T_SHV2X 3-2025 车联网服务平台风险评估实施指南.docx

ICS33.040.40CCSM19

团体标准

T/SHV2X3—2025

车联网服务平台风险评估实施指南

ImplementationguidelinestoriskassessmentofserviceplatformofInternetofvehicles

2025-01-15发布2025-01-15实施

上海市车联网协会发布

I

T/SHV2X3—2025

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4概述 2

4.1评估对象 2

4.2评估原则 2

4.3评估过程和方法 2

5风险评估实施 3

5.1风险评估准备 3

5.2风险要素识别 6

5.3风险分析 12

附录A（规范性）资产赋值计算 16

附录B（资料性）风险评估列表 17

参考文献 20

II

T/SHV2X3—2025

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由上海市车联网协会提出并归口。

本文件起草单位：上研智联智能出行科技（上海）有限公司、上海计算机软件技术开发中心、上海银基科技股份有限公司、润成安全技术有限公司、工业互联网创新中心（上海）有限公司、上海蔚来汽车有限公司、零束科技有限公司、上汽大众汽车有限公司、福特汽车（中国）有限公司、沃尔沃汽车技术(上海)有限公司、艾普拉斯（上海）质量检测有限公司、上海优咔网络科技有限公司。

本文件主要起草人：杨伟利、潘政伟、宋晓航、毛争艳、何旺君、李爽、严超、刘海、曹远晶、张孟、周悦、杨晓光、王菲、王艳艳，杜同祯、杨清羽、李泽惠、薛超、杨靖、王寨纳。

1

T/SHV2X3—2025

车联网服务平台风险评估实施指南

1范围

本文件描述了车联网服务平台风险评估实施的过程和方法。

本文件适用于指导智能网联汽车生产企业、车联网服务平台运营企业等车联网服务平台相关企业以及评测机构对车联网服务平台风险评估的实施，也可供相关主管部门参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

T/CCSA339—2021车联网网络安全防护定级备案实施指南T/CCSA441—2023车联网服务平台网络安全防护要求

3术语和定义

下列术语和定义适用于本文件。3.1.

车联网Internetofvehicle

通过新一代网络通信技术实现与汽车、电子、道路交通运输等领域深度融合，实现车、路、人、平台等之间的全方位互联和信息交互，促进车辆行驶安全、交通效率服务以及支撑自动驾驶演进的复杂网络及相关系统。

[来源：T/CCSA339—2021,3.1]3.2

车联网服务平台serviceplatformofInternetofvehicle

面向车联网业务应用，负责车辆及相关设备信息的接入、汇聚、计算、监控或管理等功能（可负责一种或多种功能），提供信息管理或服务等的信息系统/平台，例如车辆运营管理、信息娱乐、在线升级、远程诊断、远程控制、车联网卡管理等应用服务或管理功能。

[来源：T/CCSA441—2023,3.1]3.3

企业敏感数据organizationsensitivedata

2

T/SHV2X3—2025

智能网联汽车生产企业、车联网服务平台运营企业业务过程中涉及的，一旦被泄露或篡改、损毁，可能直接危害经济运行、社会稳定、公共健康和安全、个人权益，或对企业合法权益、经济利益造成严重危害的数据。

4概述

4.1评估对象

本文件给出了车联网结构层次的一般描述，并对应到车联网服务平台的类型上，如图1所示。

图1车联网层次结构模型及对应的车联网服务平台类型

本文件的风险评估对象为图1中各类型车联网服务平台安全运行所涉及的必要要素，评估内容包括组成车联网服务平台的信息系统所涉及的物理环境、网络、系统、应用及管理等层面所面临的安全风险。

4.2评估原则

对各类车联网服务平台实施风险评估遵循以下原则：

a)关键业务原则：将被评估方的关键业务作为评估工作的核心，将涉及这