Ministerio de Industria y Tecnologías de la Información: Fortalecimiento de la gestión de seguridad de la red de Internet de los vehículos
El siguiente es el texto completo del aviso:
Los departamentos de industria y tecnología de la información de todas las provincias, regiones autónomas y municipios directamente dependientes del Gobierno Central, la Administración de Comunicaciones de China Telecom Group Co., Ltd., China Mobile Communications Group Co., Ltd., China United Network Communications Group Co., Ltd., empresas operadoras de Internet de vehículos relevantes y fabricantes de automóviles inteligentes conectados:
Para implementar la "Ley de Ciberseguridad de la República Popular China" y el "Plan de Desarrollo de la Industria de Vehículos de Nuevas Energías (2021-2035)", la "Estrategia de Innovación y Desarrollo de Vehículos Inteligentes" y la "Acción de la Industria de Internet de los Vehículos (Vehículos Inteligentes Conectados)" Plan" orienta a las empresas de telecomunicaciones básicas, operadores de Internet de los Vehículos y fabricantes de vehículos inteligentes conectados para fortalecer la construcción del Internet de los Vehículos (vehículos inteligentes interconectados). Los asuntos relevantes ahora se notifican de la siguiente manera.
El primero es reforzar la protección de seguridad de la red del Internet de los Vehículos.
(1) Proteger la seguridad de las instalaciones y sistemas de la red de Internet de los Vehículos. Implementar las principales responsabilidades de seguridad de la red corporativa, establecer sistemas de gestión de seguridad de la red de Internet de vehículos y procedimientos operativos, determinar la persona responsable de la seguridad de la red, realizar evaluaciones periódicas de cumplimiento y evaluaciones de riesgos, y eliminar los riesgos de seguridad de la red de manera oportuna. Implementar estrictamente los requisitos de protección jerárquica, fortalecer las instalaciones de la red y la gestión de activos del sistema, dividir razonablemente los dominios de seguridad de la red, fortalecer la gestión del control de acceso, hacer un buen trabajo en la protección de la seguridad de los límites de la red y tomar medidas técnicas para prevenir virus troyanos, ataques de red, intrusiones en la red y otras amenazas que ponen en peligro la seguridad del Internet de los Vehículos.
(2) Garantizar la seguridad de las comunicaciones por Internet de los Vehículos. Establecer mecanismos empresariales de confianza de seguridad y autenticación de identidad de Internet de los vehículos, y fortalecer la construcción de capacidades de comunicación segura en escenarios de vehículo a vehículo, de vehículo a carretera, de vehículo a la nube, de vehículo a dispositivo y otros. Promover el reconocimiento mutuo y la interoperabilidad entre vehículos, instalaciones y empresas. Fortalecer la aplicación de contraseñas comerciales y realizar evaluaciones de seguridad de contraseñas comerciales.
(3) Realizar monitoreo y alerta temprana de seguridad de Internet de los Vehículos. Establecer un mecanismo de monitoreo y alerta temprana de la seguridad de la red y medios técnicos para llevar a cabo el monitoreo de la seguridad operativa, el monitoreo del tráfico y el análisis del comportamiento de vehículos y sistemas de red inteligentes conectados a la red, y descubrir rápidamente incidentes de seguridad de la red o proporcionar alertas tempranas sobre estados de seguridad anormales y malware. propagación, anomalías de comunicación de la red y ataques de red y otros comportamientos anormales, y guarde los registros de red relevantes durante al menos 6 meses según sea necesario.
(4) Hacer un buen trabajo en la respuesta de emergencia de seguridad al Internet de los vehículos. Establecer un mecanismo de emergencia de seguridad de la red y formular planes de emergencia para incidentes de seguridad de la red. Lleve a cabo simulacros de emergencia periódicos para responder rápidamente a amenazas de seguridad, ataques a la red, intrusiones en la red y otros riesgos de seguridad de la red. Una vez que se produzca un incidente que ponga en peligro la seguridad de la red, active inmediatamente el plan de emergencia, tome las medidas correctivas correspondientes e informe a las autoridades competentes pertinentes de acuerdo con el "Plan de emergencia de emergencia para la seguridad de Internet".
