车联网网络安全和数据安全标准体系建设指南.docx

车联网网络安全和数据安全标准体系建设指南2022年2月前言1一、总体要求2（一）指导思想2（二）基本原则2（三）建设目标3二、主要内容3（一）标准体系框架图3（二）重点领域及方向51.总体与基础共性标准52 .终端与设施网络安全标准53 .网联通信安全标准64 .数据安全标准65 .应用服务安全标准76 .安全保障与支撑标准8三、组织实施8附件10车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态，呈现蓬勃发展的良好态势。随着汽车电动化、网联化、智能化交融发展，车辆运行安全、数据安全和网络安全风险交织叠加，安全形势更加复杂严峻，亟需加快建立健全军联网网络安全和数据安全保障体系，为车联网产业安全健康发展提供支撑。为贯彻落实中华人民共和国网络安全法中华人民共和国数据安全法关键信息基础设施安全保护条例，根据新能源汽车产业发展规划(2021-2035年)车联网(智能网联汽车)产业发展行动计划汽车数据安全管理若规定关于加强车联网网络安全和数据安全工作的通知要求，工业和信息化部在现有国家车联网产业标准体系的基础上，组织编制了车联网网络安全和数据安全标准体系建设指南，用于指导相关标准研制。一、总体要求（一）指导思想以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大和卜九届历次全会精神，认真贯彻落实党中央、国务院决策部署，统筹发展和安全，面向车联网产业安全需求，加强车联网网络安全和数据安全标准工作顶层设计，注重与车联网相关标准体系之间的衔接，增加标准有效供给，强化标准应用实施，加快构建系统、科学、规范的车联网网络安全和数据安全标准体系，充分发挥标准对车联网产业安全健康发展的指导和规范作用。（二）基本原则需求导向、共同推进。紧密对接车联网产业对网络安全、数据安全的迫切需求，鼓励整车及关键设备、车联网服务平台、信息通信、网络安全等产业链各环节、产学研用各方加强协作，共同推进跨行业、跨领域标准的研制与实施，不断提升标准的质量效益。聚焦重点、急用先行。聚焦车联网终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点领域，着力增加基础通用、共性技术、试验方法、典型应用等产业急需标准的有效供给，覆盖车联网网络安全、数据安全的关键领域和关键环节。开放融合、深化合作。结合我国车联网产业发展现状，鼓励国内企事业单位积极参与车联网网络安全、数据安全国际标准化活动，加强与全球车联网产业界的交流与合作，共同推进相关国际标准研制，积极贡献中国的技术方案和实践经验。（三）建设目标到2023年底，初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准，完成50项以上急需标准的研制。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。二、主要内容（一）标准体系框架图包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分,见图1。100总体与基础共性101术语和定义102总体架构103密码应用201车载设备网络安全202车端网络安全200终端与设施网络安全一203路例通信设备网络安全车联网网络安全和数据安全标准体系300网联通信安全204网络设施与系统安全r301通信安全401通用要求402分类分级400数据安全403出境安全404个人信息保护405应用数据安全302身份认证501平台安全500应用服务安全502应用程序安全503服务安全F601风险评估600安全保障与支措602安全监测与应急管理603安全能力评估图1年联网网络安全和数据安全标准体系框架图（二）重点领域及方向1 .总体与基础共性标准总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准，包括术语和定义、总体架构、密码应用等3类标准.术语和定义标准主要规范车联网网络安全和数据安全主要概念，为相关标准中的术语和定义提供依据支撑。总体架构标准主要规范年联网网络安全总体架构要求，明确和界定防护对象、防护方法、防护机制，指导企业体系化开展网络安全防护工作。密码应用标准主要规范车联网密码应用通用要求，明确数字证书格式、数字证书应用、设备密码应用等要求。2 .终端与设施网络安全标准终端与设施网络安全标准主要规范车联网终端和基础设施等相关网络安全要求，包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求，包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。3 .网联通信安全标准网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求，包括通信安全、身份认证等2类标准。通信安全标准主要规范蜂窝车联网（C-V2X）,以及应用于车联网的蜂寓移动通信（4G/5G）、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗（B1.E）紫蜂（Zigbec）.