信息安全|关注安言

车联网安全作为智能网联汽车领域的重要组成部分,正日益成为影响汽车行业发展、道路交通安全乃至国家信息安全的关键因素。随着物联网、大数据、云计算、人工智能等技术的飞速发展,车辆与车辆、车辆与道路基础设施、车辆与云端平台之间的数据交互日益频繁,为驾驶者提供了更加便捷、智能的出行体验。

然而,这种高度互联的状态也带来了前所未有的安全挑战,包括数据安全、隐私保护、系统稳定性及车辆控制安全等多个方面。为了有效应对这些挑战,2024年9月20日,国家市场监督管理总局、国家标准化管理委员会批准发布了《汽车整车信息安全技术要求》等8项强制性国家标准和《智能网联汽车 术语和定义》等10项推荐性国家标准。其中,有3项强制性国家标准和1项推荐性国家标准与车联网数据安全及网络安全有关。发布标准的目的在于增强汽车领域安全防护能力、筑牢汽车网络和数据安全防护基线、提升汽车产品性能质量、促进技术创新发展和产业转型升级。

车联网安全所面临的挑战

从近年来发生的车联网安全事件来看,车联网系统面临着来自黑客和恶意用户的网络攻击,包括但不限于窃听、篡改、伪造数据等,这些攻击可能导致车辆被非法控制、数据泄露或系统瘫痪。同时,黑客可以通过互联网、移动通信网络等远程手段对车联网系统进行攻击,利用系统漏洞或安全缺陷实施恶意行为。

此外,2024年初“宝马数据泄漏”等安全事件的发生,也标志着敏感数据泄露是车联网安全另一大需要特别关注的重点。车联网系统中存储和传输的数据涉及用户隐私、车辆位置、行驶轨迹等敏感信息,一旦泄露将对用户个人安全和企业商业利益造成严重影响。

更不要说车联网系统涉及多个子系统和组件的协同工作,其复杂性增加了数据安全的防护难度。因此,随着网络攻击和数据泄露事件的频繁发生,汽车制造商正面临巨大的压力。如何有效保护用户数据、预防信息泄露,已成为行业的关键挑战。

智能网联汽车领域的首批强制性国标

而《汽车整车信息安全技术要求》的发布,能为汽车制造商在车联网安全方面提供科学、系统的指导。本次发布的8项强制性国家标准中,GB 44495—2024《汽车整车信息安全技术要求》、GB 44496—2024《汽车软件升级通用技术要求》和GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》是我国智能网联汽车领域的首批强制性国标,其代表着我国智能网联汽车技术的创新成果与经验总结,对提升智能网联汽车安全水平、保障产业健康持续发展具有重要意义。

根据《中华人民共和国标准化法》,国家标准分为强制性标准、推荐性标准。强制性国家标准由国务院批准发布或者授权批准发布,事关人身健康和生命财产安全、国家安全、生态环境安全以及经济社会管理基本需要且必须执行,发挥着基础性、引领性、战略性作用,对于提升产品质量、构建涉外技术贸易壁垒具有重要作用。推荐性国标则是满足基础通用、强制性国标的配套、对各有关行业起引领作用等需要的技术要求。

三项强制性国家标准如下:

GB 44495-2024《汽车整车信息安全技术要求》规定了汽车信息安全管理体系要求,以及外部连接安全、通信安全、软件升级安全、数据安全等方面的技术要求和试验方法,适用于M类、N类及至少装有1个电子控制单元的O类车辆,对于提升我国汽车产品的信息安全防护技术水平、强化产业链风险防范和应对网络攻击的能力、筑牢汽车信息安全防护基线具有重要意义。

GB 44496-2024《汽车软件升级通用技术要求》规定了汽车软件升级的管理体系要求,以及用户告知、版本号读取、安全保护、先决条件、电量保障、失败处理等车辆软件升级功能方面的技术要求和试验方法,适用于具备软件升级功能的M类、N类和O类车辆,为规范车企软件升级行为、保障消费者权益和落实软件升级监管政策奠定坚实的标准基础。

GB 44497-2024《智能网联汽车 自动驾驶数据记录系统》规定了智能网联汽车自动驾驶数据记录系统的数据记录、数据存储和读取、信息安全、耐撞性能、环境评价性等方面的技术要求和试验方法,适用于M和N类车辆配备的自动驾驶数据记录系统,将为事故责任认定及原因分析提供技术支撑,有利于促进自动驾驶技术进步。

同样的,10项推荐性国家标准中的GB/T 44464-2024《汽车数据通用要求》也对车联网数据安全提出了详细要求,其规定了汽车处理个人信息和重要数据的一般要求,对个人信息保护的要求,对于重要数据在收集、存储、使用、传输、处理等各个环节中的保护要求以及审核评估及试验要求等。

GB/T 44464-2024《汽车数据通用要求》:本文件规定了汽车产品在研发设计和生产制造过程中产生和收集的数据的一般要求、个人信息保护要求、重要数据保护要求、审核评估及试验要求,描述了相应试验方法,适用于汽车产品及汽车数据处理者,

ISO27701保障汽车数据安全

在以上这些背景的基础上,就不得不提到ISO 27001的扩展标准ISO 27701了。ISO 27701是由国际标准化组织(ISO)发布的隐私信息管理标准,旨在协助组织建立和维护有效的隐私管理体系。该标准为企业提供了一套系统化的框架,确保在处理个人数据时,能够实现合规性和安全性。ISO 27701不仅适用于数据控制者,也适用于数据处理者,涵盖了从数据收集、存储到使用和共享的各个环节,因此在汽车行业也得到了广泛应用。

通过实施ISO 27701标准,汽车制造商能够建立一套完善的数据安全管理体系。这不仅包括技术层面的防护措施,如加密和访问控制,还涵盖了管理层面的政策和流程,确保所有员工都能遵循数据安全的最佳实践。

此外,ISO 27701标准能帮助企业识别和评估数据处理过程中的风险,确保其符合相关法律法规的要求。随着全球数据保护法规日趋严格,实施ISO 27701能够有效降低法律风险,避免因数据泄露而产生的高额罚款。

同时,在数据隐私日益受到关注的背景下,消费者对汽车制造商的信任度已成为影响购买决策的关键因素。获得ISO 27701认证可以向客户展示企业在数据保护方面的坚定承诺,增强用户信任感,同时提升品牌形象。

我司在ISO27001\27701体系建设咨询服务

及数据安全咨询服务方面的实践

作为一家专注于标准体系咨询的老牌顾问公司,我司在ISO27000系列体系建设咨询服务及数据安全咨询服务方面积累了丰富的经验。

在具体实践中,我们会结合客户的实际需求和业务特点,制定个性化的咨询服务方案。通过深入分析客户的个人信息处理流程和场景,我们帮助客户识别出潜在的敏感个人信息风险点,并制定相应的隐私保护措施和控制措施。同时,我们还为客户提供全面的隐私管理体系建设培训和指导服务,帮助客户建立符合ISO27701要求的隐私管理体系,并持续监控和优化其运行效果。