各省、自治區、直轄市及計劃單列市工業和信息化主管部門、通信管理局，有關行業協會、標準化技術組織和專業機構：

　　現將《車聯網網絡安全和數據安全標準體系建設指南》印發給你們，請結合本行業(領域)、本地區實際，在標準化工作中貫徹執行。

　　工業和信息化部辦公廳

　　2022年2月25日

　　前言

　　車聯網是新一代網絡通信技術與汽車、電子、道路交通運輸等領域深度融合的新興產業形態，呈現蓬勃發展的良好態勢。隨著汽車電動化、網聯化、智能化交融發展，車輛運行安全、數據安全和網絡安全風險交織疊加，安全形勢更加復雜嚴峻，亟需加快建立健全車聯網網絡安全和數據安全保障體系，為車聯網產業安全健康發展提供支撐。為貫徹落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《關鍵信息基礎設施安全保護條例》，根據《新能源汽車產業發展規劃(2021-2035年)》《車聯網(智能網聯汽車)產業發展行動計劃》《汽車數據安全管理若干規定》《關于加強車聯網網絡安全和數據安全工作的通知》要求，工業和信息化部在現有國家車聯網產業標準體系的基礎上，組織編制了《車聯網網絡安全和數據安全標準體系建設指南》，用于指導相關標準研制。

　　一、總體要求

　　(一)指導思想

　　以習近平新時代中國特色社會主義思想為指導，全面貫徹黨的十九大和十九屆歷次全會精神，認真貫徹落實黨中央、國務院決策部署，統籌發展和安全，面向車聯網產業安全需求，加強車聯網網絡安全和數據安全標準工作頂層設計，注重與車聯網相關標準體系之間的銜接，增加標準有效供給，強化標準應用實施，加快構建系統、科學、規范的車聯網網絡安全和數據安全標準體系，充分發揮標準對車聯網產業安全健康發展的指導和規范作用。

　　(二)基本原則

　　需求導向、共同推進。緊密對接車聯網產業對網絡安全、數據安全的迫切需求，鼓勵整車及關鍵設備、車聯網服務平臺、信息通信、網絡安全等產業鏈各環節、產學研用各方加強協作，共同推進跨行業、跨領域標準的研制與實施，不斷提升標準的質量效益。

　　聚焦重點、急用先行。聚焦車聯網終端與設施網絡安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等重點領域，著力增加基礎通用、共性技術、試驗方法、典型應用等產業急需標準的有效供給，覆蓋車聯網網絡安全、數據安全的關鍵領域和關鍵環節。

　　開放融合、深化合作。結合我國車聯網產業發展現狀，鼓勵國內企事業單位積極參與車聯網網絡安全、數據安全國。鼓勵國內企事業單位積極參與車聯網網絡安全、數據安全國際標準化活動，加強與全球車聯網產業界的交流與合作，共同推進相關國際標準研制，積極貢獻中國的技術方案和實踐經驗。

　　(三)建設目標

　　到2023年底，初步構建起車聯網網絡安全和數據安全標準體系。重點研究基礎共性、終端與設施網絡安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標準，完成50項以上急需標準的研制。

　　到2025年，形成較為完善的車聯網網絡安全和數據安全標準體系。完成100項以上標準的研制，提升標準對細分領域的覆蓋程度，加強標準服務能力，提高標準應用水平，支撐車聯網產業安全健康發展。

　　二、主要內容

　　(一)標準體系框架圖

　　包括總體與基礎共性、終端與設施網絡安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等6個部分，見圖1。

　　

 

　　(二)重點領域及方向

　　1、總體與基礎共性標準

　　總體與基礎共性標準是車聯網網絡安全和數據安全的總體性、通用性和指導性標準，包括術語和定義、總體架構、密碼應用等3類標準。

　　術語和定義標準主要規范車聯網網絡安全和數據安全主要概念，為相關標準中的術語和定義提供依據支撐。

　　總體架構標準主要規范車聯網網絡安全總體架構要求，明確和界定防護對象、防護方法、防護機制，指導企業體系化開展網絡安全防護工作。

　　密碼應用標準主要規范車聯網密碼應用通用要求，明確數字證書格式、數字證書應用、設備密碼應用等要求。

　　2、終端與設施網絡安全標準

　　終端與設施網絡安全標準主要規范車聯網終端和基礎設施等相關網絡安全要求，包括車載設備網絡安全、車端網絡安全、路側通信設備網絡安全、網絡設施與系統安全等4類標準。

　　車載設備網絡安全標準主要規范智能網聯汽車關鍵智能設備和組件的安全防護與檢測要求，包括汽車網關、電子控制單元、車用安全芯片、車載計算平臺等安全標準。

　　車端網絡安全標準主要規范整車電子電氣架構、總線架構、系統架構等安全防護與檢測要求。

　　路側通信設備網絡安全標準主要規范聯網路側設備的安全防護與檢測要求。網絡設施與系統安全標準主要規范車聯網網絡設施與系統的安全防護與檢測要求。

　　3、網聯通信安全標準

　　網聯通信安全標準主要規范車聯網通信網絡安全、身份認證等相關安全要求，包括通信安全、身份認證等2類標準。

　　信安全標準主要規范蜂窩車聯網(C-V2X)，以及應用于車聯網的蜂窩移動通信(4G/5G)、衛星通信、無線射頻識別、車內無線局域網、藍牙低能耗(BLE)紫蜂(Zigbee)、超寬帶(UWB)等安全防護與檢測要求。

