点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
各车联网企业,各相关单位:
为提升本市车联网行业网络和数据安全防护水平,筑牢车联网网络和数据安全防线,护航智能网联汽车产业高质量发展,结合本市车联网安全和发展实际,我局决定开展“铸盾车联”—2024年车联网网络和数据安全专项行动。现将有关事项通知如下:
01
指导思想
坚持以习近平新时代中国特色社会主义思想为指导,全面学习贯彻落实党的二十大精神,助力制造强国、网络强国和交通强国建设,根据《网络安全法》《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定(试行)》《工业和信息化领域数据安全管理办法(试行)》等法律法规和《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》等文件精神,统筹车联网行业发展与安全,贯彻实施网络和数据安全法律法规和政策标准。科学有序提升车联网行业网络和数据安全管理水平,稳步推进由事前审查向事中事后监管的职能转变,优化简化事前审查流程,强化事中事后报备管理,营造稳定、规范、可预期的车联网安全监管环境,维护国家安全和产业发展利益,护航本市智能网联汽车产业安全、繁荣和高质量发展。
02
重点对象
专项行动重点对象为在本市生产、销售智能网联汽车产品的生产企业(含智能网联汽车生产企业、具有智能网联功能的车载终端软硬件生产企业,不含代理销售企业),在本市运营车联网相关平台的服务企业(含车联网服务平台运营商、车载应用平台运营商、OTA升级服务提供商、导航系统服务提供商、电子地图服务提供商、车载信息应用服务提供商、车联网卡服务提供商等),本市车联网网络设施和车路协同设施运营企业以及自动驾驶功能产品和解决方案服务企业。(以下统称“车联网企业”)
03
主要任务
(一)网络和数据安全主体责任
1. 建立车联网网络和数据安全管理机制。各车联网企业要建立面向智能网联方向的网络和数据安全管理机制,明确组织架构、责任部门、管理负责人和工作责任人,落实网络安全和数据安全保护责任。
2. 健全网络和数据安全管理制度。各车联网企业应按照国家有关法律法规要求以及车联网行业网络和数据安全相关管理要求,加快制定面向网络安全、数据安全和个人信息保护的管理制度,健全完善网络和数据安全管理制度体系。
(二)车联网网络设施和系统安全
3. 加强车联网网络安全防护定级备案和评测评估管理。各车联网企业要按照《车联网网络安全防护定级备案实施指南》等安全防护标准,对所属网络设施和系统开展网络安全防护定级工作,并向市通信管理局申请备案。市通信管理局将会同市工业和信息化主管部门对相关定级备案申请进行审核,并对通过审核的网络设施和系统发放车联网定级备案号。对审核通过的车联网网络设施和系统,各车联网企业要严格落实网络安全分级防护要求,按照有关评测、评估标准,自行或者委托检测机构定期开展网络安全符合性评测和风险评估。其中,定级为三级及三级以上的网络设施和系统应当每年进行一次符合性评测和安全风险评估,二级网络设施和系统应当每两年进行一次符合性评测和安全风险评估。
4. 加强车联网网络安全应急处置管理。各车联网企业要建立网络安全应急响应机制,制定网络安全事件应急预案。定期开展应急演练,及时处置安全威胁、网络攻击、网络侵入等网络安全风险。其中,运营三级及三级以上车联网网络设施和系统的企业,应当每年至少开展一次网络安全应急演练。强化网络安全事件分类分级处置能力,在发生危害网络安全的事件时,应立即启动应急预案,采取相应补救措施,并按照《上海市公共互联网网络安全突发事件应急预案》规定向市通信管理局报告。
5. 统筹车联网安全监测预警管理。市通信管理局加强车联网安全监管和公共服务平台建设,统筹车联网网络安全威胁监测预警和信息通报工作。各车联网企业要建立网络安全监测预警机制和技术手段,对智能网联汽车、车联网平台及联网系统开展网络安全相关监测,及时发现网络安全事件或异常行为,并按照规定留存相关的网络日志不少于6个月。相关监测技术平台要与市通信管理局车联网安全监管和公共服务平台对接并接入有关监测数据。
