信息化觀察網(wǎng)

本文來自微信公眾號“安全學(xué)習(xí)那些事兒”。

2024年7月24日，北京市通信管理局、北京市經(jīng)濟(jì)和信息化局關(guān)于印發(fā)《北京車聯(lián)網(wǎng)安全筑基工作方案》的通知。全文如下：

北京車聯(lián)網(wǎng)安全筑基工作方案

為全面提升本市車聯(lián)網(wǎng)安全水平，筑牢車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防線，護(hù)航新型工業(yè)化和新時(shí)代汽車強(qiáng)國建設(shè)，結(jié)合本市車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展和安全防護(hù)現(xiàn)狀，北京市通信管理局、北京市經(jīng)濟(jì)和信息化局聯(lián)合開展車聯(lián)網(wǎng)安全筑基行動。現(xiàn)將有關(guān)事項(xiàng)通知如下：

一、行動目標(biāo)

以習(xí)近平新時(shí)代中國特色社會主義思想為指導(dǎo)，深入貫徹黨的二十大精神，統(tǒng)籌發(fā)展與安全，堅(jiān)持問題導(dǎo)向、目標(biāo)導(dǎo)向，構(gòu)建車聯(lián)網(wǎng)網(wǎng)絡(luò)安全安全保障體系，扎實(shí)高效推進(jìn)車聯(lián)網(wǎng)安全管理制度機(jī)制建設(shè)，開展網(wǎng)絡(luò)安全威脅檢測和通報(bào)處置，提升監(jiān)管效能，更好推動本市車聯(lián)網(wǎng)企業(yè)落實(shí)安全主體責(zé)任，以網(wǎng)絡(luò)安全、數(shù)據(jù)安全護(hù)航北京車聯(lián)網(wǎng)產(chǎn)業(yè)高質(zhì)量發(fā)展。

二、組織方式

北京市通信管理局、北京市經(jīng)濟(jì)和信息化局統(tǒng)籌推進(jìn)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理工作，指導(dǎo)督促北京地區(qū)車聯(lián)網(wǎng)企業(yè)落實(shí)落細(xì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全各項(xiàng)管理要求;結(jié)合工作需求，開展網(wǎng)絡(luò)和數(shù)據(jù)安全政策宣貫及標(biāo)準(zhǔn)培訓(xùn)，幫助企業(yè)完成風(fēng)險(xiǎn)排查、威脅治理和問題整改等工作。車聯(lián)網(wǎng)企業(yè)應(yīng)按照本通知要求，結(jié)合企業(yè)實(shí)際情況，抓好工作落實(shí)。

本行動所指“車聯(lián)網(wǎng)企業(yè)”為在本市生產(chǎn)、銷售智能網(wǎng)聯(lián)汽車產(chǎn)品的生產(chǎn)企業(yè)(含智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)、具有智能網(wǎng)聯(lián)功能的車載終端軟硬件生產(chǎn)企業(yè))，在本市運(yùn)營車聯(lián)網(wǎng)相關(guān)平臺的服務(wù)企業(yè)(含車聯(lián)網(wǎng)服務(wù)平臺運(yùn)營商、車載應(yīng)用平臺運(yùn)營商、OTA升級服務(wù)提供商、導(dǎo)航系統(tǒng)服務(wù)提供商、電子地圖服務(wù)提供商、車載信息應(yīng)用服務(wù)提供商、車聯(lián)網(wǎng)卡服務(wù)提供商等)，本市車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和車路協(xié)同設(shè)施運(yùn)營企業(yè)以及自動駕駛功能產(chǎn)品和解決方案服務(wù)企業(yè)。

三、主要任務(wù)

(一)提升企業(yè)網(wǎng)絡(luò)安全水平

1.落實(shí)安全主體責(zé)任。各車聯(lián)網(wǎng)企業(yè)要加大資源保障力度，明確安全責(zé)任人和管理部門，建立網(wǎng)絡(luò)安全與信息化、研發(fā)、生產(chǎn)制造、合規(guī)等部門間的協(xié)調(diào)機(jī)制，構(gòu)建網(wǎng)絡(luò)安全防護(hù)、安全運(yùn)維、監(jiān)測預(yù)警、應(yīng)急響應(yīng)等管理制度和技術(shù)能力，落實(shí)網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)責(zé)任。

2.強(qiáng)化政策標(biāo)準(zhǔn)宣貫指導(dǎo)。北京市通信管理局、北京市經(jīng)濟(jì)和信息化局組織開展1-2場屬地政策宣貫或?qū)ｎ}培訓(xùn)，加強(qiáng)車聯(lián)網(wǎng)安全政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、技術(shù)應(yīng)用等宣貫解讀和實(shí)踐交流，覆蓋不少于30家企業(yè)，持續(xù)提升企業(yè)安全意識和能力水平。