超宽带（UWB）等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。4 .数据安全标准数据安全标准主要规范智能网联汽军、车联网平台、乍载应用服务等数据安全和个人信息保护要求，包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等，包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求，制定数据分类分级的维度、方法、示例等标准，明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求，包括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求，明确用户敏感数据和个人信息保护的场景、规则、技术方法，包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动，包括车联网平台、网约车、车载应用程序等数据安全标准。5 .应用服务安全标准应用服务安全标准主要规范车联网服务平台和应用程序的安全要求，以及典型业务应用服务场景下的安全要求，包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级(OTA)服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求，包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。6安全保障与支撑标准安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求，包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求，明确安全风险评估流程和方法，提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求，以及安全管理接口、车联网卡实名登记、车联网业务递交网关（H1.）接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署及安全服务实施，提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。三、组织实施（一）加快标准研制。在国家制造强国建设领导小组车联网产业发展专项委员会指导下，注重与智能网联汽车、信息通信、电子产品和服务等相关标准体系的协调和衔接，以车联网网络安全和数据安全标准体系为指导，组织产学研用各方协同推进标准研制工作。（二）实施动态更新。按照网络安全相关法律法规要求,结合车联网技术创新和产业发展趋势，持续完善车联网网络安全和数据安全标准体系，为推进车联网产业发展和行业管理提供有力保障。（三）加强宣贯实施。充分发挥地方主管部门、标准化组织、行业协会和专业机构的作用，组织开展标准的宜标贯标和技术研讨活动，通过培训、咨询、论坛等方式推进标准的宣贯实施。组织开展贯标试点优秀企业和案例的遴选，形成最佳实践，促进标准应用推广。（四）深化国际合作。加强与国际标准化组织的交流与合作，枳极参与国际电信联盟（ITU）、国际标准化组织（ISO）.国际电工技术委员会（IEC）、联合国世界车辆法规协调论坛（UN/WP29）等国际标准化活动，携手全球产业链上下游企业共同推进国际标准研制。附件：车联网网络安全和数据安全相关标准项目明细表附件车联网网络安全和数据安全相关标准项目明细表序号标准名称标准号，计划号状态1.oo总体与基砒共性101术语和定义1车联网网络安全通用术语和定义待制定102总体架构2车联网网络安全总体架构待制定m33车联网密码应用通用要求待制定4智能网联汽车商用密码应用技术要求待制定5乍联网通信设备密码应用技术要求待制定6车云通信密码应用基本要求待制定200终端与设施网络安全201车或设备网络安全7汽车网关信息安全技术要求及限验方法GB.T40K57-202I：.发，8车载信息交互系统信息安全技术要求及试验方GB/T40856-2021已发布9汽车电子控制单元网络安全防护技术要求待制定10乍用安全芯片网络安全技术要求待制定11车载计算平台网络安全技术要求待制定12车载可播卸物联网设备安全防护及检测要求待制定202车险网络安全13汽车电子系统网络安全指南GBT38628-202()已发布14汽车信息安全通川技术要求GB.T40861-2021已发布15电动汽车充电系统信息安全技术要求及试验方法20192313-T-339制定中16汽车软件升级通用技术要求2O2I4423-Q-339制定中17汽车整车信息安全技术要求20214422-Q-339制定中18汽车诊断接口网络安全技术要求20211169-T-339制定中19汽车网络安全域及防护层级化定义符制定20车载总线系统网络安全技术要求待制定21车载以太网网络安全技术要求待制定22车载操作系统及应用软件安全防护要求