【智慧城市網 政策法規】為全面提升本市車聯網安全水平,筑牢車聯網網絡安全防線�����,護航新型工業化和新時代汽車強國建設�,結合本市車聯網產業發展和安全防護現狀,北京市通信管理局�、北京市經濟和信息化局聯合開展車聯網安全筑基行動��。
一、行動目標
以習近平新時代中國特色社會主義思想為指導����,深入貫徹黨的二十大精神,統籌發展與安全,堅持問題導向�、目標導向����,構建車聯網網絡安全安全保障體系�����,扎實高效推進車聯網安全管理制度機制建設�����,開展網絡安全威脅檢測和通報處置,提升監管效能,更好推動本市車聯網企業落實安全主體責任��,以網絡安全���、數據安全護航北京車聯網產業高質量發展�。
二、組織方式
北京市通信管理局、北京市經濟和信息化局統籌推進車聯網網絡安全和數據安全管理工作,指導督促北京地區車聯網企業落實落細網絡安全����、數據安全各項管理要求�����;結合工作需求,開展網絡和數據安全政策宣貫及標準培訓,幫助企業完成風險排查�、威脅治理和問題整改等工作���。車聯網企業應按照本通知要求���,結合企業實際情況,抓好工作落實����。
本行動所指“車聯網企業”為在本市生產��、銷售智能網聯汽車產品的生產企業(含智能網聯汽車生產企業���、具有智能網聯功能的車載終端軟硬件生產企業)�,在本市運營車聯網相關平臺的服務企業(含車聯網服務平臺運營商����、車載應用平臺運營商、OTA升級服務提供商、導航系統服務提供商����、電子地圖服務提供商��、車載信息應用服務提供商、車聯網卡服務提供商等),本市車聯網網絡設施和車路協同設施運營企業以及自動駕駛功能產品和解決方案服務企業�。
三�����、主要任務
(一)提升企業網絡安全水平
1.落實安全主體責任。各車聯網企業要加大資源保障力度,明確安全責任人和管理部門���,建立網絡安全與信息化、研發����、生產制造��、合規等部門間的協調機制,構建網絡安全防護�����、安全運維����、監測預警�����、應急響應等管理制度和技術能力�,落實網絡安全和數據安全保護責任����。
2.強化政策標準宣貫指導。北京市通信管理局���、北京市經濟和信息化局組織開展1-2場屬地政策宣貫或專題培訓,加強車聯網安全政策法規�、標準規范�、技術應用等宣貫解讀和實踐交流�����,覆蓋不少于30家企業���,持續提升企業安全意識和能力水平��。
(二)強化車聯網網絡安全分級防護
3.加快完成定級備案。各車聯網企業要按照《車聯網網絡安全防護定級備案實施指南》等標準要求���,依托全國車聯網網絡安全防護管理系統(https://www.iovsec.org.cn/#/),對所屬車聯網服務平臺�����、網絡設施和系統開展網絡安全防護定級工作�,及時申報���、更新備案信息��。北京市通信管理局會同北京市經濟和信息化局對相關定級備案申請和更新進行審核��,并對通過審核的車聯網服務平臺、網絡設施和系統核發定級備案號。
4.實施分級防護�。各車聯網企業在完成定級備案并確定級別后�,按照《車聯網服務平臺網絡安全防護要求》等相關標準要求,采取相應級別安全管理���、安全技術等防護措施,加強智能網聯汽車�����、路側設備等平臺接入安全����,主機、數據存儲系統等平臺設施安全���,以及資源管理、服務訪問接口等平臺應用安全防護能力����,防范網絡侵入�����、數據竊取、遠程控制等安全風險�。
5.開展標準符合性評測�。各車聯網企業按照車聯網安全相關評測�����、評估標準,自行或委托第三方機構開展標準符合性評測和風險評估,并將結果上傳至全國車聯網網絡安全防護管理平臺。其中����,定級為三級及三級以上的車聯網服務平臺�����、網絡設施和系統應當每年進行一次符合性評測和安全風險評估,二級車聯網服務平臺、網絡設施和系統應當每兩年進行一次符合性評測和安全風險評估���。
