通知|工信部：加强车联网网络安全和数据安全工作，完善车联网安全保障体系( 二 ) 恒生科技|指数|涨幅|京东

一、网络安全和数据安全基本要求
（一）落实安全主体责任。各相关企业要建立网络安全和数据安全管理制度，明确负责人和管理机构，落实网络安全和数据安全保护责任。强化企业内部监督管理，加大资源保障力度，及时发现并解决安全隐患。加强网络安全和数据安全宣传、教育和培训。
（二）全面加强安全保护。各相关企业要采取管理和技术措施，按照车联网网络安全和数据安全相关标准要求，加强汽车、网络、平台、数据等安全保护，监测、防范、及时处置网络安全风险和威胁，确保数据处于有效保护和合法利用状态，保障车联网安全稳定运行。
二、加强智能网联汽车安全防护
（三）保障车辆网络安全。智能网联汽车生产企业要加强整车网络安全架构设计。加强车内系统通信安全保障，强化安全认证、分域隔离、访问控制等措施，防范伪装、重放、注入、拒绝服务等攻击。加强车载信息交互系统、汽车网关、电子控制单元等关键设备和部件安全防护和安全检测。加强诊断接口（OBD）、通用串行总线（USB）端口、充电端口等的访问和权限管理。
（四）落实安全漏洞管理责任。智能网联汽车生产企业要落实《网络产品安全漏洞管理规定》有关要求，明确本企业漏洞发现、验证、分析、修补、报告等工作程序。发现或获知汽车产品存在漏洞后，应立即采取补救措施，并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息。对需要用户采取软件、固件升级等措施修补漏洞的，应当及时将漏洞风险及修补方式告知可能受影响的用户，并提供必要技术支持。
三、加强车联网网络安全防护
（五）加强车联网网络设施和网络系统安全防护能力。各相关企业要严格落实网络安全分级防护要求，加强网络设施和网络系统资产管理，合理划分网络安全域，加强访问控制管理，做好网络边界安全防护，采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施。自行或者委托检测机构定期开展网络安全符合性评测和风险评估，及时消除风险隐患。
（六）保障车联网通信安全。各相关企业要建立车联网身份认证和安全信任机制，强化车载通信设备、路侧通信设备、服务平台等安全通信能力，采取身份认证、加密传输等必要的技术措施，防范通信信息伪造、数据篡改、重放攻击等安全风险，保障车与车、车与路、车与云、车与设备等场景通信安全。鼓励相关企业、机构接入工业和信息化部车联网安全信任根管理平台，协同推动跨车型、跨设施、跨企业互联互认互通。
（七）开展车联网安全监测预警。国家加强车联网网络安全监测平台建设，开展网络安全威胁、事件的监测预警通报和安全保障服务。各相关企业要建立网络安全监测预警机制和技术手段，对智能网联汽车、车联网服务平台及联网系统开展网络安全相关监测，及时发现网络安全事件或异常行为，并按照规定留存相关的网络日志不少于6个月。
（八）做好车联网安全应急处置。智能网联汽车生产企业、车联网服务平台运营企业要建立网络安全应急响应机制，制定网络安全事件应急预案，定期开展应急演练，及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照《公共互联网网络安全突发事件应急预案》等规定向有关主管部门报告。
（九）做好车联网网络安全防护定级备案。智能网联汽车生产企业、车联网服务平台运营企业要按照车联网网络安全防护相关标准，对所属网络设施和系统开展网络安全防护定级工作，并向所在省（区、市）通信管理局备案。对新建网络设施和系统，应当在规划设计阶段确定网络安全防护等级。各省（区、市）通信管理局会同工业和信息化主管部门做好定级备案审核工作。