(二)強(qiáng)化車聯(lián)網(wǎng)網(wǎng)絡(luò)安全分級防護(hù)

3.加快完成定級備案。各車聯(lián)網(wǎng)企業(yè)要按照《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級備案實(shí)施指南》等標(biāo)準(zhǔn)要求，依托全國車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)管理系統(tǒng)(https://www.iovsec.org.cn/#/)，對所屬車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)設(shè)施和系統(tǒng)開展網(wǎng)絡(luò)安全防護(hù)定級工作，及時(shí)申報(bào)、更新備案信息。北京市通信管理局會同北京市經(jīng)濟(jì)和信息化局對相關(guān)定級備案申請和更新進(jìn)行審核，并對通過審核的車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)設(shè)施和系統(tǒng)核發(fā)定級備案號。

4.實(shí)施分級防護(hù)。各車聯(lián)網(wǎng)企業(yè)在完成定級備案并確定級別后，按照《車聯(lián)網(wǎng)服務(wù)平臺網(wǎng)絡(luò)安全防護(hù)要求》等相關(guān)標(biāo)準(zhǔn)要求，采取相應(yīng)級別安全管理、安全技術(shù)等防護(hù)措施，加強(qiáng)智能網(wǎng)聯(lián)汽車、路側(cè)設(shè)備等平臺接入安全，主機(jī)、數(shù)據(jù)存儲系統(tǒng)等平臺設(shè)施安全，以及資源管理、服務(wù)訪問接口等平臺應(yīng)用安全防護(hù)能力，防范網(wǎng)絡(luò)侵入、數(shù)據(jù)竊取、遠(yuǎn)程控制等安全風(fēng)險(xiǎn)。

5.開展標(biāo)準(zhǔn)符合性評測。各車聯(lián)網(wǎng)企業(yè)按照車聯(lián)網(wǎng)安全相關(guān)評測、評估標(biāo)準(zhǔn)，自行或委托第三方機(jī)構(gòu)開展標(biāo)準(zhǔn)符合性評測和風(fēng)險(xiǎn)評估，并將結(jié)果上傳至全國車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)管理平臺。其中，定級為三級及三級以上的車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)設(shè)施和系統(tǒng)應(yīng)當(dāng)每年進(jìn)行一次符合性評測和安全風(fēng)險(xiǎn)評估，二級車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)設(shè)施和系統(tǒng)應(yīng)當(dāng)每兩年進(jìn)行一次符合性評測和安全風(fēng)險(xiǎn)評估。

6.加強(qiáng)車聯(lián)網(wǎng)卡實(shí)名登記管理。各道路機(jī)動車輛生產(chǎn)企業(yè)、基礎(chǔ)電信企業(yè)要嚴(yán)格落實(shí)《反電信網(wǎng)絡(luò)詐騙法》，按照車聯(lián)網(wǎng)卡實(shí)名登記工作要求，加強(qiáng)源頭治理，抓好工作部署。一是進(jìn)一步從嚴(yán)推進(jìn)新入網(wǎng)用戶實(shí)名登記，做好實(shí)名登記責(zé)任告知，全面準(zhǔn)確登記實(shí)名信息。二是加快推進(jìn)存量聯(lián)網(wǎng)車輛補(bǔ)登記，提供便捷補(bǔ)登記方式，對于自愿放棄車聯(lián)網(wǎng)功能的用戶，道路機(jī)動車輛生產(chǎn)企業(yè)應(yīng)與其簽訂責(zé)任告知書，在確保車輛安全、風(fēng)險(xiǎn)可控的前提下，原則上僅保留緊急呼叫、應(yīng)急救援等影響生命安全的功能。

(三)深化車聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理

7.開展威脅監(jiān)測預(yù)警管理。各車聯(lián)網(wǎng)企業(yè)要建立網(wǎng)絡(luò)安全監(jiān)測發(fā)現(xiàn)、分析預(yù)警等技術(shù)能力，對汽車產(chǎn)品、運(yùn)營平臺、生產(chǎn)制造產(chǎn)線等開展網(wǎng)絡(luò)安全相關(guān)監(jiān)測，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞、網(wǎng)絡(luò)安全事件或異常行為，并按照要求向有關(guān)部門報(bào)送車聯(lián)網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)等安全相關(guān)數(shù)據(jù)。

8.強(qiáng)化漏洞管理責(zé)任落實(shí)。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和具有智能網(wǎng)聯(lián)功能的車載終端軟硬件生產(chǎn)企業(yè)要落實(shí)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求，明確本企業(yè)漏洞發(fā)現(xiàn)、驗(yàn)證、分析、修補(bǔ)、報(bào)告等工作程序。對需要用戶采取軟件、固件升級等措施修補(bǔ)漏洞的，應(yīng)當(dāng)及時(shí)將漏洞風(fēng)險(xiǎn)及修補(bǔ)方式告知可能受影響的用戶，并提供必要技術(shù)支持。

