汽车企业数据安全管理体系要求（征求意见稿）.pdfVIP

汽车企业数据安全管理体系要求 Datasecurity management systemrequirementsforautomobileenterprises （征集意见稿） T/CAAMTB XX—202X II T/CAAMTB XX—202X 目 次 前  言I 1 范围2 2 规范性引用文件2 3 术语和定义2 4 缩略语2 5 环境2 6 最高管理层2 7 汽车数据安全管理组织3 8 管理制度3 9 支持性措施9 10 体系运行10 11 体系各环节效果评价11 12 进一步改进12 附件A （规范性）汽车企业数据安全管理体系要求评测方法13 III I T/CAAMTB XX—202X 汽车企业数据安全管理体系要求 1 范围 本标准规定了汽车数据处理活动中合理、有效、完整的数据安全管理体系应符合的要 求，以及相应的评价方式。适用于主管监管机构、第三方评测机构评价汽车数据处理者的 数据安全管理体系是否能够满足保障数据安全的要求。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日 期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本文件。 GB/T 39335 《信息安全技术 个人信息安全影响评估指南》 GB/T41479-2022 《信息安全技术 网络数据处理安全要求》 GB/T41871-2022 《信息安全技术汽车数据处理安全要求》 3 术语和定义 下列术语和定义适用于本文件。 3.1 汽车数据 汽车设计、生产、销售、使用、运维等过程中涉及的个人信息数据和重要数据。 3.2 数据安全 通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安 全状态的能力。 3.3 汽车数据处理者 指开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、经销商、 维修机构以及出行服务企业等。 3.4 重要数据 指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利 益或者个人、组织合法权益的数据，包括： 1) 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、 人员流量、车辆流量等数据； 2) 车辆流量、物流等反映经济运行情况的数据； 3) 汽车充电网的运行数据； 4) 包含人脸信息、车牌信息等的车外视频、图像数据； 5) 涉及个人信息主体超过10万人的个人信息； 6) 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确 定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。 3.5 II T/CAAMTB XX—202X 个人信息 指以电子或者其他方式记录的与已识别或者