(5) Realizar la clasificación y archivo de la protección de seguridad de Internet de los Vehículos. De acuerdo con las normas pertinentes para la protección de seguridad de la red de Internet de vehículos, llevar a cabo trabajos de clasificación de protección de seguridad de la red para sus instalaciones y sistemas de red e informarlo a la autoridad provincial de telecomunicaciones para su archivo. Para nuevas instalaciones y sistemas de red, el nivel de protección de seguridad de la red debe determinarse durante las etapas de planificación y diseño. Las autoridades provinciales de telecomunicaciones deberían trabajar con las autoridades de la industria y las tecnologías de la información para llevar a cabo trabajos de clasificación, archivo y revisión.
El segundo es fortalecer la protección de seguridad de la plataforma.
(1) Fortalecer la gestión de seguridad de la red de la plataforma. Tomar las medidas técnicas de seguridad necesarias para fortalecer la seguridad del acceso a plataformas como automóviles inteligentes conectados y dispositivos perimetrales, la seguridad de las instalaciones de la plataforma, como hosts y sistemas de almacenamiento de datos, y las capacidades de protección de seguridad de microservicios, gestión de recursos, acceso a API y otras plataformas. aplicaciones para prevenir riesgos de seguridad como intrusión en la red, robo de datos y control remoto. Aquellos que involucran servicios de telecomunicaciones, como procesamiento de datos en línea, procesamiento de transacciones y servicios de información, deben obtener una licencia comercial de telecomunicaciones de acuerdo con la ley. Si se identifica como infraestructura de información crítica, deberá implementar la normativa nacional pertinente sobre la protección de la seguridad de la infraestructura de información crítica.
(2) Fortalecer la seguridad del servicio OTA y la detección y evaluación de vulnerabilidades. Realice pruebas de seguridad de red en servicios OTA y paquetes de software para descubrir rápidamente vulnerabilidades de seguridad en servicios y productos. Fortalecer las capacidades de inspección de seguridad de las empresas OTA y adoptar medidas técnicas como la autenticación de identidad y la transmisión cifrada para garantizar la seguridad de la red del entorno de transmisión y el entorno de ejecución. Fortalecer el monitoreo y la respuesta de emergencia de todo el proceso de seguridad de la red del servicio OTA, evaluar rápidamente las condiciones de seguridad de la red y prevenir riesgos de seguridad de la red, como manipulación, destrucción, fugas e infección de virus de software.
(3) Fortalecer la gestión de seguridad de las aplicaciones. Establecer un sistema de gestión de seguridad para el desarrollo, lanzamiento, uso y actualización de aplicaciones de Internet de vehículos (automóviles inteligentes conectados) para mejorar las capacidades de seguridad en la identificación de aplicaciones, la seguridad de las comunicaciones y la protección de datos clave. Fortalecer la detección de seguridad de las aplicaciones de Internet de vehículos (automóviles inteligentes conectados), responder a los riesgos de seguridad de manera oportuna y prevenir ataques y propagación de aplicaciones maliciosas.
En tercer lugar, garantizar la seguridad de los datos.
(1) Fortalecer la gestión de la seguridad de los datos. Establecer y mejorar el sistema de gestión de seguridad de los datos, establecer y mejorar la gestión de autoridades, el monitoreo y la alerta temprana, la respuesta de emergencia, la aceptación de quejas y otras medidas de salvaguardia, aclarar los departamentos responsables y las personas responsables y fortalecer la educación y capacitación del personal. Establecer un libro de contabilidad de gestión de activos de datos, implementar una gestión de datos clasificados y jerárquicos y fortalecer la protección de la información personal y los datos importantes. Realizar periódicamente evaluaciones de riesgos de seguridad de los datos y fortalecer la investigación y rectificación de peligros ocultos.
(2) Mejorar las capacidades de soporte técnico para la seguridad de los datos.