9.健全安全威脅通報(bào)機(jī)制。北京市通信管理局建立車聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅通報(bào)機(jī)制，定期對本市車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)設(shè)施和系統(tǒng)等開展威脅檢測，并加強(qiáng)問題通報(bào)和監(jiān)督整改。各車聯(lián)網(wǎng)企業(yè)要加強(qiáng)在線升級服務(wù)(OTA)、車聯(lián)網(wǎng)應(yīng)用程序、車載信息交互系統(tǒng)等安全管理制度機(jī)制，在更新發(fā)布前自行或委托第三方機(jī)構(gòu)開展網(wǎng)絡(luò)安全檢測，并將相關(guān)檢測報(bào)告向北京市通信管理局進(jìn)行報(bào)備。

(四)推動企業(yè)數(shù)據(jù)安全保護(hù)

10.健全數(shù)據(jù)全生命周期安全管理制度。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)按照《數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》《工業(yè)和信息化部關(guān)于加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》《北京地區(qū)電信領(lǐng)域數(shù)據(jù)安全管理實(shí)施細(xì)則》等數(shù)據(jù)安全管理要求，健全完善本單位數(shù)據(jù)安全管理制度機(jī)制，結(jié)合具體業(yè)務(wù)場景，針對不同級別數(shù)據(jù)明確收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護(hù)要求和操作規(guī)程。

11.強(qiáng)化重要數(shù)據(jù)和個(gè)人用戶數(shù)據(jù)安全管理。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)每年定期開展業(yè)務(wù)數(shù)據(jù)分類分級梳理工作，記錄梳理范圍、過程、以及操作人員等，形成數(shù)據(jù)清單，單獨(dú)標(biāo)注個(gè)人用戶數(shù)據(jù)，并及時(shí)更新;按照電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識別標(biāo)準(zhǔn)識別重要數(shù)據(jù)和核心數(shù)據(jù)，形成重要數(shù)據(jù)目錄報(bào)北京市通信管理局備案。對不同類別級別數(shù)據(jù)配備差異化安全保障能力，開展數(shù)據(jù)分類分級保護(hù)，重點(diǎn)加強(qiáng)重要數(shù)據(jù)和個(gè)人用戶數(shù)據(jù)安全管理。

12.落實(shí)車聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評估。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)依據(jù)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施細(xì)則(試行)》《北京地區(qū)電信領(lǐng)域數(shù)據(jù)安全管理實(shí)施細(xì)則》等相關(guān)管理規(guī)定及行業(yè)標(biāo)準(zhǔn)要求，自行或委托第三方評估機(jī)構(gòu)每年對其數(shù)據(jù)處理活動開展一次數(shù)據(jù)安全風(fēng)險(xiǎn)評估，及時(shí)發(fā)現(xiàn)、整改風(fēng)險(xiǎn)問題，并于每年9月30日前向北京市通信管理局報(bào)送風(fēng)險(xiǎn)評估報(bào)告。

13.加強(qiáng)合作方數(shù)據(jù)安全管理。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)加強(qiáng)合作方數(shù)據(jù)安全管理，建立合作方管理臺賬，記錄合作方名稱、共享數(shù)據(jù)的類別、級別、規(guī)模、用途、提供方式、安全保障措施等信息并及時(shí)更新。結(jié)合具體業(yè)務(wù)場景通過簽訂數(shù)據(jù)安全合同協(xié)議等方式，明確所涉數(shù)據(jù)情況及雙方數(shù)據(jù)安全管理責(zé)任劃分、保障措施、違約責(zé)任等;涉及數(shù)據(jù)提供、委托處理等合作的，應(yīng)要求合作方提供所在地省級通信管理局審核通過的數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告或?qū)徍送ㄟ^的相關(guān)證明材料，涉及重要數(shù)據(jù)的，應(yīng)當(dāng)對合作方數(shù)據(jù)安全保護(hù)能力開展核驗(yàn)，保障其數(shù)據(jù)安全履約能力。

14.提升數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測及應(yīng)急處置能力。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)配備數(shù)據(jù)異常流動分析、違規(guī)跨境傳輸監(jiān)測、安全事件追蹤溯源等風(fēng)險(xiǎn)監(jiān)測技術(shù)手段，及時(shí)發(fā)現(xiàn)數(shù)據(jù)泄露、惡意篡改、未授權(quán)訪問、重要數(shù)據(jù)非法披露、敏感個(gè)人信息非法公開等安全風(fēng)險(xiǎn)并進(jìn)行攔截處置;依據(jù)行業(yè)管理要求制定數(shù)據(jù)安全應(yīng)急預(yù)案，差異化明確各類各級數(shù)據(jù)安全事件響應(yīng)流程、職責(zé)分工、處置措施等，每年組織開展一次應(yīng)急演練，發(fā)生數(shù)據(jù)安全事件后根據(jù)應(yīng)急預(yù)案及時(shí)開展事件響應(yīng)。

