汽车整车信息安全技术要求.pdfVIP

ICS 43.020 CCS T 40 中华人民共和国国家标准 GB XXXXX—XXXX 汽车整车信息安全技术要求 Technicalrequirementsforvehiclecybersecurity （征求意见稿） 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX-XX-XX发布 XXXX-XX-XX实施 GB XXXXX—XXXX 前  言 本文件按照GB/T 1.1-2020 《标准化工作导则 第 1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国工业和信息化部提出并归口。 II 汽车整车信息安全技术要求 1 范围 本文件规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审 核评估及测试验证方法。 本文件适用于M类、N类及至少装有1个电子控制单元的O类车辆，其他类型车辆可参考执行。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 汽车信息安全管理体系 cybersecurity management system 网络安全管理体系 cybersecurity management system 一种基于风险的系统方法，包括组织流程、责任和治理，以处理与车辆网络威胁相关的风险并保 护车辆免受网络攻击。 [来源：GB/T xxxxx 智能网联汽车 术语和定义] 3.2 开发阶段 development phase 车型获得批准之前的时期。 3.3 生产阶段 production phase 车型生产持续的时期。 3.4 后生产阶段 post-production phase 从车型不再生产，直至该车型的所有车辆使用寿命结束的时期。在这一阶段，该车型的车辆仍可 使用，但不再继续生产，当该车型不再有可使用的车辆时，此阶段结束。 3.5 风险 risk 车辆信息安全不确定性的影响，可用攻击可行性和影响表示。 3.6 风险评估 risk assessment 发现、识别和描述风险，理解风险的性质以及确定风险级别，并将风险分析的结果与风险标准进 行比较，以确定风险是否可接受。 1 3.7 威胁 threat 可能导致系统、组织或个人受到伤害的意外事件的潜在原因。 3.8 漏洞 vulnerability 在资产或缓解措施中，可被一个或多个威胁利用的弱点。 3.9 车载软件升级系统 on-board software update system 安装在车端并具备升级包接收、校验和分发等功能的软件和硬件。 3.10 在线升级 over-the-air update 通过无线方式而不是使用电缆或其他本地连接进行数据传输的软件升级。 3.11 离线升级 offline update 除在线升级以外的软件升级。 3.12 敏感个人信息 sensitive personal information 一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产 安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。 [来源：汽车数据安全管理若干规定 （试行），第三条]