2022-12-14实施 2022-12-13发布CCST40ICS43.020 T/GHDQ113-2022团 体 标 准 吉林省汽车电子协会 发布 发布车辆信息安全风险分析和风险管理 技术要求 Vehicle technical requirements forinformation security risksanalysis andrisksmanagement GHDQ 全国团体标准信息平台 GHDQ全国团体标准信息平台 T/GHDQ113-2022 I目次 前言................................................................................ III 引言.................................................................................. V 1范围................................................................................ 1 2规范性引用文件 ...................................................................... 1 3术语和定义 .......................................................................... 1 4缩略语.............................................................................. 2 5车辆信息安全风险分析 ................................................................ 3 5.1概述.......................................................................... 3 5.2风险分析关键要素 .............................................................. 3 5.3车辆信息安全风险分析 .......................................................... 3 6车辆信息安全风险管理 ................................................................ 5 6.1信息安全管理体系总体要求 ...................................................... 5 6.2车辆信息安全风险管理 .......................................................... 5 附录A（资料性）车辆外连信息安全风险类型、攻击方式（风险） 车辆信息安全风险管理 ................ 8 GHDQ 全国团体标准信息平台 GHDQ全国团体标准信息平台 T/GHDQ113-2022 III前  言 本文件按照 GB/T1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由 中国第一汽车集团有限公司智能网联开发院、 长春吉大正元信息技术股份有限公司 联合提 出。 本文件由吉林省汽车电子协会归口。 本文件由吉林省汽车电子协会组织实施。 本文件主要起草单位： 沙龙机甲科技有限公司、一汽丰田汽车股份有限公司、中国软件评测中心 、 中国信息通信研究院 云计算与大数据研究所 。 本文件主要起草人： 王思涵、王铱、李天池、李天阳、李溳、杨陆峰。 本文件参与起草单位 ：中国第一汽车 集团有限公司智能网联开发院 、智车信安 （苏州）信息安全科 技有限公司 、吉林大学汽车仿真与控制国家重点实验室 、同济大学电子与信息工程学院 、一汽奔腾轿车 有限公司 、上汽通用五菱汽车股份有限公司 、毕马威企业咨询 （中国）有限公司 、荣科科技股份有限公 司、联通智网科技股份有限公司 、北京车和家科技有限公司 、长城汽车股份有限公司 、中国移动 （上海） 产业研究院。 本文件参与起草人 ：刘毅、李木犀、路海峰、李杰、郭露露、雷凯、张亮、黎飞、陈炼松、尹天翼、 王硕、程长高、刘书勇、董威、张小东、张德玮。 本文件审查人 ：孙航（中国汽车技术研究中心有限公司 ）、孟令军（东软集团股份有限公司 ）、刘 健皓（北京百度智行科技有限公司 ）、王建（华为技术有限公司 ）、孔晓霜（中国第一汽车 集团有限公 司创新技术研究院） 。 本文件为首次发布。 GHDQ全国团体标准信息平台 GHDQ全国团体标准信息平台 T/GHDQ113-2022 V引  言 近年来,随着汽车产业智能化 、网联化、数字化蓬勃发展 ，汽车行业面临巨大的产业变革和产品变 革，传统的车辆通信几乎处于信息孤岛状态，而随着 5G通信技术、大数据、云技术和人工智能技术等 新一代信息技术飞速发展 ，逐步深度应用在车辆的智能座舱 、车载娱乐 、自动驾驶等场景中 ，使得车辆 不再处于信息孤岛的状态中 ，而将成为万物互联的重要节点 ，这使得车辆将重新面对信息安全技术风险 ， 车辆的信息安全技术需求彻底改变，并伴随着汽车产业发展不断改变和增长。 面对当下车辆信息安全新挑战 ,行业有必要编制一个基础性车辆信息安全技术风险整体管理的规 范化要求 ,本文件定义车辆信息安全技术管理的分类和主要对象、面临信息安全技术风险以及对应的信 息安全技术管理措施。有望通过本文件有效发挥组织在车辆信息安全技术管控中的作用。 GHDQ 全国团体标准信息平台 GHDQ全国团体标准信息平台 T/GHDQ113-2022 1车辆信息安全风险分析和风险管理技术要求 1范围 本文件规定了车辆信息安全风险分析的方法以及车辆风险管理技术要求。 本文件适用于指导整车厂以及供应链上的各级组织机构开展车辆信息安全技术风险分析及信息安 全技术管理活动，在从事车辆汽车电子信息系统安全生命周期管理上规避信息安全技术风险。 本文件范围包含车辆自身以及车辆通信的信息安全风险评估和管理。 而与车辆相关或互连的信息系 统与应用平台不在本文件范围内 ，同样因硬件安全 、功能安全和预期功能安全产生的信息安全风险也不 在本文件范围内。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件 ，其最新版本 （包括所有的修改单 ）适用于本 文件。 GB/T25056-2018 信息安全技术 证书认证系统密码及相关安全技术规范 GB/T31509-2015 信息安全技术 信息安全风险评估实施指南 GB/T38648—2020信息安全技术 蓝牙使用安全指南 T/GHDQ79-2021 智能网联汽车密码模块安全技术要求 T/GHDQ81-2021 智能网联汽车密钥管理系统安全技术要求 T/GHDQ83-2021 智能网联汽车签名验签服务器技术要求 T/GHDQ85-2021 智能网联汽车证书认证系统安全技术要求 3术语和定义 GB/T25056-2018 、GB/T31509-2015 界定的以及下列术语和定义适用于本文件。 3.1 智能网联汽车 Intelligent Connected Vehicles,ICV 是指具备环境感知、智能决策和自动控制，或与外界信息交互，乃至协同控制功能的汽车。 3.2 风险评估 RiskAssessment 是对信息资产 （即某事件或事物所具有的信息集 ）所面临的威胁 、存在的弱点 、造成的影响 ，以及 三者综合作用所带来风险的可能性的评估。 3.3 信息系统安全 Information SystemSecurity GHDQ 全国团体标准信息平台 T/GHDQ113-2022 2信息系统及其所存储 、传输、处理的信息的保密性 、完整性、可用性的表征 ，一般包括保障计算机 及其相关和配套的设备、设施的安全，运行环境安全、保障信息的安全。 3.4 威胁Threat 对资产或组织可能导致负面结果的一个事件的潜在源。 3.5 威胁信息 ThreatIntelligence 一种基于证据的知识 ，用于描述现有或可能出现的威胁 ，从而实现对威胁的响应和预防 ，包括上下 文、攻击机制、攻击指标、可能影响等信息。 3.6 网络安全漏洞 Cybersecurity Vulnerability 网络产品或系统在需求分析 、设计、实现、配置、测试、运行、维护等过程中 ，无意或有意产生的 、 有可能被利用的缺陷或薄弱点 。这些缺陷或薄弱点以不同形式存在于网络产品或系统的各个层次和环节 之中，一旦被恶意主体所利用，就会对网络产品或系统的安全造成损害，从而影响其正常运行。 4缩略语 下列缩略语适用于本文件： App:手机软件（ MobileApplication ）； DDOS:分布式拒绝服务（ Distributed DenialofService）； GPS:全球定位系统 (Global Positioning System)； IVI:车载信息娱乐系统