【智慧城市網(wǎng) 政策法規(guī)】為全面提升本市車聯(lián)網(wǎng)安全水平,筑牢車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防線,護航新型工業(yè)化和新時代汽車強國建設(shè),結(jié)合本市車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展和安全防護現(xiàn)狀,北京市通信管理局、北京市經(jīng)濟和信息化局聯(lián)合開展車聯(lián)網(wǎng)安全筑基行動。
一、行動目標(biāo)
以習(xí)近平新時代中國特色社會主義思想為指導(dǎo),深入貫徹黨的二十大精神,統(tǒng)籌發(fā)展與安全,堅持問題導(dǎo)向、目標(biāo)導(dǎo)向,構(gòu)建車聯(lián)網(wǎng)網(wǎng)絡(luò)安全安全保障體系,扎實高效推進車聯(lián)網(wǎng)安全管理制度機制建設(shè),開展網(wǎng)絡(luò)安全威脅檢測和通報處置,提升監(jiān)管效能,更好推動本市車聯(lián)網(wǎng)企業(yè)落實安全主體責(zé)任,以網(wǎng)絡(luò)安全、數(shù)據(jù)安全護航北京車聯(lián)網(wǎng)產(chǎn)業(yè)高質(zhì)量發(fā)展。
二、組織方式
北京市通信管理局、北京市經(jīng)濟和信息化局統(tǒng)籌推進車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理工作,指導(dǎo)督促北京地區(qū)車聯(lián)網(wǎng)企業(yè)落實落細(xì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全各項管理要求;結(jié)合工作需求,開展網(wǎng)絡(luò)和數(shù)據(jù)安全政策宣貫及標(biāo)準(zhǔn)培訓(xùn),幫助企業(yè)完成風(fēng)險排查、威脅治理和問題整改等工作。車聯(lián)網(wǎng)企業(yè)應(yīng)按照本通知要求,結(jié)合企業(yè)實際情況,抓好工作落實。
本行動所指“車聯(lián)網(wǎng)企業(yè)”為在本市生產(chǎn)、銷售智能網(wǎng)聯(lián)汽車產(chǎn)品的生產(chǎn)企業(yè)(含智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)、具有智能網(wǎng)聯(lián)功能的車載終端軟硬件生產(chǎn)企業(yè)),在本市運營車聯(lián)網(wǎng)相關(guān)平臺的服務(wù)企業(yè)(含車聯(lián)網(wǎng)服務(wù)平臺運營商、車載應(yīng)用平臺運營商、OTA升級服務(wù)提供商、導(dǎo)航系統(tǒng)服務(wù)提供商、電子地圖服務(wù)提供商、車載信息應(yīng)用服務(wù)提供商、車聯(lián)網(wǎng)卡服務(wù)提供商等),本市車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和車路協(xié)同設(shè)施運營企業(yè)以及自動駕駛功能產(chǎn)品和解決方案服務(wù)企業(yè)。
三、主要任務(wù)
(一)提升企業(yè)網(wǎng)絡(luò)安全水平
1.落實安全主體責(zé)任。各車聯(lián)網(wǎng)企業(yè)要加大資源保障力度,明確安全責(zé)任人和管理部門,建立網(wǎng)絡(luò)安全與信息化、研發(fā)、生產(chǎn)制造、合規(guī)等部門間的協(xié)調(diào)機制,構(gòu)建網(wǎng)絡(luò)安全防護、安全運維、監(jiān)測預(yù)警、應(yīng)急響應(yīng)等管理制度和技術(shù)能力,落實網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護責(zé)任。
2.強化政策標(biāo)準(zhǔn)宣貫指導(dǎo)。北京市通信管理局、北京市經(jīng)濟和信息化局組織開展1-2場屬地政策宣貫或?qū)n}培訓(xùn),加強車聯(lián)網(wǎng)安全政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、技術(shù)應(yīng)用等宣貫解讀和實踐交流,覆蓋不少于30家企業(yè),持續(xù)提升企業(yè)安全意識和能力水平。
(二)強化車聯(lián)網(wǎng)網(wǎng)絡(luò)安全分級防護
