工信部：《關于加強車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡安全工作的通知（征求意見稿）》

附件

關于加強車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡安全工作的通知

（征求意見稿）

各省、自治區(qū)、直轄市工業(yè)和信息化主管部門、通信管理局，中國電信集團有限公司、中國移動通信集團有限公司、中國聯(lián)合網(wǎng)絡通信集團有限公司，有關車聯(lián)網(wǎng)運營企業(yè)、智能網(wǎng)聯(lián)汽車生產企業(yè)：

為貫徹《中華人民共和國網(wǎng)絡安全法》，落實《新能源汽車產業(yè)發(fā)展規(guī)劃（2021-2035年）》《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）產業(yè)行動計劃》，指導基礎電信企業(yè)、車聯(lián)網(wǎng)運營企業(yè)、智能網(wǎng)聯(lián)汽車生產企業(yè)加強車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡安全管理工作，加快提升網(wǎng)絡安全保障能力，促進車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）產業(yè)規(guī)范健康發(fā)展?，F(xiàn)將有關事項通知如下。

一、加強車聯(lián)網(wǎng)網(wǎng)絡安全防護

（一）保護車聯(lián)網(wǎng)網(wǎng)絡設施和系統(tǒng)安全。落實企業(yè)網(wǎng)絡安全主體責任，建立車聯(lián)網(wǎng)網(wǎng)絡安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，定期開展符合性評測和風險評估，及時消除網(wǎng)絡安全風險隱患。嚴格落實分級防護要求，加強網(wǎng)絡設施和系統(tǒng)資產管理，合理劃分網(wǎng)絡安全域，加強訪問控制管理，做好網(wǎng)絡邊界安全防護，采取防范木馬病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害車聯(lián)網(wǎng)安全行為的技術措施。

（二）保障車聯(lián)網(wǎng)通信安全。建立企業(yè)車聯(lián)網(wǎng)身份認證和安全信任機制，強化車與車、車與路、車與云、車與設備等場景安全通信能力建設，推動跨車型、跨設施、跨企業(yè)互聯(lián)互認互通。加強商用密碼應用，開展商用密碼應用安全性評估。

（三）開展車聯(lián)網(wǎng)安全監(jiān)測預警。建立網(wǎng)絡安全監(jiān)測預警機制和技術手段，面向智能網(wǎng)聯(lián)汽車、聯(lián)網(wǎng)系統(tǒng)等，開展運行安全監(jiān)測、流量與行為監(jiān)測分析，及時發(fā)現(xiàn)預警安全狀態(tài)異常、惡意軟件傳播、網(wǎng)絡通信異常、網(wǎng)絡攻擊等網(wǎng)絡安全事件或異常行為，并按照規(guī)定留存相關的網(wǎng)絡日志不少于6個月。

（四）做好車聯(lián)網(wǎng)安全應急處置。建立網(wǎng)絡安全應急響應機制，制定網(wǎng)絡安全事件應急預案。定期開展應急演練，及時處置安全威脅、網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全風險。在發(fā)生危害網(wǎng)絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照《公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急預案》向有關主管部門報告。

（五）做好車聯(lián)網(wǎng)網(wǎng)絡安全防護定級備案。按照車聯(lián)網(wǎng)網(wǎng)絡安全防護相關標準，對所屬網(wǎng)絡設施和系統(tǒng)開展網(wǎng)絡安全防護定級工作，并向省級電信主管部門備案。對新建網(wǎng)絡設施和系統(tǒng)，應當在規(guī)劃設計階段確定網(wǎng)絡安全防護等級。各省級電信主管部門會同工業(yè)和信息化主管部門做好定級備案審核工作。

二、加強平臺安全防護

（一）加強平臺網(wǎng)絡安全管理。采取必要的安全技術措施，加強智能網(wǎng)聯(lián)汽車、邊緣側設備等平臺接入安全，主機、數(shù)據(jù)存儲系統(tǒng)等平臺設施安全，以及微服務、資源管理、應用程序編程接口（API）訪問等平臺應用安全防護能力，防范網(wǎng)絡侵入、數(shù)據(jù)竊取、遠程控制安全風險。涉及在線數(shù)據(jù)處理與交易處理、信息服務業(yè)務等電信業(yè)務的，應依法取得電信業(yè)務經營許可。認定為關鍵信息基礎設施的，要落實國家關于關鍵信息基礎設施安全保護有關規(guī)定。

