工业和信息化部办公厅关于印发车联网网络安全和数据安全标准体系建设指南的通知
工信厅科〔2022〕5号
各省、自治区、直辖市及计划单列市工业和信息化主管部门、通信管理局,有关行业协会、标准化技术组织和专业机构:
现将《车联网网络安全和数据安全标准体系建设指南》印发给你们,请结合本行业(领域)、本地区实际,在标准化工作中贯彻执行。
工业和信息化部办公厅
2022年2月25日
车联网网络安全和数据安全标准体系建设指南
前 言
车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态,呈现蓬勃发展的良好态势。随着汽车电动化、网联化、智能化交融发展,车辆运行安全、数据安全和网络安全风险交织叠加,安全形势更加复杂严峻,亟需加快建立健全车联网网络安全和数据安全保障体系,为车联网产业安全健康发展提供支撑。
为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》,根据《新能源汽车产业发展规划( 2021-2035年)》《车联网(智能网联汽车)产业发展行动计划》《汽车数据安全管理若干规定》《关于加强车联网网络安全和数据安全工作的通知》要求,工业和信息化部在现有国家车联网产业标准体系的基础上,组织编制了《车联网网络安全和数据安全标准体系建设指南》,用于指导相关标准研制。
一、总体要求
(一)指导思想
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届历次全会精神,认真贯彻落实党中央、国务院决策部署,统筹发展和安全,面向车联网产业安全需求,加强车联网网络安全和数据安全标准工作顶层设计,注重与车联网相关标准体系之间的衔接,增加标准有效供给,强化标准应用实施,加快构建系统、科学、规范的车联网网络安全和数据安全标准体系,充分发挥标准对车联网产业安全健康发展的指导和规范作用。
(二)基本原则
需求导向、共同推进。紧密对接车联网产业对网络安全、数据安全的迫切需求,鼓励整车及关键设备、车联网服务平台、信息通信、网络安全等产业链各环节、产学研用各方加强协作,共同推进跨行业、跨领域标准的研制与实施,不断提升标准的质量效益。
聚焦重点、急用先行。聚焦车联网终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点领域,着力增加基础通用、共性技术、试验方法、典型应用等产业急需标准的有效供给,覆盖车联网网络安全、数据安全的关键领域和关键环节。
开放融合、深化合作。结合我国车联网产业发展现状,鼓励国内企事业单位积极参与车联网网络安全、数据安全国际标准化活动,加强与全球车联网产业界的交流与合作,共同推进相关国际标准研制,积极贡献中国的技术方案和实践经验。
(三)建设目标
到 2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成 50项以上急需标准的研制。
到 2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成 100项以上标准的研制,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全健康发展。
二、主要内容
(一)标准体系框架图
包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等 6个部分,见图 1。
图 1车联网网络安全和数据安全标准体系框架图
(二)重点领域及方向
1.总体与基础共性标准
总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准,包括术语和定义、总体架构、密码应用等 3类标准。
术语和定义标准主要规范车联网网络安全和数据安全主要概念,为相关标准中的术语和定义提供依据支撑。
总体架构标准主要规范车联网网络安全总体架构要求,明确和界定防护对象、防护方法、防护机制,指导企业体系化开展网络安全防护工作。
密码应用标准主要规范车联网密码应用通用要求,明确数字证书格式、数字证书应用、设备密码应用等要求。
2.终端与设施网络安全标准
终端与设施网络安全标准主要规范车联网终端和基础设施等相关网络安全要求,包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等 4类标准。
车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求,包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。
车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。路侧通信设备网络安全标准主要规范联网路侧设备的
安全防护与检测要求。
网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。
