行业动态
北京市通信管理局 北京市经济和信息化局关于印发《北京车联网安全筑基工作方案》的通知
关于印发《北京车联网安全筑基工作方案》的通知 京信网安发〔2024〕50号
各相关单位:
现将《北京车联网安全筑基工作方案》印发,请各单位结合实际,抓好贯彻落实。
北京市通信管理局
北京市经济和信息化局
2024年6月19日
(联系人:北京市通信管理局 贾媛媛 010-63396626;北京市经济和信息化局 杨柏林 010-55520978)
北京车联网安全筑基工作方案
为全面提升本市车联网安全水平,筑牢车联网网络安全防线,护航新型工业化和新时代汽车强国建设,结合本市车联网产业发展和安全防护现状,北京市通信管理局、北京市经济和信息化局联合开展车联网安全筑基行动。现将有关事项通知如下:
一、行动目标
以习近平新时代中国特色社会主义思想为指导,深入贯彻党的二十大精神,统筹发展与安全,坚持问题导向、目标导向,构建车联网网络安全安全保障体系,扎实高效推进车联网安全管理制度机制建设,开展网络安全威胁检测和通报处置,提升监管效能,更好推动本市车联网企业落实安全主体责任,以网络安全、数据安全护航北京车联网产业高质量发展。
二、组织方式
北京市通信管理局、北京市经济和信息化局统筹推进车联网网络安全和数据安全管理工作,指导督促北京地区车联网企业落实落细网络安全、数据安全各项管理要求;结合工作需求,开展网络和数据安全政策宣贯及标准培训,帮助企业完成风险排查、威胁治理和问题整改等工作。车联网企业应按照本通知要求,结合企业实际情况,抓好工作落实。
本行动所指“车联网企业”为在本市生产、销售智能网联汽车产品的生产企业(含智能网联汽车生产企业、具有智能网联功能的车载终端软硬件生产企业),在本市运营车联网相关平台的服务企业(含车联网服务平台运营商、车载应用平台运营商、OTA升级服务提供商、导航系统服务提供商、电子地图服务提供商、车载信息应用服务提供商、车联网卡服务提供商等),本市车联网网络设施和车路协同设施运营企业以及自动驾驶功能产品和解决方案服务企业。
三、主要任务
3.加快完成定级备案。各车联网企业要按照《车联网网络安全防护定级备案实施指南》等标准要求,依托全国车联网网络安全防护管理系统(https://www.iovsec.org.cn/#/),对所属车联网服务平台、网络设施和系统开展网络安全防护定级工作,及时申报、更新备案信息。北京市通信管理局会同北京市经济和信息化局对相关定级备案申请和更新进行审核,并对通过审核的车联网服务平台、网络设施和系统核发定级备案号。
4.实施分级防护。各车联网企业在完成定级备案并确定级别后,按照《车联网服务平台网络安全防护要求》等相关标准要求,采取相应级别安全管理、安全技术等防护措施,加强智能网联汽车、路侧设备等平台接入安全,主机、数据存储系统等平台设施安全,以及资源管理、服务访问接口等平台应用安全防护能力,防范网络侵入、数据窃取、远程控制等安全风险。
5.开展标准符合性评测。各车联网企业按照车联网安全相关评测、评估标准,自行或委托第三方机构开展标准符合性评测和风险评估,并将结果上传至全国车联网网络安全防护管理平台。其中,定级为三级及三级以上的车联网服务平台、网络设施和系统应当每年进行一次符合性评测和安全风险评估,二级车联网服务平台、网络设施和系统应当每两年进行一次符合性评测和安全风险评估。
6.加强车联网卡实名登记管理。各道路机动车辆生产企业、基础电信企业要严格落实《反电信网络诈骗法》,按照车联网卡实名登记工作要求,加强源头治理,抓好工作部署。一是进一步从严推进新入网用户实名登记,做好实名登记责任告知,全面准确登记实名信息。二是加快推进存量联网车辆补登记,提供便捷补登记方式,对于自愿放弃车联网功能的用户,道路机动车辆生产企业应与其签订责任告知书,在确保车辆安全、风险可控的前提下,原则上仅保留紧急呼叫、应急救援等影响生命安全的功能。
(三)深化车联网网络安全威胁治理
7.开展威胁监测预警管理。各车联网企业要建立网络安全监测发现、分析预警等技术能力,对汽车产品、运营平台、生产制造产线等开展网络安全相关监测,及时发现网络安全漏洞、网络安全事件或异常行为,并按照要求向有关部门报送车联网网络、数据等安全相关数据。
8.强化漏洞管理责任落实。智能网联汽车生产企业和具有智能网联功能的车载终端软硬件生产企业要落实《网络产品安全漏洞管理规定》有关要求,明确本企业漏洞发现、验证、分析、修补、报告等工作程序。对需要用户采取软件、固件升级等措施修补漏洞的,应当及时将漏洞风险及修补方式告知可能受影响的用户,并提供必要技术支持。
9.健全安全威胁通报机制。北京市通信管理局建立车联网网络安全威胁通报机制,定期对本市车联网服务平台、网络设施和系统等开展威胁检测,并加强问题通报和监督整改。各车联网企业要加强在线升级服务(OTA)、车联网应用程序、车载信息交互系统等安全管理制度机制,在更新发布前自行或委托第三方机构开展网络安全检测,并将相关检测报告向北京市通信管理局进行报备。
