汽車產(chǎn)品召回 信息缺陷評估指南 編制說明

一、工作簡況1.任務來源根據(jù)《國家標準化管理委員會關于下達2021年第二批推薦性國家標準計劃及相關標準外文版計劃的通知》（國標（計劃號：20214324-T-469）由全國產(chǎn)品缺陷與安全管理標準化技術委員會（SAC/TC463）歸口管理和組織制定，項目周期24個月。2.制定背景隨著人工智能、信息通信與汽車技術跨界融合，汽車不再是孤立的機電單元，成為智能生態(tài)系統(tǒng)重要載體，汽車逐漸由信息孤島的交通工具發(fā)展成為集出行、娛樂、服務等為一體的數(shù)字空間。車輛運行安全和信息安全風險交織疊加，安全形勢更加復雜嚴峻。據(jù)工業(yè)和信息化部車聯(lián)網(wǎng)漏洞平臺收錄數(shù)據(jù)顯示，自2020年以來，車聯(lián)網(wǎng)漏洞收錄量從1200這些漏洞可能對公眾財產(chǎn)、人身安全造成極大威脅，甚至可造成大面積的交通事故，危害國家安全。漏洞是必然存在的，但并不是所有漏洞都被定義為缺陷。本標準擬解決的問題是提出一種信息缺陷評估方法，用于判定哪些漏洞將被定義為缺陷，需要通過召回方式解決。3.起草過程2021年8月，標準立項計劃下達，國家市場監(jiān)督管理總局缺陷產(chǎn)品召回技術中心（以下簡稱市場監(jiān)管總局召回中心）面向行業(yè)征集起草單位和起草專家，并組建標準起草組；2022年3月，市場監(jiān)管總局召回中心組織標準起草啟動會，形成標準框架并組織專題研討；2023年3月29日，起草組組織召開標準起草啟動會，對草案中信息缺陷評估的基本要素、評估流程和評估結果處置要求等內容進行了深入研討，確定標準草案修改思路及撰寫任務分工；2023年7月，起草組組織中國汽研專家進行專題研討，就漏洞可獲取性、漏洞利用難易程度等級劃分描述進行專題研討；2023年11月，起草組組織華為技術有限公司專家進行專題研討，就信息缺陷評估要素及漏洞可獲取性、漏洞利用難易程度等級劃分進行專題研討；2024年3月13日，起草組組織標準閉門研討會，參與企業(yè)深度討論確定草案框架，確定標準草案主體架構，針對“財產(chǎn)安全”的影響進行嚴重性等內容進行優(yōu)化，完善草案內容；2024年7月，起草組組織標準專題研討會，基于典型案例進行了信息缺陷評估方法應用，并修訂評估指標權重，完善草案內容；2024年9月13日，市場監(jiān)管總局召回中心組織標準研討會，中汽中心、中國汽研、國汽智聯(lián)、華為、比亞迪、吉利、奔馳、蔚來、理想、宇通等10余家單位進行專題研討，重點核對標準內容與GB44495《汽車整車信息安全技術要求》的關系。面向社會公開征求意見。二、國家標準編制原則、主要內容及其確定依據(jù)本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件主要包括范圍、規(guī)范性引用文件、術語和定義、評估流程、5評估與缺陷認定、評估結果處置、附錄A，共7個章節(jié)，其中:本文件給出了汽車產(chǎn)品信息缺陷評估的評估流程、評估與缺陷認定及評估結果處置等內容。本文件適用于汽車產(chǎn)品整車生產(chǎn)者、零部件生產(chǎn)者、系統(tǒng)供應商、數(shù)據(jù)服務商、網(wǎng)絡運營商、產(chǎn)品召回主管部門、產(chǎn)品召回技術機構等主體對在用車輛“云-管-端-外部鏈接”系統(tǒng)漏洞進行缺陷分析、缺陷判定、風險預警與應急處置。2.規(guī)范性引用文件本文件引用了GB/T25069-2022《信息安全技術術語》、GB/T40914-2021《汽車產(chǎn)品召回預警規(guī)則》、GB/T43387《產(chǎn)品召回術語》和GB44495《汽車整車信息安全技術要求》等國家標準。3.術語和定義GB/T25069、GB/T43387、GB44495界定的以及下列術語和定義適用于本文件。本文件增加了信息缺陷、云-管-端-外部鏈接系統(tǒng)、信息缺陷評估、可獲取性、利用難易程度等配套定義。本條款規(guī)定了信息缺陷評估的流程如圖1所示，主要包——確定開展評估的可能被利用的漏洞；——識別觸發(fā)事件；——評估漏洞可獲取性、漏洞利用難易程度，得到漏洞被利用的可能性；——評估漏洞被利用觸發(fā)危險事件的嚴重性；——確定漏洞風險等級，進行缺陷認定。圖1信息缺陷評估流程5.評估與缺陷認定本條款規(guī)定信息缺陷評估需綜合考慮漏洞被利用引發(fā)危險事件或情形的可能性和嚴重性兩個維度，兩者共同決定漏洞風險等級。其中，漏洞被利用風險可能性需通過漏洞可獲取性和漏洞利用難易程度共同決定。1）漏洞可獲取性根據(jù)獲取方式、專用工具、獲取人員的專業(yè)水平和知識水平對漏洞可獲取性進行分析與評估，漏洞可獲取性分為4個等級：容易、中、難、極難。2）漏洞利用難易程度評估分為初步評估和結果修正兩個步驟，分為4個等級：容易、中、難、極難?！柏敭a(chǎn)安全”的影響進行嚴重性等級劃分，分為5個等級：高、較高、中、較低、低。4）在漏洞被利用引發(fā)危險事件或情形的可能性和嚴重性等級確定的基礎上，應按照GB/T34402-2017中4.6的要求確定漏洞風險等級。