3.网联通信安全标准网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求,包括通信安全、身份认证等 2类标准。
通信安全标准主要规范蜂窝车联网( C-V2X),以及应用于车联网的蜂窝移动通信( 4G/5G)、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗(BLE)、紫蜂(Zigbee)、超宽带( UWB)等安全防护与检测要求。
身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。
4.数据安全标准
数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等 5类标准。
通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等,包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。
分类分级标准主要规范车联网数据分类分级保护要求,制定数据分类分级的维度、方法、示例等标准,明确重要数据类型和安全保护要求。
数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求,包括数据出境安全评估要点、评估方法等标准。
个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求,明确用户敏感数据和个人信息保护的场景、规则、技术方法,包括匿名化、去标识化、数据脱敏、异常行为识别等标准。
应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动,包括车联网平台、网约车、车载应用程序等数据安全标准。
5.应用服务安全标准
应用服务安全标准主要规范车联网服务平台和应用程序的安全要求,以及典型业务应用服务场景下的安全要求,包括平台安全、应用程序安全和服务安全等 3类标准。
平台安全标准主要规范车联网信息服务平台、远程升级(OTA)服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。
应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。
服务安全标准主要规范车联网典型业务服务场景下的安全要求,包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。
6.安全保障与支撑标准
安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求,包括风险评估、安全监测与应急管理和安全能力评估等 3类标准。
风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求,明确安全风险评估流程和方法,提出车联网服务平台、整车网络安全风险评估规范等相关要求。
安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求,以及安全管理接口、车联网卡实名登记、车联网业务递交网关( HI)接口等相关规范。
安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署及安全服务实施,提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。
三、组织实施
(一)加快标准研制。在国家制造强国建设领导小组车联网产业发展专项委员会指导下,注重与智能网联汽车、信息通信、电子产品和服务等相关标准体系的协调和衔接,以车联网网络安全和数据安全标准体系为指导,组织产学研用各方协同推进标准研制工作。
(二)实施动态更新。按照网络安全相关法律法规要求,结合车联网技术创新和产业发展趋势,持续完善车联网网络安全和数据安全标准体系,为推进车联网产业发展和行业管理提供有力保障。
(三)加强宣贯实施。充分发挥地方主管部门、标准化组织、行业协会和专业机构的作用,组织开展标准的宣标贯标和技术研讨活动,通过培训、咨询、论坛等方式推进标准的宣贯实施。组织开展贯标试点优秀企业和案例的遴选,形成最佳实践,促进标准应用推广。
(四)深化国际合作。加强与国际标准化组织的交流与合作,积极参与国际电信联盟(ITU)、国际标准化组织(ISO)、国际电工技术委员会( IEC)、联合国世界车辆法规协调论坛( UN/WP29)等国际标准化活动,携手全球产业链上下游企业共同推进国际标准研制。
附件
车联网网络安全和数据安全相关标准项目明细表
序号 |
标准名称 |
标准号 /计划号 |
状态 |
|
100总体与基础共性 |
|||
|
101术语和定义 |
|||
| 1 | 车联网网络安全通用术语和定义 | 待制定 | |
| 102总体架构 | |||
| 2 | 车联网网络安全总体架构 | 待制定 | |
