车联网数据安全体系建设指南.pdf

1 第 页 前 言1 引 言2 1 范围3 2 规范性引用文件3 3 术语和定义3 4 车联网数据安全需求6 4.1 合规7 4.2 防泄露8 4.3 防滥用8 5 总体思路 9 6 组织建设 9 7 制度体系建设 9 8 能力建设 13 8.1 数据脱敏14 8.2 数据加解密15 8.3 电子认证18 8.4 数据资产梳理21 第 1 页 8.5 接口审计22 8.6 大数据平台安全22 8.7 容灾备份23 9 安全审计 25 9.1 安全审计时效性26 9.2 安全审计对象26 9.3 安全审计内容27 10 场景安全 28 10.1数据提取29 10.2 大数据平台30 10.3车机数据流转30 10.4 APP用户数据流转31 11 数据安全体系建设趋势 33 11.1数据资产管理智能化34 11.2 数据安全能力平台化34 11.3数据安全分析中心化35 第 2 页 前 言 本指南旨在客观提出数据安全体系建设的一些建议，仅供参考。 本指南内容可能涉及专利，本指南的发布机构不承担识别这些专利的责任。 本指南由腾讯云计算 （北京）有限责任公司提出并归口。 本指南起草单位：腾讯云计算 （北京）有限责任公司、北京中安星云软件技术有限公司、 北京芯盾时代科技有限公司、杭州世平信息科技有限公司、上海铠射信息科技有限公司、理 想汽车 本指南主要起草人：刘海洋、张敏、宋辉、尹晓东、顾益宇、孙菲、朱新新、张文献、 张明全、戴平、倪平、武杨、徐永太、贺天明、崔卓 第 1 页 引 言 伴随着以人工智能、5G、云计算、边缘计算、大数据、区块链、物联网等为代表的新一 代信息技术向工业领域的不断渗透，汽车行业的信息安全问题日益凸显。汽车智能化、网联 化程度逐步提高，车辆开放连接逐渐增多，相关设备系统间数据交互更为紧密，网络攻击、 木马病毒、数据窃取等互联网安全威胁频繁发生。一旦车载系统和关键零部件、车联网平台 等遭受网络攻击，可导致车辆被非法控制，造成财产损失，还会对数据安全、人身安全、社 会安全等产生严重威胁。网络安全已经成为车联网产业健康发展的基础和前提，加强我国汽 车行业的工业控制系统信息安全防护建设势在必行。 汽车作为重要的出行工具的同时，车联网也承担着传输和处理大量数据的工作。车辆数 据的交互和安全保证离不开车联网，车联网安全运行的关键在于数据安全，因此，如何在保 障安全的基础上，促进数据的充分利用，满足合规要求，是车联网领域需要面对和亟待解决 的问题。 第 2 页 第 3 页 1 范围 本指南根据车企对数据使用场景的深入分析，结合相关法律法规、国家及行业标准，提 出一些具体的方法和建议。 本指南适用于车企车联网业务中的用户数据流转与使用、车机数据流转与使用、大数据 平台、数据提取等车联网数据场景。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适 用于本文件。凡是不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本文件。 《中华人民共和国网络安全法》 《中华人民共和国数据安全法》 《中华人民共和国个人信息保护法》 《汽车数据安全管理若干规定 （试行）》 GB/T 35273-2020 《信息安全技术 个人信息安全规范》 YD/T 3751-2020 《车联网信息服务 数据安全技术要求》 YD/T 3746-2020 《车联网信息服务 用户个人信息保护要求》 《信息安全技术 网络预约汽车服务数据安全指南》 （征求意见稿） 3 术语和定义 3.1 车联网 vehicle networking