3.加快完成定級備案。各車聯(lián)網(wǎng)企業(yè)要按照《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護定級備案實施指南》等標(biāo)準(zhǔn)要求,依托全國車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護管理系統(tǒng)(https://www.iovsec.org.cn/#/),對所屬車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)設(shè)施和系統(tǒng)開展網(wǎng)絡(luò)安全防護定級工作,及時申報、更新備案信息。北京市通信管理局會同北京市經(jīng)濟和信息化局對相關(guān)定級備案申請和更新進行審核,并對通過審核的車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)設(shè)施和系統(tǒng)核發(fā)定級備案號。
4.實施分級防護。各車聯(lián)網(wǎng)企業(yè)在完成定級備案并確定級別后,按照《車聯(lián)網(wǎng)服務(wù)平臺網(wǎng)絡(luò)安全防護要求》等相關(guān)標(biāo)準(zhǔn)要求,采取相應(yīng)級別安全管理、安全技術(shù)等防護措施,加強智能網(wǎng)聯(lián)汽車、路側(cè)設(shè)備等平臺接入安全,主機、數(shù)據(jù)存儲系統(tǒng)等平臺設(shè)施安全,以及資源管理、服務(wù)訪問接口等平臺應(yīng)用安全防護能力,防范網(wǎng)絡(luò)侵入、數(shù)據(jù)竊取、遠(yuǎn)程控制等安全風(fēng)險。
5.開展標(biāo)準(zhǔn)符合性評測。各車聯(lián)網(wǎng)企業(yè)按照車聯(lián)網(wǎng)安全相關(guān)評測、評估標(biāo)準(zhǔn),自行或委托第三方機構(gòu)開展標(biāo)準(zhǔn)符合性評測和風(fēng)險評估,并將結(jié)果上傳至全國車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護管理平臺。其中,定級為三級及三級以上的車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)設(shè)施和系統(tǒng)應(yīng)當(dāng)每年進行一次符合性評測和安全風(fēng)險評估,二級車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)設(shè)施和系統(tǒng)應(yīng)當(dāng)每兩年進行一次符合性評測和安全風(fēng)險評估。
6.加強車聯(lián)網(wǎng)卡實名登記管理。各道路機動車輛生產(chǎn)企業(yè)、基礎(chǔ)電信企業(yè)要嚴(yán)格落實《反電信網(wǎng)絡(luò)詐騙法》,按照車聯(lián)網(wǎng)卡實名登記工作要求,加強源頭治理,抓好工作部署。一是進一步從嚴(yán)推進新入網(wǎng)用戶實名登記,做好實名登記責(zé)任告知,全面準(zhǔn)確登記實名信息。二是加快推進存量聯(lián)網(wǎng)車輛補登記,提供便捷補登記方式,對于自愿放棄車聯(lián)網(wǎng)功能的用戶,道路機動車輛生產(chǎn)企業(yè)應(yīng)與其簽訂責(zé)任告知書,在確保車輛安全、風(fēng)險可控的前提下,原則上僅保留緊急呼叫、應(yīng)急救援等影響生命安全的功能。
(三)深化車聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理
7.開展威脅監(jiān)測預(yù)警管理。各車聯(lián)網(wǎng)企業(yè)要建立網(wǎng)絡(luò)安全監(jiān)測發(fā)現(xiàn)、分析預(yù)警等技術(shù)能力,對汽車產(chǎn)品、運營平臺、生產(chǎn)制造產(chǎn)線等開展網(wǎng)絡(luò)安全相關(guān)監(jiān)測,及時發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞、網(wǎng)絡(luò)安全事件或異常行為,并按照要求向有關(guān)部門報送車聯(lián)網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)等安全相關(guān)數(shù)據(jù)。
8.強化漏洞管理責(zé)任落實。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和具有智能網(wǎng)聯(lián)功能的車載終端軟硬件生產(chǎn)企業(yè)要落實《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求,明確本企業(yè)漏洞發(fā)現(xiàn)、驗證、分析、修補、報告等工作程序。對需要用戶采取軟件、固件升級等措施修補漏洞的,應(yīng)當(dāng)及時將漏洞風(fēng)險及修補方式告知可能受影響的用戶,并提供必要技術(shù)支持。