(四)推动企业数据安全保护
10.健全数据全生命周期安全管理制度。各车联网企业应当按照《数据安全法》《工业和信息化领域数据安全管理办法(试行)》《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》《北京地区电信领域数据安全管理实施细则》等数据安全管理要求,健全完善本单位数据安全管理制度机制,结合具体业务场景,针对不同级别数据明确收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程。
11.强化重要数据和个人用户数据安全管理。各车联网企业应当每年定期开展业务数据分类分级梳理工作,记录梳理范围、过程、以及操作人员等,形成数据清单,单独标注个人用户数据,并及时更新;按照电信领域重要数据和核心数据识别标准识别重要数据和核心数据,形成重要数据目录报北京市通信管理局备案。对不同类别级别数据配备差异化安全保障能力,开展数据分类分级保护,重点加强重要数据和个人用户数据安全管理。
12.落实车联网数据安全风险评估。各车联网企业应当依据《工业和信息化领域数据安全风险评估实施细则(试行)》《北京地区电信领域数据安全管理实施细则》等相关管理规定及行业标准要求,自行或委托第三方评估机构每年对其数据处理活动开展一次数据安全风险评估,及时发现、整改风险问题,并于每年9月30日前向北京市通信管理局报送风险评估报告。
13.加强合作方数据安全管理。各车联网企业应当加强合作方数据安全管理,建立合作方管理台账,记录合作方名称、共享数据的类别、级别、规模、用途、提供方式、安全保障措施等信息并及时更新。结合具体业务场景通过签订数据安全合同协议等方式,明确所涉数据情况及双方数据安全管理责任划分、保障措施、违约责任等;涉及数据提供、委托处理等合作的,应要求合作方提供所在地省级通信管理局审核通过的数据安全风险评估报告或审核通过的相关证明材料,涉及重要数据的,应当对合作方数据安全保护能力开展核验,保障其数据安全履约能力。
14.提升数据安全风险监测及应急处置能力。各车联网企业应当配备数据异常流动分析、违规跨境传输监测、安全事件追踪溯源等风险监测技术手段,及时发现数据泄露、恶意篡改、未授权访问、重要数据非法披露、敏感个人信息非法公开等安全风险并进行拦截处置;依据行业管理要求制定数据安全应急预案,差异化明确各类各级数据安全事件响应流程、职责分工、处置措施等,每年组织开展一次应急演练,发生数据安全事件后根据应急预案及时开展事件响应。
15.加强辅助和自动驾驶算法安全风险检测评估及技术保障能力建设。各车联网企业应在拥有辅助和自动驾驶功能的汽车出厂前,对辅助和自动驾驶算法的鲁棒性、可控性、可解释性等风险进行安全评估,针对模型窃取攻击、投毒攻击、对抗样本攻击等采取有效的技术手段保障算法安全。此外,车联网企业应具备完善的算法安全管理制度,包括权限管理、应急处置、人工干预等。
16.加强数据安全人才队伍建设。各车联网企业应当健全数据人才培养体系,明确首席数据官、管理师、评估师、工程师等数据安全岗位设置、能力要求及职责划分;加强数据安全培训及考核,涵盖数据安全管理岗位人员以及业务运营、系统运维、客户服务等涉及数据处理的其他岗位人员,全面提升人员数据安全保护意识及技能水平。鼓励参加本地区、本行业数据安全人才培养计划、人才选拔竞赛等活动,畅通数据安全人才选拔应用渠道,为行业供给优秀数据安全人才。
(五)促进产业创新发展
17.推动技术产品创新应用。鼓励汽车、通信、安全等领域的重点企业和科研机构,面向自动驾驶、车路协同、智慧交通等新场景,搭建研发、测试、适配、应用集中化环境,推进安全技术产品的中试熟化和工程化应用。北京市通信管理局汇聚车联网安全创新产品和解决方案,打造车联网安全资源池,支持企业申报网络安全技术应用试点示范。
18.探索开展自动驾驶功能网络安全管理。按照智能网联汽车准入和上路通行试点等工作,结合自动驾驶领域的发展实际,探索开展智能网联汽车搭载的自动驾驶功能的网络安全管理。对搭载自动驾驶功能的智能网联汽车生产企业和使用主体,以及自动驾驶功能产品提供商和解决方案提供商试点开展专项安全评估。
四、保障措施
(一)推动责任落实。各车联网企业要高度重视车联网网络和数据安全工作,加大安全投入、加强组织领导、明确责任分工、细化方案措施,推动车联网安全技术、产品和服务部署应用,切实落实相关工作要求。
(二)加强日常督查。北京市通信管理局会同北京市经济和信息化局建立专项行动落实情况督查和通报机制,定期对任务推进情况进行进度核查,结合实际对工作成效突出的单位予以表扬,对责任落实不到位的单位予以通报。
(三)强化创新赋能。依托全国车联网网络安全防护管理平台等技术手段,完善网络安全制度机制和管理模式。依托车联网安全集智联盟等联盟协会,协同推进车联网安全标准研制、技术创新、成果转化和产业合作。