15.加強(qiáng)輔助和自動駕駛算法安全風(fēng)險(xiǎn)檢測評估及技術(shù)保障能力建設(shè)。各車聯(lián)網(wǎng)企業(yè)應(yīng)在擁有輔助和自動駕駛功能的汽車出廠前，對輔助和自動駕駛算法的魯棒性、可控性、可解釋性等風(fēng)險(xiǎn)進(jìn)行安全評估，針對模型竊取攻擊、投毒攻擊、對抗樣本攻擊等采取有效的技術(shù)手段保障算法安全。此外，車聯(lián)網(wǎng)企業(yè)應(yīng)具備完善的算法安全管理制度，包括權(quán)限管理、應(yīng)急處置、人工干預(yù)等。

16.加強(qiáng)數(shù)據(jù)安全人才隊(duì)伍建設(shè)。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)健全數(shù)據(jù)人才培養(yǎng)體系，明確首席數(shù)據(jù)官、管理師、評估師、工程師等數(shù)據(jù)安全崗位設(shè)置、能力要求及職責(zé)劃分;加強(qiáng)數(shù)據(jù)安全培訓(xùn)及考核，涵蓋數(shù)據(jù)安全管理崗位人員以及業(yè)務(wù)運(yùn)營、系統(tǒng)運(yùn)維、客戶服務(wù)等涉及數(shù)據(jù)處理的其他崗位人員，全面提升人員數(shù)據(jù)安全保護(hù)意識及技能水平。鼓勵(lì)參加本地區(qū)、本行業(yè)數(shù)據(jù)安全人才培養(yǎng)計(jì)劃、人才選拔競賽等活動，暢通數(shù)據(jù)安全人才選拔應(yīng)用渠道，為行業(yè)供給優(yōu)秀數(shù)據(jù)安全人才。

(五)促進(jìn)產(chǎn)業(yè)創(chuàng)新發(fā)展

17.推動技術(shù)產(chǎn)品創(chuàng)新應(yīng)用。鼓勵(lì)汽車、通信、安全等領(lǐng)域的重點(diǎn)企業(yè)和科研機(jī)構(gòu)，面向自動駕駛、車路協(xié)同、智慧交通等新場景，搭建研發(fā)、測試、適配、應(yīng)用集中化環(huán)境，推進(jìn)安全技術(shù)產(chǎn)品的中試熟化和工程化應(yīng)用。北京市通信管理局匯聚車聯(lián)網(wǎng)安全創(chuàng)新產(chǎn)品和解決方案，打造車聯(lián)網(wǎng)安全資源池，支持企業(yè)申報(bào)網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范。

18.探索開展自動駕駛功能網(wǎng)絡(luò)安全管理。按照智能網(wǎng)聯(lián)汽車準(zhǔn)入和上路通行試點(diǎn)等工作，結(jié)合自動駕駛領(lǐng)域的發(fā)展實(shí)際，探索開展智能網(wǎng)聯(lián)汽車搭載的自動駕駛功能的網(wǎng)絡(luò)安全管理。對搭載自動駕駛功能的智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和使用主體，以及自動駕駛功能產(chǎn)品提供商和解決方案提供商試點(diǎn)開展專項(xiàng)安全評估。

四、保障措施

(一)推動責(zé)任落實(shí)。各車聯(lián)網(wǎng)企業(yè)要高度重視車聯(lián)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)安全工作，加大安全投入、加強(qiáng)組織領(lǐng)導(dǎo)、明確責(zé)任分工、細(xì)化方案措施，推動車聯(lián)網(wǎng)安全技術(shù)、產(chǎn)品和服務(wù)部署應(yīng)用，切實(shí)落實(shí)相關(guān)工作要求。

(二)加強(qiáng)日常督查。北京市通信管理局會同北京市經(jīng)濟(jì)和信息化局建立專項(xiàng)行動落實(shí)情況督查和通報(bào)機(jī)制，定期對任務(wù)推進(jìn)情況進(jìn)行進(jìn)度核查，結(jié)合實(shí)際對工作成效突出的單位予以表揚(yáng)，對責(zé)任落實(shí)不到位的單位予以通報(bào)。

(三)強(qiáng)化創(chuàng)新賦能。依托全國車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)管理平臺等技術(shù)手段，完善網(wǎng)絡(luò)安全制度機(jī)制和管理模式。依托車聯(lián)網(wǎng)安全集智聯(lián)盟等聯(lián)盟協(xié)會，協(xié)同推進(jìn)車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)研制、技術(shù)創(chuàng)新、成果轉(zhuǎn)化和產(chǎn)業(yè)合作。