9.健全安全威脅通報機制。北京市通信管理局建立車聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅通報機制,定期對本市車聯(lián)網(wǎng)服務(wù)平臺、網(wǎng)絡(luò)設(shè)施和系統(tǒng)等開展威脅檢測,并加強問題通報和監(jiān)督整改。各車聯(lián)網(wǎng)企業(yè)要加強在線升級服務(wù)(OTA)、車聯(lián)網(wǎng)應(yīng)用程序、車載信息交互系統(tǒng)等安全管理制度機制,在更新發(fā)布前自行或委托第三方機構(gòu)開展網(wǎng)絡(luò)安全檢測,并將相關(guān)檢測報告向北京市通信管理局進行報備。
(四)推動企業(yè)數(shù)據(jù)安全保護
10.健全數(shù)據(jù)全生命周期安全管理制度。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)按照《數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》《工業(yè)和信息化部關(guān)于加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》《北京地區(qū)電信領(lǐng)域數(shù)據(jù)安全管理實施細(xì)則》等數(shù)據(jù)安全管理要求,健全完善本單位數(shù)據(jù)安全管理制度機制,結(jié)合具體業(yè)務(wù)場景,針對不同級別數(shù)據(jù)明確收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程。
11.強化重要數(shù)據(jù)和個人用戶數(shù)據(jù)安全管理。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)每年定期開展業(yè)務(wù)數(shù)據(jù)分類分級梳理工作,記錄梳理范圍、過程、以及操作人員等,形成數(shù)據(jù)清單,單獨標(biāo)注個人用戶數(shù)據(jù),并及時更新;按照電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識別標(biāo)準(zhǔn)識別重要數(shù)據(jù)和核心數(shù)據(jù),形成重要數(shù)據(jù)目錄報北京市通信管理局備案。對不同類別級別數(shù)據(jù)配備差異化安全保障能力,開展數(shù)據(jù)分類分級保護,重點加強重要數(shù)據(jù)和個人用戶數(shù)據(jù)安全管理。
12.落實車聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險評估。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)依據(jù)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險評估實施細(xì)則(試行)》《北京地區(qū)電信領(lǐng)域數(shù)據(jù)安全管理實施細(xì)則》等相關(guān)管理規(guī)定及行業(yè)標(biāo)準(zhǔn)要求,自行或委托第三方評估機構(gòu)每年對其數(shù)據(jù)處理活動開展一次數(shù)據(jù)安全風(fēng)險評估,及時發(fā)現(xiàn)、整改風(fēng)險問題,并于每年9月30日前向北京市通信管理局報送風(fēng)險評估報告。
13.加強合作方數(shù)據(jù)安全管理。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)加強合作方數(shù)據(jù)安全管理,建立合作方管理臺賬,記錄合作方名稱、共享數(shù)據(jù)的類別、級別、規(guī)模、用途、提供方式、安全保障措施等信息并及時更新。結(jié)合具體業(yè)務(wù)場景通過簽訂數(shù)據(jù)安全合同協(xié)議等方式,明確所涉數(shù)據(jù)情況及雙方數(shù)據(jù)安全管理責(zé)任劃分、保障措施、違約責(zé)任等;涉及數(shù)據(jù)提供、委托處理等合作的,應(yīng)要求合作方提供所在地省級通信管理局審核通過的數(shù)據(jù)安全風(fēng)險評估報告或?qū)徍送ㄟ^的相關(guān)證明材料,涉及重要數(shù)據(jù)的,應(yīng)當(dāng)對合作方數(shù)據(jù)安全保護能力開展核驗,保障其數(shù)據(jù)安全履約能力。
