《汽车企业数据安全管理体系要求》.pdfVIP

ICS号 中国标准文献分类号 团 体 标 准 T/CAAMTB XX - 2023 汽车企业数据安全管理体系要求 Datasecurity management systemrequirementsforautomobileenterprises （征集意见稿） 2023-XX-XX发布 2023-XX-XX实施 中国汽车工业协会 发布 T/CAAMTB XX—202X II T/CAAMTB XX—202X 前  言 本文件按照GB/T 1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国汽车工业协会大数据分会提出并归口。 本文件起草单位：XXXXX。 本文件主要起草人：XXXXX。 I T/CAAMTB XX—202X 汽车企业数据安全管理体系要求 1 范围 本标准规定了汽车数据处理活动中合理、有效、完整的数据安全管理体系应符合的要 求，以及相应的评价方式。适用于主管监管机构、第三方评测机构评价汽车数据处理者的 数据安全管理体系是否能够满足保障数据安全的要求。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日 期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本文件。 GB/T 39335 《信息安全技术 个人信息安全影响评估指南》 GB/T41479-2022 《信息安全技术 网络数据处理安全要求》 GB/T41871-2022 《信息安全技术汽车数据处理安全要求》 3 术语和定义 下列术语和定义适用于本文件。 3.1 汽车数据 汽车设计、生产、销售、使用、运维等过程中涉及的个人信息数据和重要数据。 3.2 数据安全 通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安 全状态的能力。 3.3 汽车数据处理者 指开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、经销商、 维修机构以及出行服务企业等。 3.4 重要数据 指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利 益或者个人、组织合法权益的数据，包括： 1) 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、 人员流量、车辆流量等数据； 2) 车辆流量、物流等反映经济运行情况的数据； 3) 汽车充电网的运行数据； 4) 包含人脸信息、车牌信息等的车外视频、图像数据； 5) 涉及个人信息主体超过10万人的个人信息； 6) 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确 定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。 3.5 II