待制定23汽车电子外部接口网络安全技术耍求待制定203初通信设备网络安全IO车联网网络关键设备安全技术及检测要求路侧无线通信设备25车联网网络关键设着安全技术及检测要求路健检测与信息服务设备待制定2W网络设施与系统安全26车联网网络设施与系统安全防护要求待制定27车联网网络设施与系统安全检测要求待制定300网联通信安全301通信安全31基于NR-V2X的车联网无线通信安全技术要求待制定32乍联网网络安全接入技术要求待制定3334面向车联网的H星通信安全技术要求待制定车联网汽车短程通信接口规范待制定35302身份认证交通运输数字证书格式GB.T37376-2019已发布36基F1.TE的车联网无线通信技术安全认证技术要求2019-(X)2IT-YD制定中37基ITE的车联网无线通信技术安全证书管理系统技术要求2020-CCSA-36制定中38基于1.TE的车联网无线通信技术安全认证测试方法20I9-0022T-YD制定中39汽车数字证书应用规范待制定40车联网眼务V2X安全证H应用接口规范待制定41车联网V2X密钥管理系统技术规范待制定42电子驾驶位安全技术要求待制定43车联网数字证书应用接口规范待制定44Si-PKI的华联网应用服务安全认证体系框架待制定45车联网关键部件轻量级安全认证通用技术要求待制定已发布已发布已发布车联网无线通I；安全技术指南基于公众电信网的联网汽车信息安全技术要求基于1.TE的车联网通信安全技术要求YDT3750-2020YDZT3737-2020YD/T3594-2019400数据安全401班用要求229346智能网联汽车数据通用要求47智能网联汽车数据安全共享模型与规范48智能网联汽4：床据安全些不号架构49智能网联汽车数据安全要求一50智能网联汽乍数据保护密码Z用技术要求202I3606-T-339制定中待制定待制定待制定待制定待制定51军联网数据安全保护能力参考也架402分类分版52车联网信息服务数据安全技术要求YD.T375I-2O2O己发布53车联网服务平台重要数据记录系统技术规范待制定403数据出境安全54车联网数据跨境流动安全管理耍求待制定55车联网数据跨境流动安全评估规范待制定404个人信息保护56车联网信息股务用户个人信息保护要求YD/T3746-2020已发布57基于移动厅.联网的汽车用户数据应用与保护技术要求20I8-0I82T-YD制定中58施于移动互联网的汽车用户数据应用与保护评估方法20I8-0183T-YD制定中59车联网用户个人信息合规检测要求待制定405魅60信息安全技术网络预约汽车服务数据安全指由20205I64-T-469制定中61网络预约出租汽车服务平台数据安全防护要求2017-0938T-YD制定中62乍联网信息服务数据安全保护能力评估规范2020-13ITT-YD制定中63车联网应用服务数据脱政实施方法待制定500应用服务安全501平台安全64车联网信息服务平台安全防护技术要求YD/T3752-2020已发布65电动汽车远程服务与管理系统信息安全技术要求及试验方法GB/T40855-2021已发布66车联网信息服务平台安全防护检测要求2021-0I92T-YD制定中67乍联网网络安全防护定级备案实施指南待制定68车联网服务平台安全防护技术要求及检测要求符制定69车联网服务平台通信安全保障技术要求待制定70乍联网服务平台安全接入技术要求待制定71车联网服务平台密码应用基本要求待制定72车联网在线升级OTA）平台安全技术要求及检测方法待制定73乍联网远程监控平台网络安全技术要求待制定502应用程序安全74车联网APP安全技术及测试要求待制定503服务安全75车联网服务平台与车载终端交瓦安全技术要求待制定76车联网汽车远程诊断服务网络安全技术耍求待制定77乍陕网高级辅助亚驶系统与远程平台交互网络安全技术要求待制定78车联网车路协同服务网络安全技术规范待制定600安全保障与支撑601风险评估79车联网网络安全风降评估规范待制定»-，一-.I11，”，I80乍联网网络安全风险分类指南待制定81车联网密码应用安全评估要求待制定602安全监测与应急管理82汽乍网络安全应急响应管理指南2O2I3611-T-339制定中83车联网安全管理接口规范待制定84车联网安全管理平台通用技术要求待制定85车联网遹码座用安全监测平台通用莪术要求待制定86联网汽车网络安全异常行为检测机制待制定87车联网网络安全态势感知技术要求待制定88乍联网网络安全信息共享要求待制定89车联网网络安全应急管理要求待制定90车联网系统漏洞分类分级指南待制定>-三MMWM三.91乍联网卡实名登记及人像比对技术要求待制定92车联网/实名登记及人像比对测试规范待制定93车联网业务H1.接口总体技术要求待制定94乍联网业务H1.接口技术实施要求待制定95车联网业务HI接口测试方法待制定96车联网网络安全能力成熟度模型待制定97乍联神网络安全能力成熟度评价准则待制定98车联网网络安全能力成熟度评估实施方法符制定99车联网网络安全服务机构能力认定准则待制定1乍联网供应链安全风险管理指南待制定101道路车辆网络安全工程待制定102道路车辆网络安全工程审核指南待制定103乍联网网络安全设计文档分类与定义待制定