14.提升數(shù)據(jù)安全風(fēng)險監(jiān)測及應(yīng)急處置能力。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)配備數(shù)據(jù)異常流動分析、違規(guī)跨境傳輸監(jiān)測、安全事件追蹤溯源等風(fēng)險監(jiān)測技術(shù)手段,及時發(fā)現(xiàn)數(shù)據(jù)泄露、惡意篡改、未授權(quán)訪問、重要數(shù)據(jù)非法披露、敏感個人信息非法公開等安全風(fēng)險并進行攔截處置;依據(jù)行業(yè)管理要求制定數(shù)據(jù)安全應(yīng)急預(yù)案,差異化明確各類各級數(shù)據(jù)安全事件響應(yīng)流程、職責(zé)分工、處置措施等,每年組織開展一次應(yīng)急演練,發(fā)生數(shù)據(jù)安全事件后根據(jù)應(yīng)急預(yù)案及時開展事件響應(yīng)。
15.加強輔助和自動駕駛算法安全風(fēng)險檢測評估及技術(shù)保障能力建設(shè)。各車聯(lián)網(wǎng)企業(yè)應(yīng)在擁有輔助和自動駕駛功能的汽車出廠前,對輔助和自動駕駛算法的魯棒性、可控性、可解釋性等風(fēng)險進行安全評估,針對模型竊取攻擊、投毒攻擊、對抗樣本攻擊等采取有效的技術(shù)手段保障算法安全。此外,車聯(lián)網(wǎng)企業(yè)應(yīng)具備完善的算法安全管理制度,包括權(quán)限管理、應(yīng)急處置、人工干預(yù)等。
16.加強數(shù)據(jù)安全人才隊伍建設(shè)。各車聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)健全數(shù)據(jù)人才培養(yǎng)體系,明確首席數(shù)據(jù)官、管理師、評估師、工程師等數(shù)據(jù)安全崗位設(shè)置、能力要求及職責(zé)劃分;加強數(shù)據(jù)安全培訓(xùn)及考核,涵蓋數(shù)據(jù)安全管理崗位人員以及業(yè)務(wù)運營、系統(tǒng)運維、客戶服務(wù)等涉及數(shù)據(jù)處理的其他崗位人員,全面提升人員數(shù)據(jù)安全保護意識及技能水平。鼓勵參加本地區(qū)、本行業(yè)數(shù)據(jù)安全人才培養(yǎng)計劃、人才選拔競賽等活動,暢通數(shù)據(jù)安全人才選拔應(yīng)用渠道,為行業(yè)供給優(yōu)秀數(shù)據(jù)安全人才。
(五)促進產(chǎn)業(yè)創(chuàng)新發(fā)展
17.推動技術(shù)產(chǎn)品創(chuàng)新應(yīng)用。鼓勵汽車、通信、安全等領(lǐng)域的重點企業(yè)和科研機構(gòu),面向自動駕駛、車路協(xié)同、智慧交通等新場景,搭建研發(fā)、測試、適配、應(yīng)用集中化環(huán)境,推進安全技術(shù)產(chǎn)品的中試熟化和工程化應(yīng)用。北京市通信管理局匯聚車聯(lián)網(wǎng)安全創(chuàng)新產(chǎn)品和解決方案,打造車聯(lián)網(wǎng)安全資源池,支持企業(yè)申報網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點示范。
18.探索開展自動駕駛功能網(wǎng)絡(luò)安全管理。按照智能網(wǎng)聯(lián)汽車準(zhǔn)入和上路通行試點等工作,結(jié)合自動駕駛領(lǐng)域的發(fā)展實際,探索開展智能網(wǎng)聯(lián)汽車搭載的自動駕駛功能的網(wǎng)絡(luò)安全管理。對搭載自動駕駛功能的智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和使用主體,以及自動駕駛功能產(chǎn)品提供商和解決方案提供商試點開展專項安全評估。
四、保障措施
(一)推動責(zé)任落實。各車聯(lián)網(wǎng)企業(yè)要高度重視車聯(lián)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)安全工作,加大安全投入、加強組織領(lǐng)導(dǎo)、明確責(zé)任分工、細(xì)化方案措施,推動車聯(lián)網(wǎng)安全技術(shù)、產(chǎn)品和服務(wù)部署應(yīng)用,切實落實相關(guān)工作要求。
(二)加強日常督查。北京市通信管理局會同北京市經(jīng)濟和信息化局建立專項行動落實情況督查和通報機制,定期對任務(wù)推進情況進行進度核查,結(jié)合實際對工作成效突出的單位予以表揚,對責(zé)任落實不到位的單位予以通報。
(三)強化創(chuàng)新賦能。依托全國車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護管理平臺等技術(shù)手段,完善網(wǎng)絡(luò)安全制度機制和管理模式。依托車聯(lián)網(wǎng)安全集智聯(lián)盟等聯(lián)盟協(xié)會,協(xié)同推進車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)研制、技術(shù)創(chuàng)新、成果轉(zhuǎn)化和產(chǎn)業(yè)合作。
我要評論
所有評論僅代表網(wǎng)友意見,與本站立場無關(guān)。