ICS 33.040.40 CCS M19 体 标 准 T/SHV2X3-2025 车联网服务平台风险评估实施指南 Implementation guidelines to risk assessment of service platform ofIntermnet ofvehicles 2025-01-15发布 2025-01-15实施 上海市车联网协会发布
T/SHV2X3-2025 目次 前 II 1范围.. 2规范性引用文件 3术语和定义 4概述.. 4.1评估对象 4.2评估原则. 4.3评估过程和方法 5风险评估实施. 5.1风险评估准备. 5.2风险要素识别 5.3风险分析.
2 附录A(规范性)资产赋值计算 附录B(资料性)风险评估列表 7 参考文献. 20
T/SHV2X3-2025 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》给出的 规则起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由上海市车联网协会提出并归口.
本文件起草单位:上研智联智能出行科技(上海)有限公司、上海计算机软件技术开发中心、上 海银基科技股份有限公司、润成安全技术有限公司、工业互联网创新中心(上海)有限公司、上海蔚 来汽车有限公司、零束科技有限公司、上汽大众汽车有限公司、福特汽车(中国)有限公司、沃尔沃 汽车技术(上海)有限公司、艾普拉斯(上海)质量检测有限公司、上海优咔网络科技有限公司.
本文件主要起草人:杨伟利、潘政伟、宋晓航、毛争艳、何旺君、李爽、严超、刘海、曹远晶、 张孟、周悦、杨晓光、王菲、王艳艳,杜同祯、杨清羽、李泽惠、薛超、杨靖、王寨纳.
Ⅱ
T/SHV2X3-2025 车联网服务平台风险评估实施指南 1范围 本文件描述了车联网服务平台风险评估实施的过程和方法.
本文件适用于指导智能网联汽车生产企业、车联网服务平台运营企业等车联网服务平台相关企业 以及评测机构对车联网服务平台风险评估的实施,也可供相关主管部门参考.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适 用于本文件.
T/CCSA339-2021车联网网络安全防护定级备案实施指南 T/CCSA441-2023车联网服务平台网络安全防护要求 3术语和定义 下列术语和定义适用于本文件.
3.1. 车联网Internetof vehicle 通过新一代网络通信技术实现与汽车、电子、道路交通运输等领域深度融合,实现车、路、人、 平台等之间的全方位互联和信息交互,促进车辆行驶安全、交通效率服务以及支撑自动驾驶演进的复 杂网络及相关系统.
[来源:T/CCSA 339-2021 3.1] 3.2 车联网服务平台serviceplatformofInternetofvehicle 面向车联网业务应用,负责车辆及相关设备信息的接入、汇聚、计算、监控或管理等功能(可负 责一种或多种功能),提供信息管理或服务等的信息系统/平台,例如车辆运营管理、信息娱乐、在线 升级、远程诊断、远程控制、车联网卡管理等应用服务或管理功能.
[来源:T/CCSA 441-2023 3.1] 3.3 企业敏感数据organization sensitive data
T/SHV2X 3-2025 智能网联汽车生产企业、车联网服务平台运营企业业务过程中涉及的,一旦被泄露或募改、损毁, 可能直接危害经济运行、社会稳定、公共健康和安全、个人权益,或对企业合法权益、经济利益造成 严重危害的数据.
4概述 4.1评估对象 本文件给出了车联网结构层次的一般描述,并对应到车联网服务平台的类型上,如图1所示.
车联网结构层次 层次功能实现 车联网服务平台类型 业务层 利用资源开展业务以实现价值 业务平台 应用层 提供应用以满足最终用户需求 应用平台 功能层 提供基础功能以支撑应用实现 功能平台 通信层 提供通信能力以支撑联网实现 通信平台 感知层 提供感知基础设施以收集信息 感知平台 图1车联网层次结构模型及对应的车联网服务平台类型 本文件的风险评估对象为图1中各类型车联网服务平台安全运行所涉及的必要要素,评估内容包 括组成车联网服务平台的信息系统所涉及的物理环境、网络、系统、应用及管理等层面所面临的安全 风险.
4.2评估原则 对各类车联网服务平台实施风险评估遵循以下原则: a))关键业务原则:将被评估方的关键业务作为评估工作的核心,将涉及这些业务的相关网络与 系统作为评估的重点: b)可控性原则:在风险评估项目实施过程中,严格按照标准的项目管理方法对服务过程、人员 和工具等进行控制,保证风险评估实施过程的安全可控: c)最小影响原则:首要保障业务系统的稳定运行,面对于需要进行攻击性测试的工作内容,与 被评估方沟通并进行应急备份,同时避开业务的高峰时间进行.
4.3评估过程和方法 如图2所示,对车联网服务平台实施风险评估的过程可划分为风险评估准备、风险要素识别和风 险分析三个阶段.
2
