車生產企業(yè)���、車聯網服務平臺運營企業(yè)�����,有關標準化技術組織:
車聯網是新一代網絡通信技術與汽車���、電子、道路交通運輸等領域深度融合的新興產業(yè)形態(tài)����。智能網聯汽車是搭載先進的車載傳感器����、控制器���、執(zhí)行器等裝置,并融合現代通信與網絡技術�����,實現車與車�、路、人�、云端等智能信息交換、共享�,具備復雜環(huán)境感知、智能決策��、協同控制等功能�����,可實現“安全�、高效����、舒適����、節(jié)能”行駛的新一代汽車。在產業(yè)快速發(fā)展的同時����,車聯網安全風險日益凸顯,車聯網安全保障體系亟須健全完善���。為推進實施《新能源汽車產業(yè)發(fā)展規(guī)劃(2021-2035年)》���,加強車聯網網絡安全和數據安全管理工作,現將有關事項通知如下: (一)落實安全主體責任�����。各相關企業(yè)要建立網絡安全和數據安全管理制度�,明確負責人和管理機構,落實網絡安全和數據安全保護責任���。強化企業(yè)內部監(jiān)督管理��,加大資源保障力度�,及時發(fā)現并解決安全隱患。加強網絡安全和數據安全宣傳����、教育和培訓。 (二)全面加強安全保護��。各相關企業(yè)要采取管理和技術措施�,按照車聯網網絡安全和數據安全相關標準要求�,加強汽車、網絡����、平臺、數據等安全保護�,監(jiān)測、防范���、及時處置網絡安全風險和威脅��,確保數據處于有效保護和合法利用狀態(tài)�����,保障車聯網安全穩(wěn)定運行��。 (三)保障車輛網絡安全���。智能網聯汽車生產企業(yè)要加強整車網絡安全架構設計��。加強車內系統通信安全保障�,強化安全認證�、分域隔離、訪問控制等措施��,防范偽裝�����、重放���、注入���、拒絕服務等攻擊。加強車載信息交互系統���、汽車網關���、電子控制單元等關鍵設備和部件安全防護和安全檢測���。加強診斷接口(OBD)、通用串行總線(USB)端口���、充電端口等的訪問和權限管理�����。 (四)落實安全漏洞管理責任���。智能網聯汽車生產企業(yè)要落實《網絡產品安全漏洞管理規(guī)定》有關要求�,明確本企業(yè)漏洞發(fā)現、驗證����、分析、修補����、報告等工作程序。發(fā)現或獲知汽車產品存在漏洞后�����,應立即采取補救措施,并向工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺報送漏洞信息���。對需要用戶采取軟件��、固件升級等措施修補漏洞的��,應當及時將漏洞風險及修補方式告知可能受影響的用戶����,并提供必要技術支持�����。 (五)加強車聯網網絡設施和網絡系統安全防護能力���。各相關企業(yè)要嚴格落實網絡安全分級防護要求��,加強網絡設施和網絡系統資產管理�����,合理劃分網絡安全域����,加強訪問控制管理,做好網絡邊界安全防護��,采取防范木馬病毒和網絡攻擊�、網絡侵入等危害車聯網安全行為的技術措施。自行或者委托檢測機構定期開展網絡安全符合性評測和風險評估�,及時消除風險隱患。 ?�。┍U宪嚶摼W通信安全�����。各相關企業(yè)要建立車聯網身份認證和安全信任機制��,強化車載通信設備����、路側通信設備����、服務平臺等安全通信能力,采取身份認證、加密傳輸等必要的技術措施����,防范通信信息偽造、數據篡改����、重放攻擊等安全風險,保障車與車���、車與路�����、車與云�����、車與設備等場景通信安全�����。鼓勵相關企業(yè)����、機構接入工業(yè)和信息化部車聯網安全信任根管理平臺,協同推動跨車型��、跨設施����、跨企業(yè)互聯互認互通。 (七)開展車聯網安全監(jiān)測預警�。國家加強車聯網網絡安全監(jiān)測平臺建設,開展網絡安全威脅��、事件的監(jiān)測預警通報和安全保障服務�����。各相關企業(yè)要建立網絡安全監(jiān)測預警機制和技術手段�,對智能網聯汽車、車聯網服務平臺及聯網系統開展網絡安全相關監(jiān)測��,及時發(fā)現網絡安全事件或異常行為�����,并按照規(guī)定留存相關的網絡日志不少于6個月�����。 (八)做好車聯網安全應急處置����。智能網聯汽車生產企業(yè)、車聯網服務平臺運營企業(yè)要建立網絡安全應急響應機制�,制定網絡安全事件應急預案,定期開展應急演練�,及時處置安全威脅、網絡攻擊��、網絡侵入等網絡安全風險�����。在發(fā)生危害網絡安全的事件時�,立即啟動應急預案,采取相應的補救措施��,并按照《公共互聯網網絡安全突發(fā)事件應急預案》等規(guī)定向有關主管部門報告�����。 (九)做好車聯網網絡安全防護定級備案�����。智能網聯汽車生產企業(yè)、車聯網服務平臺運營企業(yè)要按照車聯網網絡安全防護相關標準���,對所屬網絡設施和系統開展網絡安全防護定級工作��,并向所在?