(三)智能网联汽车产品安全
6. 加强车辆网络安全保障管理。智能网联汽车生产企业要加强整车网络安全架构设计。加强车内系统通信安全保障,加强诊断接口(OBD)、通用串行总线(USB)端口、充电端口等的访问和权限管理。相关智能网联汽车在本市上市销售前或其网络功能有重要更新发布前,企业应自行或委托第三方机构对车载信息交互系统、汽车网关、电子控制单元等关键设备和部件开展安全防护和安全检测,并将相关检测报告向市通信管理局进行报备。市通信管理局结合相关检测结果,定期组织对智能网联汽车网络功能的安全风险情况进行抽查。
7. 加强安全漏洞管理责任落实。智能网联汽车生产企业和具有智能网联功能的车载终端软硬件生产企业要落实《网络产品安全漏洞管理规定》有关要求,明确本企业漏洞发现、验证、分析、修补、报告等工作程序。发现或获知智能网联产品存在漏洞后,应立即采取补救措施,并向工业和信息化部网络安全威胁和漏洞信息共享平台以及市通信管理局车联网安全监管和公共服务平台报送漏洞信息。对需要用户采取软件、固件升级等措施修补漏洞的,应当及时将漏洞风险及修补方式告知可能受影响的用户,并提供必要技术支持。
(四)车联网平台和应用服务安全
8. 开展车联网平台网络安全威胁通报。市通信管理局建立车联网平台网络安全威胁通报机制,定期对本市车联网相关平台开展网络安全威胁检测,并加强问题通报和约谈整改。各车联网平台运营企业要采取必要的安全技术措施,加强智能网联汽车、路侧设备等平台接入安全,主机、数据存储系统等平台设施安全,以及资源管理、服务访问接口等平台应用安全防护能力,防范网络侵入、数据窃取、远程控制等安全风险。
9. 开展在线升级服务(OTA)安全检测评估。智能网联汽车生产企业和具有智能网联功能的车载终端软硬件生产企业要建立在线升级服务软件包安全验证机制,自行或委托第三方机构开展在线升级软件包网络安全检测,及时发现产品安全漏洞。在线升级服务软件在发布或更新前,应将相关检测报告向市通信管理局进行报备,市通信管理局结合相关检测结果,定期对软件包的安全风险情况进行抽测。
10. 开展车联网应用程序网络安全检测评估。各车联网企业要建立APP、小程序、车载应用等车联网应用程序的开发、上线、使用、升级等安全管理制度,提升应用程序身份鉴别、通信安全、数据保护等安全能力,自行或委托第三方机构开展车联网应用程序安全检测,及时处置安全风险。车联网应用程序在发布或更新前,应将相关检测报告以及应用安装包向市通信管理局进行报备,市通信管理局结合相关检测结果,定期对应用程序的安全风险情况进行抽测。
(五)车联网数据安全
11. 加强车联网数据安全评估管理。各车联网企业要将数据安全保护作为车联网安全管理的关键内容,按照《数据安全法》《工业和信息化领域数据安全管理办法(试行)》《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》等要求,每年开展数据安全风险评估,强化隐患排查整改,并在当年11月30日前向市通信管理局报送数据安全风险评估报告。市通信管理局结合风险评估报告情况,对企业履行数据安全保护义务进行监督检查。
12. 加强数据安全和个人信息保护事件应急管理。各车联网企业要高度重视个人信息和重要数据保护,重点加强个人信息保护事件和数据安全事件的应急处置能力,建立数据管理台账、制定数据安全事件应急预案。在发生数据安全事件时,应立即启动应急预案,采取相应补救措施,并按照《工业和信息化领域数据安全事件应急预案》规定向市通信管理局报告。市通信管理局建立车联网数据安全月报制度,定期汇总分析车联网行业数据安全事件管理和处置情况,各车联网企业应在每月10日前向市通信管理局报送上月度数据安全事件管理情况。
