汽车企业数据安全管理体系要求（征求意见稿）.docx

汽车企业数据安全管理体系要求 Data security management system requirements for automobile enterprises （征集意见稿） II T/CAAMTB XX—202X III T/CAAMTB XX—202X 目 次 前 言 I 1 范围 2 2 规范性引用文件 2 3 术语和定义 2 4 缩略语 2 5 环境 2 6 最高管理层 2 7 汽车数据安全管理组织 3 8 管理制度 3 9 支持性措施 9 10 体系运行 10 11 体系各环节效果评价 11 12 进一步改进 12 附件 A （规范性） 汽车企业数据安全管理体系要求评测方法 13 I II T/CAAMTB XX—202X 汽车企业数据安全管理体系要求 1 范围 本标准规定了汽车数据处理活动中合理、有效、完整的数据安全管理体系应符合的要 求， 以及相应的评价方式。适用于主管监管机构、第三方评测机构评价汽车数据处理者的 数据安全管理体系是否能够满足保障数据安全的要求。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日 期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本文件。 GB/T 39335 《信息安全技术 个人信息安全影响评估指南》 GB/T 41479-2022《信息安全技术 网络数据处理安全要求》 GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》 3 术语和定义 下列术语和定义适用于本文件。 3.1 汽车数据 汽车设计、生产、销售、使用、运维等过程中涉及的个人信息数据和重要数据。 3.2 数据安全 通过采取必要措施，确保数据处于有效保护和合法利用的状态， 以及具备保障持续安 全状态的能力。 3.3 汽车数据处理者 指开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、经销商、 维修机构以及出行服务企业等。 3.4 重要数据 指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利 益或者个人、组织合法权益的数据，包括： 1) 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、 人员流量、车辆流量等数据； 2) 车辆流量、物流等反映经济运行情况的数据； 3) 汽车充电网的运行数据； 4) 包含人脸信息、车牌信息等的车外视频、图像数据； 5) 涉及个人信息主体超过 10 万人的个人信息； 6) 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确 定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。 3.5 2 T/CAAMTB XX—202X 个人信息 指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人 员等有关的各种信息，不包括匿名化处理后的信息。 3.6 敏感个人信息 指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或 者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生 物识别特征等信息。 4 缩略语 下列缩略语适用于本文件。 IDC 互联网数据中心（Internet Data Center） PKI 公共关键基础设施（Public Key Infrastructure） 5 环境 5.1 内外部环境确认 汽车数据处理者的最高管理层应结合数据安全专家意见，提出预期通过数据安全管理 体系实现的目的，即预期成果；并根据预期成果，识别会影响其实现的外部和内部环境因 素。 5.2 数据安全相关方及其需求确认 汽车数据处理者的最高管理层应确认数据安全管理体系的内外部相关方，例如：研发 设计部门、销售部门、信息化部门、产品用户、数据对外合作方、国家监管机构等。 确认数据安全相关方后，应确认这些相关方涉及到汽车数据处理者数据安全管理的期 望和要求。 5.3 数据安全管理体系范围划定 汽车数据处理者的最高管理层应结合 5. 1 中提到的外部和内部环境、5.2 中提到的数据 安全相关方需求， 以及汽车数据处理者的数据处理活动和其他相关方之间的接口和依赖关 系，从而确定数据安全管理体系的边界和适用性，进一步划定数据安全管理体系的范围。 此范围应形成文件化信息。 6 最高管理层 6.1 领导承诺 汽车数据处理者的最高管理层在数据安全管理体系中，应充分发挥其领导作用，并展 示其对于以下工作的重视： a) 建立数据安全管理组织和管理体系； b) 推进数据安全管理体系的各项要求向各项业务和管理活动当中整合； c