工信部:《关于加强車(chē)联网(智能(néng)网联汽車(chē))网络安全工作的通知(征求意见稿)》
时间:2021-06-28 11:29来源:工业和信息化部 作者:秩名
各省、自治區(qū)、直辖市工业和信息化主管部门、通信管理(lǐ)局,中國(guó)電(diàn)信集团有(yǒu)限公司、中國(guó)移动通信集团有(yǒu)限公司、中國(guó)联合网络通信集团有(yǒu)限公司,有(yǒu)关車(chē)联网运营企业、智能(néng)网联汽車(chē)生产企业:
為(wèi)贯彻《中华人民(mín)共和國(guó)网络安全法》,落实《新(xīn)能(néng)源汽車(chē)产业发展规划(2021-2035年)》《智能(néng)汽車(chē)创新(xīn)发展战略》《車(chē)联网(智能(néng)网联汽車(chē))产业行动计划》,指导基础電(diàn)信企业、車(chē)联网运营企业、智能(néng)网联汽車(chē)生产企业加强車(chē)联网(智能(néng)网联汽車(chē))网络安全管理(lǐ)工作,加快提升网络安全保障能(néng)力,促进車(chē)联网(智能(néng)网联汽車(chē))产业规范健康发展。现将有(yǒu)关事项通知如下。
(一)保护車(chē)联网网络设施和系统安全。落实企业网络安全主體(tǐ)责任,建立車(chē)联网网络安全管理(lǐ)制度和操作规程,确定网络安全负责人,定期开展符合性评测和风险评估,及时消除网络安全风险隐患。严格落实分(fēn)级防护要求,加强网络设施和系统资产管理(lǐ),合理(lǐ)划分(fēn)网络安全域,加强访问控制管理(lǐ),做好网络边界安全防护,采取防范木(mù)马病毒和网络攻击、网络侵入等危害車(chē)联网安全行為(wèi)的技术措施。
(二)保障車(chē)联网通信安全。建立企业車(chē)联网身份认证和安全信任机制,强化車(chē)与車(chē)、車(chē)与路、車(chē)与云、車(chē)与设备等场景安全通信能(néng)力建设,推动跨車(chē)型、跨设施、跨企业互联互认互通。加强商(shāng)用(yòng)密码应用(yòng),开展商(shāng)用(yòng)密码应用(yòng)安全性评估。
(三)开展車(chē)联网安全监测预警。建立网络安全监测预警机制和技术手段,面向智能(néng)网联汽車(chē)、联网系统等,开展运行安全监测、流量与行為(wèi)监测分(fēn)析,及时发现预警安全状态异常、恶意软件传播、网络通信异常、网络攻击等网络安全事件或异常行為(wèi),并按照规定留存相关的网络日志(zhì)不少于6个月。
(四)做好車(chē)联网安全应急处置。建立网络安全应急响应机制,制定网络安全事件应急预案。定期开展应急演练,及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照《公共互联网网络安全突发事件应急预案》向有(yǒu)关主管部门报告。
(五)做好車(chē)联网网络安全防护定级备案。按照車(chē)联网网络安全防护相关标准,对所属网络设施和系统开展网络安全防护定级工作,并向省级電(diàn)信主管部门备案。对新(xīn)建网络设施和系统,应当在规划设计阶段确定网络安全防护等级。各省级電(diàn)信主管部门会同工业和信息化主管部门做好定级备案审核工作。
(一)加强平台网络安全管理(lǐ)。采取必要的安全技术措施,加强智能(néng)网联汽車(chē)、边缘侧设备等平台接入安全,主机、数据存储系统等平台设施安全,以及微服務(wù)、资源管理(lǐ)、应用(yòng)程序编程接口(API)访问等平台应用(yòng)安全防护能(néng)力,防范网络侵入、数据窃取、遠(yuǎn)程控制安全风险。涉及在線(xiàn)数据处理(lǐ)与交易处理(lǐ)、信息服務(wù)业務(wù)等電(diàn)信业務(wù)的,应依法取得電(diàn)信业務(wù)经营许可(kě)。认定為(wèi)关键信息基础设施的,要落实國(guó)家关于关键信息基础设施安全保护有(yǒu)关规定。