漏洞風險等級水平分為五級：高（第圖2風險評估矩陣5）缺陷認定。根據(jù)漏洞風險等級和國內外召回案例進行缺陷判定：的漏洞，應認定為信息缺陷；——綜合風險水平等級為中（第3級）的漏洞，通過分析國內外相關召回案例，若存在類似召回案例的，應認定為缺陷；若沒有類似召回案例，應認定為普通漏洞；的，應認定為普通漏洞。6.評估結果處置本章節(jié)規(guī)定了實施召回、發(fā)布預警和組織應急處置三種處置方式。1）召回處置方面，參考GB/T34402-2017《》第5章風險控制部分，根據(jù)漏洞風險等級要求生產(chǎn)者采取實施召回或技術服務活動兩種方式。——對于被認定為信息缺陷的，生產(chǎn)者根據(jù)相應的法律法規(guī)實施召回活動，消除安全隱患?！獙τ诒徽J定為普通漏洞的，生產(chǎn)者可通過技術服務活動方式自行修復。2）發(fā)布預警方面，分為主管部門發(fā)布預警和生產(chǎn)者發(fā)布預警兩種情形，銜接GB/T40914-2021《汽車產(chǎn)品召回預警規(guī)則》。當出現(xiàn)以下情形之一時，汽車召回主管部門按照GB/T40914-2021《汽車產(chǎn)品召回預警規(guī)則》的要求向社會發(fā)布預警信息:——漏洞風險等級為高、較高或中，生產(chǎn)者應實施召回活動而不實施或無法實施召回的；——同一缺陷問題涉及多個不同生產(chǎn)者，部分生產(chǎn)者無法確認的；——生產(chǎn)者不配合缺陷調查的；——其它召回主管部門認為需要通過發(fā)布預警來控制風險的。當出現(xiàn)以下情形之一時，生產(chǎn)者按照GB/T40914-2021《汽車產(chǎn)品召回預警規(guī)則》的要求向社會發(fā)布預警信息并采取應急處置措施:——漏洞風險等級為中、較低或低，同時涉及多個不同生產(chǎn)者或屬于行業(yè)共性問題的；——汽車產(chǎn)品的危險事件或情形對社會具有重大影響——云平臺等相關服務提供商問題導致車輛可能存在風險的；——其它被召回主管部門認定需要啟動風險預警的。3）應急處置方面，明確召回主管部門發(fā)布預警信息后，產(chǎn)品召回技術機構應聯(lián)合應急機構成立調查小組，根據(jù)對應的汽車產(chǎn)品信息問題快速研究應急處理辦法，并對外發(fā)布以幫助社會各界快速采取應急處理措施，防止問題大規(guī)模爆發(fā)。如果信息缺陷涉及到信息系統(tǒng)中軟硬件通用漏洞的，相關應急處理機構應當在汽車產(chǎn)品生產(chǎn)者發(fā)布預警后，對事件即刻做出響應，組織對事態(tài)發(fā)展情況的跟蹤研判，研究制定防范措施和應急工作方案，協(xié)調組織資源調度和部門聯(lián)動的各項準備工作。三、預期的經(jīng)濟效益、社會效益、生態(tài)效益當前，汽車行業(yè)處于前所未有的轉型期與變革期，智能網(wǎng)聯(lián)以及自動駕駛技術的迅猛發(fā)展，極大地改變了傳統(tǒng)出行方式，提升了用戶駕乘體驗，但同時汽車面臨的網(wǎng)絡安全挑戰(zhàn)也更加復雜多變，數(shù)據(jù)泄露、遠程控車、系統(tǒng)崩潰等風險場景屢見不鮮。構建一個安全、可靠的車聯(lián)網(wǎng)生態(tài)系統(tǒng)，已成為全行業(yè)的共同責任與迫切需求。汽車信息安全缺陷，將成為汽車缺陷的新形態(tài)！汽車信息安全問題不僅涉及到個人信息泄露、財產(chǎn)（賬戶）安全，還有可能遭到網(wǎng)絡攻擊，遠程控制造成汽車無法正常操控，引發(fā)交通事故。本標準的編制旨在對車輛漏洞風險評估過程進行規(guī)范化和標準化，為汽車信息缺陷判定提供科學依據(jù)，為政府部門和生產(chǎn)者作出召回決策和其他批次性問題處理方式提供實用性指南。本標準是落實《缺陷汽車產(chǎn)品召回管理條例》相關要求的重要支撐標準，也是加強缺陷汽車產(chǎn)品召回監(jiān)管的基礎技術標準，還是指導生產(chǎn)者進一步完善汽車產(chǎn)品信息安全風險管理的關鍵技術標準。四、與國際、國外同類標準技術內容的對比情況目前國際上沒有可供參考、借鑒的標準，本標準未采用本標準與GB44495-2024《汽車整車信息安全技術要求》有效協(xié)同。GB44495明確提到車輛外部連接系統(tǒng)及軟件升級系統(tǒng)不應存在由汽車行業(yè)權威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞，通過此舉在產(chǎn)品上市前盡可能規(guī)避了漏洞引起了風險。但漏洞數(shù)據(jù)是動態(tài)變化的，每天都會層出不窮的爆出新漏洞，因此在車型上市后的后市場階段此類安全問題需引起重視，漏洞引起的安全缺陷需要及時通過召回來修復，因此本標準與強標協(xié)同，確保汽車上市后的安全缺陷被有效識別及判定，進一步通過召回降低安全風險，保障汽車安全。五、與有關法律、行政法規(guī)及相關標準的關系本文件與《中華人民共和國產(chǎn)品質量法》《缺陷汽車產(chǎn)品召回管理條例》等國家有關現(xiàn)行法