ICS43.020 CCST40 中华人民共和国国家标准 GB44495—2024 汽车整车信息安全技术要求 Technicalrequirementsforvehiclecybersecurity 2024-08-23发布 2026-01-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 汽车信息安全管理体系要求 2 …………………………………………………………………………… 6 信息安全基本要求 3 ……………………………………………………………………………………… 7 信息安全技术要求 4 ……………………………………………………………………………………… 8 检查与试验方法 6 ………………………………………………………………………………………… 9 同一型式判定 13 …………………………………………………………………………………………… 10 标准的实施 14 …………………………………………………………………………………………… 参考文献 15 …………………………………………………………………………………………………… ⅠGB44495—2024 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件技术内容参考了联合国技术法规UNR155《关于批准车辆信息安全和信息安全管理体系的 统一规定》。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国工业和信息化部提出并归口。 ⅢGB44495—2024 汽车整车信息安全技术要求 1 范围 本文件规定了汽车信息安全管理体系要求、信息安全基本要求、信息安全技术要求及同一型式判 定,描述了相应的检查与试验方法。 本文件适用于M类、N类及至少装有1个电子控制单元的O类车辆。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T40861 汽车信息安全通用技术要求 GB/T44373 智能网联汽车 术语和定义 GB/T44464—2024 汽车数据通用要求 GB44496 汽车软件升级通用技术要求 3 术语和定义 GB/T40861、GB/T44373、GB44496界定的以及下列术语和定义适用于本文件。 3.1 汽车信息安全 vehiclecybersecurity 汽车的电子电气系统、组件和功能被保护,使其资产不受威胁的状态。 [来源:GB/T40861—2021,3.1] 3.2 汽车信息安全管理体系 cybersecuritymanagementsystem;CSMS 基于风险的系统方法。 注:包括组织流程、责任和治理,以处理与车辆网络威胁相关的风险并保护车辆免受网络攻击。 [来源:GB/T44373—2024,3.11,有修改] 3.3 风险 risk 车辆信息安全不确定性的影响。 注:风险用攻击可行性和影响表示。 3.4 风险评估 riskassessment 发现、识别和描述风险,理解风险的性质以及确定风险级别,并将风险分析的结果与风险标准进行 比较,以确定风险是否可接受的过程。 3.5 威胁 threat 可能导致系统、组织或个人受到损害的意外事件的潜在原因。 1GB44495—2024 3.6 漏洞 vulnerability 在资产或缓解措施中,可被一个或多个威胁利用的弱点。 3.7 车载软件升级系统 on-boardsoftwareupdatesystem 安装在车端并具备直接接收、分发和校验来自车外的升级包等用于实现软件升级功能的软件和 硬件。 [来源:GB44496—2024,3.12] 3.8 在线升级 over-the-airupdate 通过无线方式而不是使用电缆或其他本地连接方式将升级包传输到车辆的软件升级。 注1:“在线升级”也称“远程升级”。 注2:“本地连接方式”一般指通过车载诊断(OBD)接口、通用串行总线(USB)接口等进行的物理连接方式。 [来源:GB44496—2024,3.3] 3.9 离线升级 offlineupdate 除在线升级外的软件升级。 [来源:GB44496—2024,3.13] 3.10 敏感个人信息 sensitivepersonalinformation 一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全 受到严重危害的个人信息。 注:包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。 4 缩略语 下列缩略语适用于本文件。 CAN:控制器局域网络(ControllerAreaNetwork) ECU:电子控制单元(ElectronicControlUnit) HSM:硬件安全模块(HardwareSecurityModule) NFC:近场通信(NearFieldCommunication) OBD:车载诊断(On-BoardDiagnostics) RFID:射频识别(RadioFrequencyIdentification) USB:通用串行总线(UniversalSerialBus) VLAN:虚拟局域网(VirtualLocalAreaNetwork) VIN:车辆识别代号(VehicleIdentificationNumber) V2X:车辆与车外其他设备之间的无线通信(VehicletoEverything) WLAN:无线局域网(WirelessLocalAreaNetworks) 5 汽车信息安全管理体系要求 5.1 车辆制造商应具备车辆全生命周期的汽车信息安全管理体系。 注:车辆全生命周期包括车辆的开发阶段、生产阶段及后生产阶段。 2GB44495—2024