工业和信息化部关于加强车联网网络安全和数据安全工作的通知工信部网安号各省自治区直辖市及新疆生产建设兵团工业和信息化主管部门各省自治区直辖市通信管理局中国电信集团有限公司中国移动通信集团有限公司中国联合网络通信集团有限公司有关智能网联汽车生产企业车联网服务平台运营企业有关标准化技术组织车联网是新一代网络通信技术与汽车电子道路交通运输等领域深度融合的新兴产业形态智能网联汽车是搭载先进的车载传感器控制器执行器等装置并融合现代通信与网络技术实现车与车路人云端等智能信息交换共享具备复杂环境感知智能决策协同控制等功能可实现安全高效舒适节能行驶的新一代汽车在产业快速发展的同时车联网安全风险日益凸显车联网安全保障体系亟须健全完善为推进实施新能源汽车产业发展规划年加强车联网网络安全和数据安全管理工作现将有关事项通知如下一网络安全和数据安全基本要求一落实安全主体责任各相关企业要建立网络安全和数据安全管理制度明确负责人和管理机构落实网络安全和数据安全保护责任强化企业内部监督管理加大资源保障力度及时发现并解决安全隐患加强网络安全和数据安全宣传教育和培训二全面加强安全保护各相关企业要采取管理和技术措施按照车联网网络安全和数据安全相关标准要求加强汽车网络平台数据等安全保护监测防范及时处置网络安全风险和威胁确保数据处于有效保护和合法利用状态保障车联网安全稳定运行二加强智能网联汽车安全防护三保障车辆网络安全智能网联汽车生产企业要加强整车网络安全架构设计加强车内系统通信安全保障强化安全认证分域隔离访问控制等措施防范伪装重放注入拒绝服务等攻击加强车载信息交互系统汽车网关电子控制单元等关键设备和部件安全防护和安全检测加强诊断接口通用串行总线端口充电端口等的访问和权限管理四落实安全漏洞管理责任智能网联汽车生产企业要落实网络产品安全漏洞管理规定有关要求明确本企业漏洞发现验证分析修补报告等工作程序发现或获知汽车产品存在漏洞后应立即采取补救措施并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息对需要用户采取软件固件升级等措施修补漏洞的应当及时将漏洞风险及修补方式告知可能受影响的用户并提供必要技术支持三加强车联网网络安全防护五加强车联网网络设施和网络系统安全防护能力各相关企业要严格落实网络安全分级防护要求加强网络设施和网络系统资产管理合理划分网络安全域加强访问控制管理做好网络边界安全防护采取防范木马病毒和网络攻击网络侵入等危害车联网安全行为的技术措施自行或者委托检测机构定期开展网络安全符合性评测和风险评估及时消除风险隐患六保障车联网通信安全各相关企业要建立车联网身份认证和安全信任机制强化车载通信设备路侧通信设备服务平台等安全通信能力采取身份认证加密传输等必要的技术措施防范通信信息伪造数据篡改重放攻击等安全风险保障车与车车与路车与云车与设备等场景通信安全鼓励相关企业机构接入工业和信息化部车联网安全信任根管理平台协同推动跨车型跨设施跨企业互联互认互通七开展车联网安全监测预警国家加强车联网网络安全监测平台建设开展网络安全威胁事件的监测预警通报和安全保障服务各相关企业要建立网络安全监测预警机制和技术手段对智能网联汽车车联网服务平台及联网系统开展网络安全相关监测及时发现网络安全事件或异常行为并按照规定留存相关的网络日志不少于个月八做好车联网安全应急处置智能网联汽车生产企业车联网服务平台运营企业要建立网络安全应急响应机制制定网络安全事件应急预案定期开展应急演练及时处置安全威胁网络攻击网络侵入等网络安全风险在发生危害网络安全的事件时立即启动应急预案采取相应的补救措施并按照公共互联网网络安全突发事件应急预案等