(征求意见稿)编制说明
一、工作简况
(一)任务来源
根据国家标准化管理委员会《关于下达<包装机械安全要求>等31项强制性国家标准制修订计划及相关标准外文版计划的通知》(国标委发〔2021〕27号)中项目编号20214422-Q-339的强制性国家标准制定项目,制定强制性国家标准《汽车整车信息安全技术要求》。
(二)主要工作过程
受工业和信息化部委托,全国汽标委智能网联汽车分标委根据单位申请情况成立标准起草项目组,确定中国汽车技术研究中心有限公司、国汽(北京)智能网联汽车研究院有限公司和电子科技大学为标准起草项目组牵头单位,并在此基础上明确了任务和分工,积极开展标准的预研、起草及征求意见等工作。宝马mm
自标准制定工作启动以来,牵头单位多次组织项目组成员单位召开项目组会议,分析了联合国等国际标准法规组织的汽车标准法规现状,讨论确定了适应中国汽车产业发展现状的汽车整车信息安全的技术要求并编写了标准草案,最终完成了标准的征求意见稿。
2019年11月 启动标准编制工作,成立项目组,召开第1次会议。
2019年12月 就标准边界及制定思路等内容征集各单位意见。
2020年3月 项目组第2次会议(线上),围绕制定思路及框架展开讨论。
2020年4月~5月 确定框架、征求参编意向并分工编写。
2020年6月~9月 形成标准草案并提交立项申请。
2020年10月 项目组第3次会议,持续完善标准草案。
2021年3月~4月 根据行业管理需求和主管部门要求,将原推荐性国家标准项目调整为强制性国家标准项目。
2021年4月 项目组第4次会议,完成本标准与UN WP29 R155法规的对比分析。
2021年5月~7月 组织多次封闭写稿和专题研讨会议,持续完善标准草案。
2021年7月 项目组第5次会议,充分参照R155法规及解释文件形成标准草案。
2021年8月~9月 组织多次封闭写稿和专题研讨会议,持续完善标准草案。
斯威g052021年10月 项目组第6次会议,对草案进行详细讨论,确定技术要求框架,形成试验方法。
2022年1月~6月 组织行业开展标准验证试验工作,包括企业信息安全管理审核、车辆技术要求及试验方法验证。北京电动汽车价格
2022年7月~8月 在汽车信息安全标准工作组进行征集意见,收集反馈意见并召开意见协调会,形成意见处理结论。
2022年9月 根据意见反馈修改形成公开征求意见稿和编制说明。
1.项目组第一次会议
汽车整车信息安全技术要求标准项目组第一次会议于2019年11月5日在杭州召开,正式启动标准制定工作。会议就标准的制定背景、范围、目标、框架、进度计划、研制思路等进行了讨论,对一些共性问题进行了探讨,会议明确标准撰写的整体思路按照整车开发流程V字型的架构来设计,需要和《汽车信息安全通用技术要求》的安全原则及需求相结合,综合考虑标准的对象,并在会后对标准框架开展进一步总结与梳理。
2.项目组第二次会议
汽车整车信息安全技术要求标准项目组第二次工作会议于2020年3月4日在线上召开,会议进一步围绕标准背景及项目计划、编写思路、框架等展开讨论。会议明确了标准定位是从整车视角出发综合考量,不包括对零部件单独的安全要求,技术要求和测试对象以整车为主;标准不区分不同的驾驶自动化级别,而是适用于道路车辆的通用基本要求。会议就标准下一步编制工作的分工进行了安排,由威胁分析与风险评估、外部访问点安全、内部网络通信安全、基于业务的安全、基于功能的安全、数据安全要求等7个部分分工编写,形成V1.0版草案。
3.项目组第三次会议
石家庄市机动车违章查询
汽车整车信息安全技术要求标准项目组第三次工作会议于2020年10月21日在北京召开。会议讨论了标准的总体框架、编制思路,并由整车威胁分析与风险评估、外部访问点安全、内部网络通信安全、基于业务的安全、基于功能的安全、数据安全要求等7个部分对各章的编写思路和遇到的问题进行了交流与讨论,基于讨论进一步协调统一了标准框架、编写方式及要求力度等,并在会后面向项目组内广泛征集各章节的编写意见。
4.项目组第四次会议
汽车整车信息安全技术要求标准项目组第四次工作会议于2021年4月26日在天津召开。会议对本标准转为强标的背景进行了介绍,增进项目组全体成员对现有标准内容的理解;明确了整体的时间进度计划、各节点任务,明确各章节任务分工、工作思路和计划。会议明确本标准作为国家强制标准,不一定代表技术先进性,而侧重考量技术的广泛性和通用性,每条技术要求的提出都应力求必要、精简凝练,并且要着重考虑与UN R155法规的国际协调;围绕法规原文对标准框架设置和章节内容进行了对应的优化与调整。
5.作为强制性国家标准重新立项
2021年7月,为贯彻落实《网络安全法》《数据安全法》等,应对智能网联汽车信息安全风险与挑战,主管部门出于产业安全发展及行业管理需要,将该推荐性国家标准项目调整为强制性国家标准项目,为保障产业健康可持续发展划定信息安全基线要求。
6.项目组第五次会议