(二)加强OTA服務(wù)安全和漏洞检测评估。开展OTA服務(wù)及软件包网络安全检测,及时发现服務(wù)和产品安全漏洞。加强OTA服務(wù)安全校验能(néng)力,采取身份认证、加密传输等技术措施,保障传输环境和执行环境的网络安全。加强OTA服務(wù)全过程网络安全监测和应急响应,及时评估网络安全状况,防范软件被篡改、损毁、泄露和病毒感染等网络安全风险。
(三)强化应用(yòng)程序安全管理(lǐ)。建立車(chē)联网(智能(néng)网联汽車(chē))应用(yòng)程序开发、上線(xiàn)、使用(yòng)、升级等安全管理(lǐ)制度,提升应用(yòng)程序身份鉴别、通信安全、关键数据保护等安全能(néng)力。加强車(chē)联网(智能(néng)网联汽車(chē))应用(yòng)程序安全检测,及时处置安全风险,防范恶意应用(yòng)程序攻击和传播。
(一)加强数据安全管理(lǐ)。建立健全数据安全管理(lǐ)制度,建立完善权限管理(lǐ)、监测预警、应急响应、投诉受理(lǐ)等保障措施,明确责任部门和责任人,加强人员教育培训。建立数据资产管理(lǐ)台账,实施数据分(fēn)类分(fēn)级管理(lǐ),加强个人信息与重要数据保护。定期开展数据安全风险评估,强化隐患排查整改。
(二)提升数据安全技术保障能(néng)力。坚持“最小(xiǎo)必要”原则采集数据,针对数据全生命周期采取有(yǒu)效技术保护措施,防范数据泄露、毁损、丢失、篡改、误用(yòng)、滥用(yòng)等风险。强化数据安全监测预警能(néng)力建设,提升异常流动分(fēn)析、违规跨境传输监测、安全事件追踪溯源等水平。及时处置数据安全事件,向省级電(diàn)信主管部门、工业和信息化主管部门报告,并配合开展相关监督检查,提供必要技术支持。
(三)规范数据开发利用(yòng)和共享使用(yòng)。合理(lǐ)开发利用(yòng)数据资源,防范在使用(yòng)自动化决策技术处理(lǐ)数据时,侵犯用(yòng)户隐私权和知情权。明确数据共享和开发利用(yòng)的安全管理(lǐ)和责任要求,对数据合作方的资质和能(néng)力进行审核评估,对数据共享使用(yòng)情况进行监督管理(lǐ)。
(四)强化数据出境安全管理(lǐ)。在中华人民(mín)共和國(guó)境内收集和产生的个人信息和重要数据应当依法在境内存储。因业務(wù)需要确需向境外提供数据的,应当通过数据出境安全评估并向省级電(diàn)信、工业和信息化等有(yǒu)关主管部门报备。各省级電(diàn)信主管部门会同工业和信息化主管部门做好数据出境备案、安全评估、监督检查等工作。
(一)建立安全漏洞管理(lǐ)机制。落实國(guó)家关于网络产品安全漏洞管理(lǐ)有(yǒu)关规定,建立車(chē)联网(智能(néng)网联汽車(chē))安全漏洞管理(lǐ)机制,明确漏洞发现、分(fēn)析、修补等工作程序,加强漏洞管理(lǐ)资源保障投入,确保漏洞得到及时修补和合理(lǐ)披露。
(二)加强安全漏洞发现收集。加强漏洞风险的主动监测、风险评估、技术验证等能(néng)力建设。建立漏洞信息接收渠道并保持畅通,主动收集用(yòng)户、上下游供应商(shāng)、网络安全企业、研究机构等发现的漏洞信息,加强与漏洞收集平台的协同联动。鼓励建立漏洞奖励机制。
(三)强化安全漏洞协同处置。发现或获知本企业网络设施和业務(wù)系统、智能(néng)网联汽車(chē)产品存在漏洞后,应当立即采取补救措施,并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息。加强上下游产品或组件存在漏洞的协同处置。对需要用(yòng)户采取软件、固件升级等措施修补漏洞的,应当及时将漏洞风险及修补方式告知可(kě)能(néng)受影响的用(yòng)户,并提供必要的技术支持。