规定向有关主管部门报告九做好车联网网络安全防护定级备案智能网联汽车生产企业车联网服务平台运营企业要按照车联网网络安全防护相关标准对所属网络设施和系统开展网络安全防护定级工作并向所在省区市通信管理局备案对新建网络设施和系统应当在规划设计阶段确定网络安全防护等级各省区市通信管理局会同工业和信息化主管部门做好定级备案审核工作四加强车联网服务平台安全防护十加强平台网络安全管理车联网服务平台运营企业要采取必要的安全技术措施加强智能网联汽车路侧设备等平台接入安全主机数据存储系统等平台设施安全以及资源管理服务访问接口等平台应用安全防护能力防范网络侵入数据窃取远程控制等安全风险涉及在线数据处理与交易处理信息服务业务等电信业务的应依法取得电信业务经营许可认定为关键信息基础设施的要落实关键信息基础设施安全保护条例有关规定并按照国家有关标准使用商用密码进行保护自行或者委托商用密码检测机构开展商用密码应用安全性评估十一加强在线升级服务安全和漏洞检测评估智能网联汽车生产企业要建立在线升级服务软件包安全验证机制采用安全可信的软件开展在线升级软件包网络安全检测及时发现产品安全漏洞加强在线升级服务安全校验能力采取身份认证加密传输等技术措施保障传输环境和执行环境的网络安全加强在线升级服务全过程的网络安全监测和应急响应定期评估网络安全状况防范软件被伪造篡改损毁泄露和病毒感染等网络安全风险十二强化应用程序安全管理智能网联汽车生产企业车联网服务平台运营企业要建立车联网应用程序开发上线使用升级等安全管理制度提升应用程序身份鉴别通信安全数据保护等安全能力加强车联网应用程序安全检测及时处置安全风险防范恶意应用程序攻击和传播五加强数据安全保护十三加强数据分类分级管理按照谁主管谁负责谁运营谁负责的原则智能网联汽车生产企业车联网服务平台运营企业要建立数据管理台账实施数据分类分级管理加强个人信息与重要数据保护定期开展数据安全风险评估强化隐患排查整改并向所在省区市通信管理局工业和信息化主管部门报备所在省区市通信管理局工业和信息化主管部门要对企业履行数据安全保护义务进行监督检查十四提升数据安全技术保障能力智能网联汽车生产企业车联网服务平台运营企业要采取合法正当方式收集数据针对数据全生命周期采取有效技术保护措施防范数据泄露毁损丢失篡改误用滥用等风险各相关企业要强化数据安全监测预警和应急处置能力建设提升异常流动分析违规跨境传输监测安全事件追踪溯源等水平及时处置数据安全事件向所在省区市通信管理局工业和信息化主管部门报告较大及以上数据安全事件并配合开展相关监督检查提供必要技术支持十五规范数据开发利用和共享使用智能网联汽车生产企业车联网服务平台运营企业要合理开发利用数据资源防范在使用自动化决策技术处理数据时侵犯用户隐私权和知情权明确数据共享和开发利用的安全管理和责任要求对数据合作方数据安全保护能力进行审核评估对数据共享使用情况进行监督管理十六强化数据出境安全管理智能网联汽车生产企业车联网服务平台运营企业需向境外提供在中华人民共和国境内收集和产生的重要数据的应当依法依规进行数据出境安全评估并向所在省区市通信管理局工业和信息化主管部门报备各省区市通信管理局会同工业和信息化主管部门做好数据出境备案安全评估等工作六健全安全标准体系十七加快车联网安全标准建设加快编制车联网网络安全和数据安全标准体系建设指南全国通信标准化技术委员会全国汽车标准化技术委员会等要加快组织制定车联网防护定级服务平台防护汽车漏洞分类分级通信交互认证数据分类分级事件应急响应等标准规范及相关检测评估认证标准鼓励各相关企业社会团体制定高于国家标准或行业标准相关技术要求的企业标准团体标准特此通知工业和信息化部年月日