| 103密码应用 | |||
| 3 | 车联网密码应用通用要求 | 待制定 | |
| 4 | 智能网联汽车商用密码应用技术要求 | 待制定 | |
| 5 | 车联网通信设备密码应用技术要求 | 待制定 | |
| 6 | 车云通信密码应用基本要求 | 待制定 | |
|
200终端与设施网络安全 |
|||
|
201车载设备网络安全 |
|||
| 7 | 汽车网关信息安全技术要求及试验方法 | GB/T 40857-2021 | 已发布 |
| 8 | 车载信息交互系统信息安全技术要求及试验方法 | GB/T 40856-2021 | 已发布 |
| 9 | 汽车电子控制单元网络安全防护技术要求 | 待制定 | |
| 10 | 车用安全芯片网络安全技术要求 | 待制定 | |
| 11 | 车载计算平台网络安全技术要求 | 待制定 | |
| 12 | 车载可插卸物联网设备安全防护及检测要求 | 待制定 | |
|
202车载网络安全 |
|||
| 13 | 汽车电子系统网络安全指南 | GB/T 38628-2020 | 已发布 |
| 14 | 汽车信息安全通用技术要求 | GB/T 40861-2021 | 已发布 |
| 15 | 电动汽车充电系统信息安全技术要求及试验方法 | 20192313-T-339 | 制定中 |
| 16 | 汽车软件升级通用技术要求 | 20214423-Q-339 | 制定中 |
| 17 | 汽车整车信息安全技术要求 | 20214422-Q-339 | 制定中 |
| 18 | 汽车诊断接口网络安全技术要求 | 20211169-T-339 | 制定中 |
| 19 | 汽车网络安全域及防护层级化定义 | 待制定 | |
| 20 | 车载总线系统网络安全技术要求 | 待制定 | |
| 21 | 车载以太网网络安全技术要求 | 待制定 | |
| 22 | 车载操作系统及应用软件安全防护要求 | 待制定 | |
| 23 | 汽车电子外部接口网络安全技术要求 | 待制定 | |
|
203路侧通信设备网络安全 |
|||
| 24 | 车联网网络关键设备安全技术及检测要求路侧无线通信设备 | 待制定 | |
| 25 | 车联网网络关键设备安全技术及检测要求路侧检测与信息服务设备 | 待制定 | |
|
204网络设施与系统安全 |
|||
| 26 | 车联网网络设施与系统安全防护要求 | 待制定 | |
| 27 | 车联网网络设施与系统安全检测要求 | 待制定 | |
|
300网联通信安全 |
|||
|
301通信安全 |
|||
| 28 | 车联网无线通信安全技术指南 | YD/T 3750-2020 | 已发布 |
| 29 | 基于公众电信网的联网汽车信息安全技术要求 | YD/T 3737-2020 | 已发布 |
| 30 | 基于 LTE的车联网通信安全技术要求 | YD/T 3594-2019 | 已发布 |
| 31 | 基于 NR-V2X的车联网无线通信安全技术要求 | 待制定 | |
| 32 | 车联网网络安全接入技术要求 | 待制定 | |
| 33 | 面向车联网的卫星通信安全技术要求 | 待制定 | |
| 34 | 车联网汽车短程通信接口规范 | 待制定 | |
|
302身份认证 |
|||
| 35 | 交通运输数字证书格式 | GB/T 37376-2019 | 已发布 |
| 36 | 基于 LTE的车联网无线通信技术安全认证技术要求 | 2019-0021T-YD | 制定中 |
| 37 | 基于 LTE的车联网无线通信技术安全证书管理系统技术要求 | 2020-CCSA-36 | 制定中 |
| 38 | 基于 LTE的车联网无线通信技术安全认证测试方法 | 2019-0022T-YD | 制定中 |
| 39 | 汽车数字证书应用规范 | 待制定 | |
| 40 | 车联网服务 V2X安全证书应用接口规范 | 待制定 | |
| 41 | 车联网 V2X密钥管理系统技术规范 | 待制定 | |
| 42 | 电子驾驶证安全技术要求 | 待制定 | |
| 43 | 车联网数字证书应用接口规范 | 待制定 | |
| 44 | 基于 PKI的车联网应用服务安全认证体系框架 | 待制定 | |
| 45 | 车联网关键部件轻量级安全认证通用技术要求 | 待制定 | |
|
400数据安全 |
|||
|
401通用要求 |
|||
| 46 | 智能网联汽车数据通用要求 | 20213606-T-339 | 制定中 |
| 47 | 智能网联汽车数据安全共享模型与规范 | 待制定 | |
| 48 | 智能网联汽车数据安全共享参考架构 | 待制定 | |
| 49 | 智能网联汽车数据安全要求 | 待制定 | |
| 50 | 智能网联汽车数据保护密码应用技术要求 | 待制定 | |
| 51 | 车联网数据安全保护能力参考框架 | 待制定 | |
|
402分类分级 |
|||