Adhiérase al principio de "mínima necesidad" para recopilar datos y tome medidas técnicas de protección efectivas durante todo el ciclo de vida de los datos para evitar riesgos como fuga, daño, pérdida, manipulación, uso indebido y abuso de datos. Fortalecer la construcción de capacidades de monitoreo de seguridad de datos y alerta temprana, y mejorar el nivel de análisis de tráfico anormal, monitoreo de transmisiones transfronterizas ilegales y seguimiento de incidentes de seguridad. Manejar los incidentes de seguridad de datos de manera oportuna, informar a las autoridades provinciales de telecomunicaciones, industria y tecnología de la información, cooperar con la supervisión e inspecciones relevantes y brindar el soporte técnico necesario.
(3) Estandarizar el desarrollo, utilización e intercambio de datos. Desarrollar y utilizar racionalmente recursos de datos para evitar que el uso de tecnología de toma de decisiones automatizada para procesar datos infrinja la privacidad y el derecho a saber de los usuarios. Aclarar los requisitos de responsabilidad y gestión de seguridad para el intercambio, el desarrollo y la utilización de datos, revisar y evaluar las calificaciones y capacidades de los socios de datos, y supervisar y gestionar el uso del intercambio de datos.
(4) Reforzar la gestión de seguridad de la exportación de datos. La información personal y los datos importantes recopilados y generados dentro del territorio de la República Popular China se almacenarán dentro del territorio de conformidad con la ley. Si realmente necesita proporcionar datos en el extranjero debido a necesidades comerciales, debe aprobar la evaluación de seguridad de exportación de datos e informar a los departamentos provinciales de telecomunicaciones, industria y tecnología de la información correspondientes. Las autoridades provinciales de telecomunicaciones deben trabajar con las autoridades de la industria y las tecnologías de la información para completar el trabajo de archivo de datos, evaluación de seguridad y supervisión e inspección.
El cuarto es fortalecer la gestión de vulnerabilidades de seguridad.
(1) Establecer un mecanismo de gestión de vulnerabilidades de seguridad. Implementar regulaciones nacionales relevantes sobre la gestión de vulnerabilidades de seguridad de productos de red, establecer un mecanismo de gestión de vulnerabilidades de seguridad para Internet de los vehículos (automóviles inteligentes conectados), aclarar el flujo de trabajo para el descubrimiento, análisis y reparación de vulnerabilidades, fortalecer la inversión en recursos de gestión de vulnerabilidades y garantizar que las vulnerabilidades sean reparado de manera oportuna y razonable al público.
(2) Fortalecer la recopilación de vulnerabilidades de seguridad. Fortalecer la creación de capacidades para el seguimiento activo de los riesgos de vulnerabilidad, la evaluación de riesgos y la verificación técnica. Establezca un canal para recibir información sobre vulnerabilidades y manténgalo abierto, y recopile de manera proactiva información sobre vulnerabilidades descubierta por usuarios, proveedores ascendentes y descendentes, empresas de seguridad de redes e instituciones de investigación. Y fortalecer la cooperación con las plataformas de recopilación de vulnerabilidades. Fomentar la creación de incentivos a la vulnerabilidad.
(3) Fortalecer el procesamiento colaborativo de vulnerabilidades de seguridad. Después de descubrir o enterarse de que existen vulnerabilidades en las instalaciones de redes corporativas, sistemas comerciales y productos de vehículos inteligentes conectados, se deben tomar medidas correctivas de inmediato y la información sobre vulnerabilidades se debe informar a la plataforma de intercambio de información sobre vulnerabilidades y amenazas a la seguridad de la red del Ministerio de Industria y Tecnología de la Información. Fortalecer el procesamiento colaborativo de vulnerabilidades en productos o piezas ascendentes y descendentes. Si los usuarios necesitan tomar medidas como actualizar software o firmware para corregir vulnerabilidades, deben informar de inmediato a los usuarios potencialmente afectados sobre los riesgos de vulnerabilidad y los métodos de reparación, y brindar el soporte técnico necesario. (Compilado por Chen Hao de Autohome)
El contenido anterior lo carga y publica el propietario del automóvil. Vea el texto original.
Un millón de subvenciones para la compra de coches