���。▍^(qū)����、市)通信管理局備案。對新建網絡設施和系統��,應當在規(guī)劃設計階段確定網絡安全防護等級����。各省(區(qū)�、市)通信管理局會同工業(yè)和信息化主管部門做好定級備案審核工作。 (十)加強平臺網絡安全管理���。車聯網服務平臺運營企業(yè)要采取必要的安全技術措施�����,加強智能網聯汽車�����、路側設備等平臺接入安全�,主機��、數據存儲系統等平臺設施安全�,以及資源管理、服務訪問接口等平臺應用安全防護能力����,防范網絡侵入、數據竊取�、遠程控制等安全風險。涉及在線數據處理與交易處理��、信息服務業(yè)務等電信業(yè)務的���,應依法取得電信業(yè)務經營許可��。認定為關鍵信息基礎設施的���,要落實《關鍵信息基礎設施安全保護條例》有關規(guī)定�,并按照國家有關標準使用商用密碼進行保護��,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估�。 (十一)加強在線升級服務(OTA)安全和漏洞檢測評估。智能網聯汽車生產企業(yè)要建立在線升級服務軟件包安全驗證機制�,采用安全可信的軟件。開展在線升級軟件包網絡安全檢測�,及時發(fā)現產品安全漏洞。加強在線升級服務安全校驗能力���,采取身份認證����、加密傳輸等技術措施��,保障傳輸環(huán)境和執(zhí)行環(huán)境的網絡安全���。加強在線升級服務全過程的網絡安全監(jiān)測和應急響應����,定期評估網絡安全狀況���,防范軟件被偽造�、篡改、損毀���、泄露和病毒感染等網絡安全風險���。 ?����。ㄊ娀瘧贸绦虬踩芾?��。智能網聯汽車生產企業(yè)����、車聯網服務平臺運營企業(yè)要建立車聯網應用程序開發(fā)��、上線��、使用��、升級等安全管理制度���,提升應用程序身份鑒別���、通信安全�、數據保護等安全能力��。加強車聯網應用程序安全檢測��,及時處置安全風險����,防范惡意應用程序攻擊和傳播。 (十三)加強數據分類分級管理��。按照“誰主管���、誰負責�,誰運營����、誰負責”的原則,智能網聯汽車生產企業(yè)����、車聯網服務平臺運營企業(yè)要建立數據管理臺賬,實施數據分類分級管理,加強個人信息與重要數據保護����。定期開展數據安全風險評估,強化隱患排查整改����,并向所在省(區(qū)���、市)通信管理局、工業(yè)和信息化主管部門報備�。所在省(區(qū)��、市)通信管理局�����、工業(yè)和信息化主管部門要對企業(yè)履行數據安全保護義務進行監(jiān)督檢查��。 (十四)提升數據安全技術保障能力����。智能網聯汽車生產企業(yè)、車聯網服務平臺運營企業(yè)要采取合法、正當方式收集數據���,針對數據全生命周期采取有效技術保護措施���,防范數據泄露、毀損�、丟失、篡改���、誤用�����、濫用等風險�。各相關企業(yè)要強化數據安全監(jiān)測預警和應急處置能力建設����,提升異常流動分析、違規(guī)跨境傳輸監(jiān)測���、安全事件追蹤溯源等水平�;及時處置數據安全事件����,向所在?���。▍^(qū)���、市)通信管理局����、工業(yè)和信息化主管部門報告較大及以上數據安全事件���,并配合開展相關監(jiān)督檢查�����,提供必要技術支持。 (十五)規(guī)范數據開發(fā)利用和共享使用�����。智能網聯汽車生產企業(yè)����、車聯網服務平臺運營企業(yè)要合理開發(fā)利用數據資源���,防范在使用自動化決策技術處理數據時,侵犯用戶隱私權和知情權��。明確數據共享和開發(fā)利用的安全管理和責任要求���,對數據合作方數據安全保護能力進行審核評估�,對數據共享使用情況進行監(jiān)督管理����。 (十六)強化數據出境安全管理。智能網聯汽車生產企業(yè)����、車聯網服務平臺運營企業(yè)需向境外提供在中華人民共和國境內收集和產生的重要數據的,應當依法依規(guī)進行數據出境安全評估并向所在?��。▍^(qū)�����、市)通信管理局����、工業(yè)和信息化主管部門報備。各?。▍^(qū)、市)通信管理局會同工業(yè)和信息化主管部門做好數據出境備案��、安全評估等工作�����。 (十七)加快車聯網安全標準建設�����。加快編制車聯網網絡安全和數據安全標準體系建設指南���。全國通信標準化技術委員會���、全國汽車標準化技術委員會等要加快組織制定車聯網防護定級、服務平臺防護�����、汽車漏洞分類分級�、通信交互認證��、數據分類分級、事件應急響應等標準規(guī)范及相關檢測評估���、認證標準����。鼓勵各相關企業(yè)���、社會團體制定高于國家標準或行業(yè)標準相關技術要求的企業(yè)標準�、團體標準�����。