　　身份認證標準主要規范車聯網數字身份認證相關的證書應用接口、證書管理系統、安全認證技術及測試方法、關鍵部件輕量級認證等技術要求。

　　4、數據安全標準

　　數據安全標準主要規范智能網聯汽車、車聯網平臺、車載應用服務等數據安全和個人信息保護要求，句括通用要求、分類分級、出境安全、個人信息保護、應用數據安全等5類標準。

　　通用要求標準主要規范車聯網可采集和處理的數據類型、范圍、質量、顆粒度等，包括數據最小化采集、數據安全存儲、數據加密傳輸、數據安全共享等標準。

　　分類分級標準主要規范車聯網數據分類分級保護要求，制定數據分類分級的維度、方法、示例等標準，明確重要數據類型和安全保護要求。

　　數據出境安全標準主要規范車聯網行業依法依規落實數據出境安全要求，句括數據出境安全評估要點、評估方法等標準。

　　個人信息保護標準主要規范車聯網用戶個人信息保護機制及相關技術要求，明確用戶敏感數據和個人信息保護的場景、規則、技術方法，包括匿名化、去標識化、數據脫敏、異常行為識別等標準。

　　應用數據安全標準主要規范車聯網相關應用所開展的數據采集和處理使用等活動，包括車聯網平臺、網約車、車載應用程序等數據安全標準。

　　5、應用服務安全標準

　　應用服務安全標準主要規范車聯網服務平臺和應用程序的安全要求，以及典型業務應用服務場景下的安全要求，包括平臺安全、應用程序安全和服務安全等3類標準。

　　平臺安全標準主要規范車聯網信息服務平臺、遠程升級(OTA)服務平臺、邊緣計算平臺、電動汽車遠程信息服務與管理等安全防護與檢測要求。

　　應用程序安全標準主要規范車聯網應用程序等安全防護與檢測要求。

　　服務安全標準主要規范車聯網典型業務服務場景下的安全要求，包括汽車遠程診斷、高級輔助駕駛、車路協同等服務安全要求。

　　6、安全保障與支撐標準

　　安全保障與支撐標準主要規范車聯網網絡安全管理與支撐相關的安全要求，包括風險評估、安全監測與應急管理和安全能力評估等3類標準。

　　風險評估標準主要規范車聯網網絡安全風險分類與安全等級劃分要求，明確安全風險評估流程和方法，提出車聯網服務平臺、整車網絡安全風險評估規范等相關要求。

　　安全監測與應急管理標準主要規范車聯網網絡安全監測、數據安全監測、應急管理、網絡安全漏洞分類分級、安全事件追蹤溯源等相關要求，以及安全管理接口、車聯網卡實名登記、車聯網業務遞交網關(HI)接口等相關規范。

　　安全能力評估標準主要規范車聯網服務平臺運營企業、智能網聯汽車生產企業、基礎電信企業等安全防護措施部署安全服務實施，提出網絡安全成熟度模型、數據安全成熟度模型、安全能力成熟度評價準則、評估實施方法、機構能力認定、道路車輛信息安全工程等相關要求。

　　三、組織實施

　　(一)加快標準研制。在國家制造強國建設領導小組車聯網產業發展專項委員會指導下，注重與智能網聯汽車、信息通信、電子產品和服務等相關標準體系的協調和銜接，以車聯網網絡安全和數據安全標準體系為指導，組織產學研用各方協同推進標準研制工作。

　　(二)實施動態更新。按照網絡安全相關法律法規要求，結合車聯網技術創新和產業發展趨勢，持續完善車聯網網絡安全和數據安全標準體系，為推進車聯網產業發展和行業管理提供有力保障。

　　(三)加強宣貫實施。充分發揮地方主管部門、標準化組織、行業協會和專業機構的作用，組織開展標準的宣標貫標和技術研討活動，通過培訓、咨詢、論壇等方式推進標準的宣貫實施。組織開展貫標試點優秀企業和案例的遴選，形成最佳實踐，促進標準應用推廣。

　　(四)深化國際合作。加強與國際標準化組織的交流與合作，積極參與國際電信聯盟(ITU)國際標準化組織(ISO)國際電工技術委員會(IEC)、聯合國世界車輛法規協調論壇(UN/WP29)等國際標準化活動，攜手全球產業鏈上下游企業共同推進國際標準研制。

　　附件：車聯網網絡安全和數據安全相關標準項目明細表