DB31/T 1582-2025 智能网联汽车网络安全保障能力测评要求
- 文件大小:1.02 MB
- 标准类型:地方标准规范
- 标准语言:中文版
- 文件类型:PDF文档
- 更新时间:2025-06-16
- 下载次数:
- 标签:
资料介绍
以下为上海市地方标准《DB 31/T 1582-2025 智能网联汽车网络安全保障能力测评要求》的详细内容总结:
1. 范围
- 适用于具备有条件自动驾驶和高度自动驾驶功能的智能网联汽车。
- 规范网络安全测评要求,涵盖网络安全管理体系、过程保障、数据安全及能力分级。
2. 术语定义
- 智能网联汽车系统:全生命周期内服务于车辆和用户的信息系统(含代码库、OTA服务端、远程控制平台等)。
- 核心应用系统:高频使用且涉及隐私与安全的关键系统(如自动驾驶数据处理平台、远程诊断系统等)。
- 供应链安全保障:对供应商的完整性、保密性、可用性、可控性进行评审。
3. 测评框架
三大模块
| 模块 | 测评内容 |
|---|---|
| 网络安全管理体系 | 管理体系要求、安全能力、安全态势感知、供应链保障能力 |
| 网络安全过程保障 | 风险评估、网络安全实现(硬件/软件/系统/升级安全)、测试验证 |
| 数据安全过程保障 | 数据分类分级、收集/使用/传输/存储/跨境/分发/销毁等全流程管控 |
4. 核心要求细则
(1)网络安全管理体系
- 领导作用:制定网络安全战略、目标、组织架构,指定安全管理代表。
- 制度要求:
- 建立风险评估、数据安全、监测预警、应急响应等9项制度。
- 日志保存需明确时限、格式及访问控制。
- 人员资质:
- 网络安全岗位需1年以上经验,持CISP/ISMS/TISAX等安全认证。
- 全员(含外包)需定期接受安全培训与考核。
- 工具链清单:防病毒、监控、数据防泄漏等工具需登记并维护。
(2)网络安全过程保障
- 风险评估:
- 全生命周期动态更新,识别威胁与脆弱性,制定风险处置策略(接受/转移/降低/规避)。
- 软件升级需评估对安全、兼容性、追溯能力的影响。
- 测试验证:
- 覆盖车辆外部连接、通信、软件代码、数据安全等6大领域。
- 要求防御重放攻击、拒绝服务、恶意代码入侵等威胁,且无公开超6个月的漏洞。
(3)数据安全过程保障
- 基本原则:车内处理、默认不收集、精度适用、脱敏处理。
- 关键要求:
- 数据收集:需明示种类、用途、保存期限,获用户授权。
- 数据使用:重要数据需风险评估,实施匿名化/去标识化处理。
- 数据存储:中国境内数据存于境内,自动驾驶数据需加密。
- 数据跨境:向境外提供重要数据需报告接收方、数据类型、境外存储详情等。
- 数据销毁:按法规或用户要求彻底销毁,保留销毁记录。
5. 测评方式与评分
- 方法:访谈、材料检查、现场验证、问题反馈。
- 评分规则(附录A):
实施情况 得分 有规定且有效 10 无规定但有效 8 有规定但大部分有效 6 无规定且大部分有效 4 未实施 0 - 结论分级(附录B):
- 符合(90-100分):持续改进。
- 有条件符合(75-89分):1个月内提交整改计划。
- 不符合(<75分):3个月内完成整改并验证。
6. 责任与监督
- 起草单位:上海智能网联汽车技术中心、上汽大众、上海交大等。
- 监管要求:
- 供应链需定期审核,确保组件/数据不被篡改。
- 安全事件(泄露、瘫痪、非法控制)需及时上报并处置。
总结:该标准构建了覆盖“管理-技术-数据”三位一体的测评体系,强调全生命周期风险管控,尤其注重数据本地化存储与跨境监管,通过量化评分推动企业落实安全责任。