汽车数据共享服务安全要求与测试方法.docxVIP

PAGEII

ICS43.040

T35

团体标准

T/JSSAEXXXXX—20XX

汽车数据共享服务安全要求与测试方法

SecurityRequirementsandTestingMethodsforAutomotiveDataSharingServices

（征求意见稿）

xxxx-xx-xx发布xxxx-xx-xx实施

江苏省汽车工程学会发布

T/JSSAEXXXXX—XXXX

目次

TOC\o1-3\h\z\u15563前??言 II

97641范围 1

39272规范性引用文件 1

115103术语和定义 1

116834缩略语 1

121435概述 1

115836共享服务平台安全要求 2

159096.1通用要求 2

288406.2服务主体身份认证 2

237886.3访问控制 2

129046.4安全审计 2

128147共享过程安全要求 2

15317.1通信安全 3

225367.2数据安全 3

258788测试方法 3

118368.1服务平台安全测试方法 3

298718.2共享过程安全测试 3

10020参考文献 5

前??言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由江苏省汽车工程学会提出。

本文件起草单位：中国汽车工程研究院股份有限公司、江苏大学。

本文件主要起草人：。

本文件为首次发布。

T/JSSAEXXXXX—XXXX

PAGE4

汽车数据共享服务安全要求与测试方法

范围

本文件规定了汽车数据共享服务过程中共享服务平台的安全技术要求与测试方法。

本文件适用于汽车数据共享服务方（即汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等开展汽车数据处理活动的组织）安全合规开展汽车数据共享服务活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2022信息安全技术术语

GB/T35273—2020信息安全技术个人信息安全规范

GB/T41871—2022信息安全技术汽车数据处理安全要求

T/CCSA441—2023车联网服务平台网络安全防护要求

3术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。

3.1汽车数据vehicledata

汽车设计、生产、销售、使用、运维等过程中涉及的个人信息、道路环境数据和重要数据。

3.2汽车数据共享服务平台serviceplatformofvehicledatasharing

为实现汽车数据价值释放为目标的可信共享服务基础设施。

4缩略语

下列缩略语适用于本文件。

VIN:汽车唯一识别码（VehicleIdentificationNumber）

TLS：安全传输层协议（TransportLayerSecurity）

5概述

汽车数据共享如图1所示，包括数据提供者、数据使用者、共享服务平台三部分。

数据共享架构图

6共享服务平台安全要求

6.1通用要求

服务平台应满足T/CCSA441—2023中的第三级安全防护相关要求。

6.2服务主体身份认证

身份认证要求如下：

主体合法性要求：具备独立法人资格及相应服务资质；

身份真实性要求：个人：居民身份证（含临时身份证）、户口簿、护照等法定证件；单位需提供营业执照、组织机构代码证等，并附加法定代表人授权书；

6.3访问控制

访问控制要求如下：

应对服务平台中的共享数据设置访问控制机制，防止对共享数据的非授权访问；

应对服务平台中的共享数据的操作设置权限管理，防止对共享数据的非授权操作；

应对服务平台特权账号和特权会话进行安全管控；

6.4安全审计

安全审计要求如下：

应对服务平台中共享数据的各种操作进行审计，如共享数据的上传、修改、下载、复制、删除等；

应对服务平台中的连接和传输过程进行审计，如审计共享服务平台与共享应用的连接是否通过认证；

应对共享过程中发生的错误、故障、报警、失败、安全事件日志进行审计；

应对共享数据的内