6.加強車聯網卡實名登記管理。各道路機動車輛生產企業、基礎電信企業要嚴格落實《反電信網絡詐騙法》����,按照車聯網卡實名登記工作要求�,加強源頭治理�����,抓好工作部署��。一是進一步從嚴推進新入網用戶實名登記,做好實名登記責任告知��,全面準確登記實名信息���。二是加快推進存量聯網車輛補登記���,提供便捷補登記方式��,對于自愿放棄車聯網功能的用戶���,道路機動車輛生產企業應與其簽訂責任告知書���,在確保車輛安全、風險可控的前提下��,原則上僅保留緊急呼叫���、應急救援等影響生命安全的功能����。
(三)深化車聯網網絡安全威脅治理
7.開展威脅監測預警管理。各車聯網企業要建立網絡安全監測發現�����、分析預警等技術能力��,對汽車產品�����、運營平臺�、生產制造產線等開展網絡安全相關監測�����,及時發現網絡安全漏洞���、網絡安全事件或異常行為����,并按照要求向有關部門報送車聯網網絡����、數據等安全相關數據����。
8.強化漏洞管理責任落實。智能網聯汽車生產企業和具有智能網聯功能的車載終端軟硬件生產企業要落實《網絡產品安全漏洞管理規定》有關要求�,明確本企業漏洞發現�、驗證��、分析���、修補�����、報告等工作程序。對需要用戶采取軟件���、固件升級等措施修補漏洞的,應當及時將漏洞風險及修補方式告知可能受影響的用戶����,并提供必要技術支持�。
9.健全安全威脅通報機制���。北京市通信管理局建立車聯網網絡安全威脅通報機制����,定期對本市車聯網服務平臺、網絡設施和系統等開展威脅檢測����,并加強問題通報和監督整改�。各車聯網企業要加強在線升級服務(OTA)����、車聯網應用程序�����、車載信息交互系統等安全管理制度機制��,在更新發布前自行或委托第三方機構開展網絡安全檢測,并將相關檢測報告向北京市通信管理局進行報備。
(四)推動企業數據安全保護
10.健全數據全生命周期安全管理制度��。各車聯網企業應當按照《數據安全法》《工業和信息化領域數據安全管理辦法(試行)》《工業和信息化部關于加強車聯網網絡安全和數據安全工作的通知》《北京地區電信領域數據安全管理實施細則》等數據安全管理要求��,健全完善本單位數據安全管理制度機制��,結合具體業務場景,針對不同級別數據明確收集、存儲��、使用����、加工、傳輸、提供、公開等環節的具體分級防護要求和操作規程�。
11.強化重要數據和個人用戶數據安全管理��。各車聯網企業應當每年定期開展業務數據分類分級梳理工作����,記錄梳理范圍��、過程����、以及操作人員等��,形成數據清單��,單獨標注個人用戶數據,并及時更新�����;按照電信領域重要數據和核心數據識別標準識別重要數據和核心數據���,形成重要數據目錄報北京市通信管理局備案�。對不同類別級別數據配備差異化安全保障能力���,開展數據分類分級保護�����,重點加強重要數據和個人用戶數據安全管理��。
12.落實車聯網數據安全風險評估。各車聯網企業應當依據《工業和信息化領域數據安全風險評估實施細則(試行)》《北京地區電信領域數據安全管理實施細則》等相關管理規定及行業標準要求,自行或委托第三方評估機構每年對其數據處理活動開展一次數據安全風險評估��,及時發現�����、整改風險問題�����,并于每年9月30日前向北京市通信管理局報送風險評估報告。