汽车整车信息安全技术要求标准项目组第五次工作会议于2021年7月26-29日在厦门召开。本次会议扩大了项目组成员的参与范围,主要针对车辆技术要求部分进行封闭写稿及讨论,并就各章节内容的编写情况逐一进行介绍和全体讨论,基本确定了标准的框架及主体内容,形成V2.0版草案,并参考GB 40050等信息安全行业重点标准的行文表述方式,统一梳理标准内容及行文。
7.项目组第六次会议
汽车整车信息安全技术要求标准项目组第六次工作会议于2021年10月12-13日在成都召开。本次会议在项目组内对标准的技术要求条款进行逐条地讨论、完善及确认,并初步讨论了管理章节的内容及试验开展的思路,为试验方法编写提供参考。会议形成的标准草案
V3.0版,主要包括管理要求、车型技术要求、试验方法3大部分内容,同时,明确了本标准不提出唯一限定的技术要求和试验方法,希望企业在充分的风险评估的基础上开展。后续将重点解决各章节存在内容交叉、重复的问题,进一步优化完善技术要求,增加相应的试验方法,部署标准验证试验工作。
8.标准验证试验
2022年1月-6月,汽标委智能网联汽车分标委秘书处根据标准编制工作计划开展本标准验证试验,验证试验项目包括:汽车信息安全管理体系审核,在申请企业所在地及线上同步开展;车辆技术要求及试验方法验证,在相关试验机构开展。秘书处面向汽车信息安全标准工作组广泛征集参与企业及试验车辆,由于本标准试验验证条款数量较多、准备工作复杂、体系验证需大量相关方配合、整体试验周期较长、试验验证资源有限,按照整车产品安全开发程度及企业信息安全管理体系建设完备程度,从征集到的24家汽车生产企业中最终选取了12家企业随机分配至6家检测机构共同开展验证试验。受疫情影响,以线上线下相结合的方式先后完成所有车辆的标准验证试验及信息安全管理体系审核工作,总结试验过程中的经验和问题,进一步完善标准草案。
9.骊威多少钱试验工作专题启动会
汽车整车信息安全技术要求的试验工作专题启动会于2022年3月1日以线上会议召开。本次会议由秘书处及6家试验机构共同参与,本次会议部署了开展验证试验的工作要求,并重点研讨确定标准验证试验实施方案及具体工作计划。明确了以验证标准草案中各条要求的合理性和可实施性为出发点,核查标准要求是否为基线要求。
10.工作组意见协调会
2022年7月31日,形成工作组征求意见稿,并面向汽标委智能网联汽车分标委汽车信息安全标准工作组100余家单位征求意见。本次反馈意见共计收到78家单位的意见反馈,标准项目组于8月30日至9月6日召开意见处理协调会议,根据反馈意见进行了逐条讨论处理,并根据相关意见对标准公开征求意见稿和编制说明进行了修改。
二、编制原则、强制性国家标准主要技术要求的依据及理由
本文件编写符合 GB/T 1.1—2020《标准化工作导则 第 1 部分:标准化文件的结构和起草规则》的规定起草。起草过程,充分考虑国内外现有相关标准的统一和协调;标准的要求
充分考虑了国内当前的行业技术水平,对草案内容进行多次征求意见和充分讨论。
(一)适用范围
本文件规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法。
本文件适用于M类、N类及至少装有1个电子控制单元的O类车辆,其他类型车辆可参考执行。
(二)主要技术内容
本标准主要技术内容包括6个部分,以下选择标准技术要求的部分重点内容进行说明:
第5章 信息安全管理体系要求
基于国内行业技术发展现状,参考R155法规第7.2章节的内容,针对如下方面提出要求:
(1)车辆制造商应建立车辆全生命周期的信息安全管理体系。
说明:本标准条款所要求的信息安全管理体系以车辆产品为核心,应覆盖车辆的全生命周期。若流程、规定等仅与企业经营管理、组织自身运营相关,并不涉及车辆产品信息安全相关话题,则不在本标准所要求的体系范围内。
(2)应建立识别、评估、分类、处置车辆信息安全风险及核实已识别风险得到适当处置的流程,并确保车辆风险评估保持最新状态。
说明:本条款要求汽车生产企业针对车辆的信息安全风险进行识别、评估、分类、处置等相关管控活动,并建立相应的流程。此处的流程应能够应对车辆全生命周期的风险管控,企业可自行定义实施路线。
(3)应包含漏洞管理机制,明确漏洞收集、分析、报告、处置、发布等活动环节。
说明:本条款明确要求企业建立漏洞管理机制,并且需涵盖收集、分析、报告、处置、发布等关键环节。
第6章 车辆信息安全一般要求
基于国内行业技术发展现状,参考R155法规中第7.3章节的内容,及附录5中的部分相关内容(表A1 4.3.4、4.3.7有关脆弱性/威胁的描述、漏洞及攻击方法示例,以及表B3、B5中有关的缓解措施),针对如下方面提出要求:
(1)车辆产品开发流程应遵循汽车信息安全管理体系要求。
说明:车辆产品应按照汽车信息安全管理体系中定义的相关流程、制度开展开发工作。
(2)识别和管理车辆与供应商相关的风险。
说明:此处“供应商”关注与车辆产品风险相关的供应商,包括合同供应商、服务提供商等。
发布评论