（二）加強OTA服務安全和漏洞檢測評估。開展OTA服務及軟件包網(wǎng)絡安全檢測，及時發(fā)現(xiàn)服務和產品安全漏洞。加強OTA服務安全校驗能力，采取身份認證、加密傳輸?shù)燃夹g措施，保障傳輸環(huán)境和執(zhí)行環(huán)境的網(wǎng)絡安全。加強OTA服務全過程網(wǎng)絡安全監(jiān)測和應急響應，及時評估網(wǎng)絡安全狀況，防范軟件被篡改、損毀、泄露和病毒感染等網(wǎng)絡安全風險。

（三）強化應用程序安全管理。建立車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）應用程序開發(fā)、上線、使用、升級等安全管理制度，提升應用程序身份鑒別、通信安全、關鍵數(shù)據(jù)保護等安全能力。加強車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）應用程序安全檢測，及時處置安全風險，防范惡意應用程序攻擊和傳播。

三、保障數(shù)據(jù)安全

（一）加強數(shù)據(jù)安全管理。建立健全數(shù)據(jù)安全管理制度，建立完善權限管理、監(jiān)測預警、應急響應、投訴受理等保障措施，明確責任部門和責任人，加強人員教育培訓。建立數(shù)據(jù)資產管理臺賬，實施數(shù)據(jù)分類分級管理，加強個人信息與重要數(shù)據(jù)保護。定期開展數(shù)據(jù)安全風險評估，強化隱患排查整改。

（二）提升數(shù)據(jù)安全技術保障能力。堅持“最小必要”原則采集數(shù)據(jù)，針對數(shù)據(jù)全生命周期采取有效技術保護措施，防范數(shù)據(jù)泄露、毀損、丟失、篡改、誤用、濫用等風險。強化數(shù)據(jù)安全監(jiān)測預警能力建設，提升異常流動分析、違規(guī)跨境傳輸監(jiān)測、安全事件追蹤溯源等水平。及時處置數(shù)據(jù)安全事件，向省級電信主管部門、工業(yè)和信息化主管部門報告，并配合開展相關監(jiān)督檢查，提供必要技術支持。

（三）規(guī)范數(shù)據(jù)開發(fā)利用和共享使用。合理開發(fā)利用數(shù)據(jù)資源，防范在使用自動化決策技術處理數(shù)據(jù)時，侵犯用戶隱私權和知情權。明確數(shù)據(jù)共享和開發(fā)利用的安全管理和責任要求，對數(shù)據(jù)合作方的資質和能力進行審核評估，對數(shù)據(jù)共享使用情況進行監(jiān)督管理。

（四）強化數(shù)據(jù)出境安全管理。在中華人民共和國境內收集和產生的個人信息和重要數(shù)據(jù)應當依法在境內存儲。因業(yè)務需要確需向境外提供數(shù)據(jù)的，應當通過數(shù)據(jù)出境安全評估并向省級電信、工業(yè)和信息化等有關主管部門報備。各省級電信主管部門會同工業(yè)和信息化主管部門做好數(shù)據(jù)出境備案、安全評估、監(jiān)督檢查等工作。

四、強化安全漏洞管理

（一）建立安全漏洞管理機制。落實國家關于網(wǎng)絡產品安全漏洞管理有關規(guī)定，建立車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）安全漏洞管理機制，明確漏洞發(fā)現(xiàn)、分析、修補等工作程序，加強漏洞管理資源保障投入，確保漏洞得到及時修補和合理披露。

（二）加強安全漏洞發(fā)現(xiàn)收集。加強漏洞風險的主動監(jiān)測、風險評估、技術驗證等能力建設。建立漏洞信息接收渠道并保持暢通，主動收集用戶、上下游供應商、網(wǎng)絡安全企業(yè)、研究機構等發(fā)現(xiàn)的漏洞信息，加強與漏洞收集平臺的協(xié)同聯(lián)動。鼓勵建立漏洞獎勵機制。

（三）強化安全漏洞協(xié)同處置。發(fā)現(xiàn)或獲知本企業(yè)網(wǎng)絡設施和業(yè)務系統(tǒng)、智能網(wǎng)聯(lián)汽車產品存在漏洞后，應當立即采取補救措施，并向工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺報送漏洞信息。加強上下游產品或組件存在漏洞的協(xié)同處置。對需要用戶采取軟件、固件升級等措施修補漏洞的，應當及時將漏洞風險及修補方式告知可能受影響的用戶，并提供必要的技術支持。

工業(yè)和信息化部

2021年 月 日