| 52 | 车联网信息服务数据安全技术要求 | YD/T 3751-2020 | 已发布 |
| 53 | 车联网服务平台重要数据记录系统技术规范 | 待制定 | |
|
403数据出境安全 |
|||
| 54 | 车联网数据跨境流动安全管理要求 | 待制定 | |
| 55 | 车联网数据跨境流动安全评估规范 | 待制定 | |
|
404个人信息保护 |
|||
| 56 | 车联网信息服务用户个人信息保护要求 | YD/T 3746-2020 | 已发布 |
| 57 | 基于移动互联网的汽车用户数据应用与保护技术要求 | 2018-0182T-YD | 制定中 |
| 58 | 基于移动互联网的汽车用户数据应用与保护评估方法 | 2018-0183T-YD | 制定中 |
| 59 | 车联网用户个人信息合规检测要求 | 待制定 | |
|
405应用数据安全 |
|||
| 60 | 信息安全技术网络预约汽车服务数据安全指南 | 20205164-T-469 | 制定中 |
| 61 | 网络预约出租汽车服务平台数据安全防护要求 | 2017-0938T-YD | 制定中 |
| 62 | 车联网信息服务数据安全保护能力评估规范 | 2020-1317T-YD | 制定中 |
| 63 | 车联网应用服务数据脱敏实施方法 | 待制定 | |
|
500应用服务安全 |
|||
|
501平台安全 |
|||
| 64 | 车联网信息服务平台安全防护技术要求 | YD/T 3752-2020 | 已发布 |
| 65 | 电动汽车远程服务与管理系统信息安全技术要求及试验方法 | GB/T 40855-2021 | 已发布 |
| 66 | 车联网信息服务平台安全防护检测要求 | 2021-0192T-YD | 制定中 |
| 67 | 车联网网络安全防护定级备案实施指南 | 待制定 | |
| 68 | 车联网服务平台安全防护技术要求及检测要求 | 待制定 | |
| 69 | 车联网服务平台通信安全保障技术要求 | 待制定 | |
| 70 | 车联网服务平台安全接入技术要求 | 待制定 | |
| 71 | 车联网服务平台密码应用基本要求 | 待制定 | |
| 72 | 车联网在线升级( OTA)平台安全技术要求及检测方法 | 待制定 | |
| 73 | 车联网远程监控平台网络安全技术要求 | 待制定 | |
| 502应用程序安全 | |||
| 74 | 车联网 APP安全技术及测试要求 | 待制定 | |
| 503服务安全 | |||
| 75 | 车联网服务平台与车载终端交互安全技术要求 | 待制定 | |
| 76 | 车联网汽车远程诊断服务网络安全技术要求 | 待制定 | |
| 77 | 车联网高级辅助驾驶系统与远程平台交互网络安全技术要求 | 待制定 | |
| 78 | 车联网车路协同服务网络安全技术规范 | 待制定 | |
|
600安全保障与支撑 |
|||
|
601风险评估 |
|||
| 79 | 车联网网络安全风险评估规范 | 待制定 | |
| 80 | 车联网网络安全风险分类指南 | 待制定 | |
| 81 | 车联网密码应用安全评估要求 | 待制定 | |
|
602安全监测与应急管理 |
|||
| 82 | 汽车网络安全应急响应管理指南 | 20213611-T-339 | 制定中 |
| 83 | 车联网安全管理接口规范 | 待制定 | |
| 84 | 车联网安全管理平台通用技术要求 | 待制定 | |
| 85 | 车联网密码应用安全监测平台通用技术要求 | 待制定 | |
| 86 | 联网汽车网络安全异常行为检测机制 | 待制定 | |
| 87 | 车联网网络安全态势感知技术要求 | 待制定 | |
| 88 | 车联网网络安全信息共享要求 | 待制定 | |
| 89 | 车联网网络安全应急管理要求 | 待制定 | |
| 90 | 车联网系统漏洞分类分级指南 | 待制定 | |
| 91 | 车联网卡实名登记及人像比对技术要求 | 待制定 | |
| 92 | 车联网卡实名登记及人像比对测试规范 | 待制定 | |
| 93 | 车联网业务 HI接口总体技术要求 | 待制定 | |
| 94 | 车联网业务 HI接口技术实施要求 | 待制定 | |
| 95 | 车联网业务 HI接口测试方法 | 待制定 | |
| 96 | 车联网网络安全能力成熟度模型 | 待制定 | |
| 97 | 车联网网络安全能力成熟度评价准则 | 待制定 | |
| 98 | 车联网网络安全能力成熟度评估实施方法 | 待制定 | |
| 99 | 车联网网络安全服务机构能力认定准则 | 待制定 | |
| 100 | 车联网供应链安全风险管理指南 | 待制定 | |
| 101 | 道路车辆网络安全工程 | 待制定 | |
| 102 | 道路车辆网络安全工程审核指南 | 待制定 | |
| 103 | 车联网网络安全设计文档分类与定义 | 待制定 | |
