GB-汽车整车信息安全技术要求.pdf

ICS43.020

CCST40

中华人民共和国国家标准

GBXXXXX—XXXX

汽车整车信息安全技术要求

Technicalrequirementsforvehiclecybersecurity

（征求意见稿）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

GBXXXXX—XXXX

目次

前  言II

1范围1

2规范性引用文件1

3术语和定义1

4缩略语2

5信息安全管理体系要求2

6车辆信息安全一般要求3

7车辆外部连接安全要求4

8车辆通信安全要求4

9车辆软件升级安全要求5

10车辆数据代码安全要求6

11审核评估及测试方法6

12车辆型式的变更和扩展6

13实施日期7

附录A（规范性）车辆信息安全要求测试验证方法8

I

GBXXXXX—XXXX

前  言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中华人民共和国工业和信息化部提出并归口。

II

汽车整车信息安全技术要求

1范围

本文件规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审

核评估及测试验证方法。

本文件适用于M类、N类及至少装有1个电子控制单元的O类车辆，其他类型车辆可参考执行。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。

3.1

汽车信息安全管理体系cybersecuritymanagementsystem

网络安全管理体系cybersecuritymanagementsystem

一种基于风险的系统方法，包括组织流程、责任和治理，以处理与车辆网络威胁相关的风险并保

护车辆免受网络攻击。

[来源：GB/Txxxxx智能网联汽车术语和定义]

3.2

开发阶段developmentphase

车型获得批准之前的时期。

3.3

生产阶段productionphase

车型生产持续的时期。

3.4

后生产阶段post-productionphase

从车型不再生产，直至该车型的所有车辆使用寿命结束的时期。在这一阶段，该车型的车辆仍可

使用，但不再继续生产，当该车型不再有可使用的车辆时，此阶段结束。

3.5

风险risk

车辆信息安全不确定性的影响，可用攻击可行性和影响表示。

3.6

风险评估riskassessment

发现、识别和描述风险，理解风险的性质以及确定风险级别，并将风险分析的结果与风险标准进

行比较，以确定风险是否可接受。

1

3.7

威胁threat

可能导致系统、组织或个人受到伤害的意外事件的潜在原因。

3.8

漏洞vulnerability

在资产或缓解措施中，可被一个