13. 加强数据对外共享使用管理。各车联网企业要明确数据共享和开发利用的安全管理和责任要求。企业需跨主体共享车联网相关数据的,应对数据合作方的数据安全保护能力进行审核评估,并将拟共享数据的类型、规模、用途、提供方式、提供周期、合作方主体等情况以及内部审核评估记录向市通信管理局报备,报备内容不包含数据本身。企业应加强对合作方数据安全保护能力的实质性评估,并对数据共享使用情况进行监督管理。其中,数据合作方应提供经上海市通信管理局或其所在地省级通信管理局审核通过的数据安全风险评估报告或审核通过的相关证明材料。
14. 加强出境数据报备管理。支持车联网相关数据在依法合规的前提下推进实现便利的跨境流动。积极开展车联网数据分类分级工作,促进非敏感数据的合规、高效跨境流动,着力加强数据出境的事中事后监管。在中华人民共和国境内收集和产生的、需要向境外提供的重要数据,应当依法依规进行数据出境安全评估,并将数据出境情况向市通信管理局报备。报备信息应包含数据出境的目的、方式、数据类型、数据规模、数据出境方情况、境外接收方情况等,不包含出境数据本身。
(六)自动驾驶功能安全
15. 探索开展自动驾驶功能网络安全管理。按照《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》《关于开展智能网联汽车准入和上路通行试点工作的通知》要求,结合自动驾驶领域的发展实际,探索开展智能网联汽车搭载的自动驾驶功能的网络安全管理。对搭载自动驾驶功能的智能网联汽车生产企业和使用主体,以及自动驾驶功能产品提供商和解决方案提供商试点开展专项安全评估。
04
保障措施
(一)强化政策宣贯
市通信管理局指导市车联网协会组建车联网安全工作委员会,支撑主管部门加强“铸盾车联”专项行动的任务解读和贯彻实施。支持各行业组织、安全实验室、专业机构、研究机构以论坛、培训、沙龙等多种形式开展专项行动和车联网安全相关的政策宣贯、标准制定、技术研讨和实践交流,加快推进面向车联网安全方向的专业人才队伍培养,护航车联网产业繁荣发展。
(二)强化责任落实
各车联网企业应当深刻认识提升本单位、本行业网络和数据安全防护能力的重要性和紧迫性,细化工作措施,部署工作落实。市通信管理局建立专项行动落实情况督查和通报机制,定期对任务推进情况进行进度核查,并组织开展2024年度车联网网络和数据安全专项检查,结合实际对工作优秀的单位予以表扬,对责任落实不到位的单位予以通报和处置。
(三)强化技术保障
推进技术手段建设和保障,助力简化事前审查流程,支撑强化事中事后监管。指导车联网安全联合实验室、车联神盾实验室等安全实验室加强技术和能力建设。组织建设车联网安全监管和公共服务平台,汇聚车联网行业安全监测预警和信息通报成果,优化车联网企业信息报送渠道,推动实现电子化、集约化、日常化的信息报备形式,营造稳定、规范、可预期的安全监管环境,全面提升车联网安全管理水平。
(四)强化实战检验
组织开展“铸盾2024”车联网网络安全实战攻防活动,在真实、现网环境中对各车联网企业开展网络和数据安全实网、实车攻防检验,并结合实战结果评估各车联网企业的专项行动落实成效。
(五)强化标准创新
指导市车联网协会等行业组织加快制定车联网数据分类分级、无驾驶人智能网联汽车安全要求、智能网联汽车安全人才评价等车联网网络和数据安全相关标准。支持各相关企业、社会团体制定高于国家标准或行业标准相关技术要求的企业标准、团体标准、地方标准。
特此通知。
上海市通信管理局
2024年3月6日
联系人:和老师
联系电话:021-63902000*879
来源:上海市车联网协会
线下交流
精品活动推荐
更多文章
关于涉嫌仿冒AutoSec会议品牌的律师声明
一文带你了解智能汽车车载网络通信安全架构
网络安全:TARA方法、工具与案例
汽车数据安全合规重点分析
浅析汽车芯片信息安全之安全启动
域集中式架构的汽车车载通信安全方案探究
系统安全架构之车辆网络安全架构
车联网中的隐私保护问题
智能网联汽车网络安全技术研究
AUTOSAR 信息安全框架和关键技术分析
AUTOSAR 信息安全机制有哪些?
信息安全的底层机制
汽车网络安全
Autosar硬件安全模块HSM的使用
首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议
