强制性国家标准《汽车整车信息安全技术要求》-送审稿.docx

ICS43.020

CCST40

中华人民共和国国家标准

GBXXXXX—XXXX

汽车整车信息安全技术要求

Technicalrequirementsforvehiclecybersecurity

(送审稿)

XXXX-XX-XX

发布

XXXX-XX-XX

实施

发

发布

国家标准化管理委员会

I

GBXXXXX—XXXX

目次

前言 I

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5汽车信息安全管理体系要求 2

6车辆信息安全一般要求 3

7车辆信息安全技术要求 4

8试验方法 6

9同一型式判定 14

10实施过渡期 15

GBXXXXX—XXXX

I

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件技术内容参考了联合国技术法规UNR155《关于批准车辆信息安全和信息安全管理体系的统一规定》。

本文件由中华人民共和国工业和信息化部提出并归口。

1

汽车整车信息安全技术要求

1范围

本文件规定了汽车信息安全管理体系要求、信息安全一般要求、信息安全技术要求、试验方法及同一型式判定。

本文件适用于M类、N类及至少装有1个电子控制单元的0类车辆。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/TXXX汽车数据通用要求

GBXXX汽车软件升级通用技术要求

3术语和定义

GB/T40861、GB/TXXX智能网联汽车术语和定义、GBXXX汽车软件升级通用技术要求界定的以及下列术语和定义适用于本文件。

3.1

汽车信息安全vehiclecybersecurity

汽车的电子电气系统、组件和功能被保护，使其资产不受威胁的状态。

[来源：GB/T40861-2021,3.1]

3.2

汽车信息安全管理体系cybersecuritymanagementsystem;CSMS

一种基于风险的系统方法，包括组织流程、责任和治理，以处理与车辆网络威胁相关的风险并保护车辆免受网络攻击。

[来源：GB/TXXX智能网联汽车术语和定义，3.11]

3.3

风险risk

车辆信息安全不确定性的影响。

注：风险可用攻击可行性和影响表示。

3.4

风险评估riskassessment

发现、识别和描述风险，理解风险的性质以及确定风险级别，并将风险分析的结果与风险标准进行比较，以确定风险是否可接受的过程。

2

3.5

威胁threat

可能导致系统、组织或个人受到损害的意外事件的潜在原因。

3.6

漏洞vulnerability

在资产或缓解措施中，可被一个或多个威胁利用的弱点。

3.7

车载软件升级系统on-boardsoftwareupdatesystem

安装在车端并具备直接接收、分发来自车外的升级包等用于实现软件升级功能的软件和硬件。[来源：GBXXX汽车软件升级通用技术要求，3.12]

3.8

在线升级over-the-airupdate;OTAupdate

通过无线方式而不是使用电缆或其他本地连接方式将升级包传输到车辆的软件升级。注1:“在线升级”也称“远程升级”。

注2:“本地连接方式”一般指通过车载诊断(OBD)接口、通用串行总线(USB)接口等进行的物理连接方式。[来源：GBXXX汽车软件升级通用技术要求，3.3]

3.9

离线升级offlineupdate

除在线升级以外的软件升级。

[来源：GBXXX汽车软件升级通用技术要求，3.13]

3.10

敏感个人信息sensitivepersonalinformation

一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

4缩略语

下列缩略语适用于本文件。

CAN:控制器局域网