应建立车辆全生命周期的信息安全管理体系

《汽车整车信息安全技术要求》（征求意见稿）中提出，车辆制造商应建立车辆全生命周期的信息安全管理体系。

5月5日，据工信部网站，工业和信息化部装备工业一司组织全国汽车标准化技术委员会开展了《汽车整车信息安全技术要求》与《智能网联汽车自动驾驶数据记录系统》等四项强制性国家标准的制修订，已形成征求意见稿，现公开征求社会各界意见。

《汽车整车信息安全技术要求》（征求意见稿）中提出，车辆制造商应建立车辆全生命周期的信息安全管理体系。

汽车制造商应对其未授权的第三方应用的安装运行采取防护措施，如在安装时进行提示、限制其访问权限，避免非授权的第三方应用对车辆系统等的资源配置、关键参数、重要数据等进行访问。

应对USB端口接入设备中的文件进行访问控制，只允许指定格式的文件读写或指定签名的应用软件安装或执行，应具备USB端口接入设备中病毒程序或携带病毒的媒体文件/应用软件的鉴别并禁止安装的能力，对通过诊断接口发送的对车辆关键参数写操作请求时，进行身份鉴别、访问控制等安全策略。

《智能网联汽车 自动驾驶数据记录系统》（征求意见稿）中提出，自动驾驶数据记录系统应记录车辆及自动驾驶数据记录系统基本信息、车辆状态及动态信息、自动驾驶系统运行信息、行车环境信息和驾驶员操作及状态信息五类数据元素。

自动驾驶数据记录系统记录的数据在事故发生后主要用于责任判定及事故分析，因此数据是否没有被篡改、具备基本的可信度对于数据是否可用具有重要决定作用，因本标准对于自动驾驶数据记录系统的信息安全提出了基线要求，保证记录的数据的完整性和真实性，以防止数据的篡改、恶意删除和伪造，当数据完整性和真实性遭到破坏时，应能通过技术手段识别和日志记录。