13.加強合作方數據安全管理。各車聯網企業應當加強合作方數據安全管理���,建立合作方管理臺賬,記錄合作方名稱、共享數據的類別、級別��、規模���、用途����、提供方式�����、安全保障措施等信息并及時更新���。結合具體業務場景通過簽訂數據安全合同協議等方式���,明確所涉數據情況及雙方數據安全管理責任劃分����、保障措施����、違約責任等;涉及數據提供���、委托處理等合作的,應要求合作方提供所在地省級通信管理局審核通過的數據安全風險評估報告或審核通過的相關證明材料���,涉及重要數據的,應當對合作方數據安全保護能力開展核驗�,保障其數據安全履約能力�。
14.提升數據安全風險監測及應急處置能力�����。各車聯網企業應當配備數據異常流動分析����、違規跨境傳輸監測、安全事件追蹤溯源等風險監測技術手段�����,及時發現數據泄露�����、惡意篡改、未授權訪問����、重要數據非法披露����、敏感個人信息非法公開等安全風險并進行攔截處置����;依據行業管理要求制定數據安全應急預案,差異化明確各類各級數據安全事件響應流程����、職責分工����、處置措施等����,每年組織開展一次應急演練,發生數據安全事件后根據應急預案及時開展事件響應���。
15.加強輔助和自動駕駛算法安全風險檢測評估及技術保障能力建設。各車聯網企業應在擁有輔助和自動駕駛功能的汽車出廠前�����,對輔助和自動駕駛算法的魯棒性��、可控性、可解釋性等風險進行安全評估,針對模型竊取攻擊、投毒攻擊���、對抗樣本攻擊等采取有效的技術手段保障算法安全。此外,車聯網企業應具備完善的算法安全管理制度����,包括權限管理�����、應急處置、人工干預等。
16.加強數據安全人才隊伍建設����。各車聯網企業應當健全數據人才培養體系����,明確首席數據官����、管理師、評估師、工程師等數據安全崗位設置�����、能力要求及職責劃分���;加強數據安全培訓及考核���,涵蓋數據安全管理崗位人員以及業務運營、系統運維、客戶服務等涉及數據處理的其他崗位人員����,全面提升人員數據安全保護意識及技能水平。鼓勵參加本地區、本行業數據安全人才培養計劃、人才選拔競賽等活動�����,暢通數據安全人才選拔應用渠道�,為行業供給優秀數據安全人才。
(五)促進產業創新發展
17.推動技術產品創新應用。鼓勵汽車����、通信����、安全等領域的重點企業和科研機構��,面向自動駕駛����、車路協同���、智慧交通等新場景����,搭建研發、測試���、適配、應用集中化環境��,推進安全技術產品的中試熟化和工程化應用���。北京市通信管理局匯聚車聯網安全創新產品和解決方案�,打造車聯網安全資源池���,支持企業申報網絡安全技術應用試點示范��。
18.探索開展自動駕駛功能網絡安全管理���。按照智能網聯汽車準入和上路通行試點等工作�,結合自動駕駛領域的發展實際����,探索開展智能網聯汽車搭載的自動駕駛功能的網絡安全管理。對搭載自動駕駛功能的智能網聯汽車生產企業和使用主體����,以及自動駕駛功能產品提供商和解決方案提供商試點開展專項安全評估���。
四��、保障措施
(一)推動責任落實。各車聯網企業要高度重視車聯網網絡和數據安全工作��,加大安全投入���、加強組織領導��、明確責任分工���、細化方案措施��,推動車聯網安全技術、產品和服務部署應用��,切實落實相關工作要求����。
(二)加強日常督查����。北京市通信管理局會同北京市經濟和信息化局建立專項行動落實情況督查和通報機制����,定期對任務推進情況進行進度核查�,結合實際對工作成效突出的單位予以表揚,對責任落實不到位的單位予以通報���。
(三)強化創新賦能。依托全國車聯網網絡安全防護管理平臺等技術手段����,完善網絡安全制度機制和管理模式�。依托車聯網安全集智聯盟等聯盟協會���,協同推進車聯網安全標準研制�����、技術創新����、成果轉化和產業合作�����。
移動版
智慧城市網APP
智慧城市網小程序
微信公眾號
