《汽车信息安全应急响应管理规范》

1汽车信息安全应急响应管理规范本文件规定了汽车信息安全应急响应的管理流程和管理方法。本文件适用于相关组织开展的汽车信息安全应急响应管理，包括准备、核验、处置、恢复及事件后处理等各阶段工作。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。汽车信息安全vehiclecybersecurity汽车的电子电气系统、组件和功能被保护，使其资产不受威胁的状态。[来源：GB/T40861—2021，3.1]汽车信息安全事件vehiclecybersecurityincident与可能危害组织资产或损害其运行相关的、单个或多个被识别的汽车信息安全事态。应急响应计划emergencyresponseplan组织为了应对突发/重大信息安全事件而编制的，对包括信息系统运行在内的业务运行进行维持或恢复的策略和规程。[来源：GB/T24363—2009，3.5]3.4汽车信息安全脆弱性vehiclecybersecurityvulnerability可能被汽车信息安全事件中威胁场景所利用的弱点。3.5汽车信息安全应急响应emergencyresponseforvehiclecybersecurity汽车制造商、供应商及其他利益相关者等组织为了应对突发汽车信息安全事件的发生而做的准备工作，以及在事件发生后所采取的措施（不包括供应商及其他利益相关者内部与事件无关的工作和措施以及事后评估、追踪和总结工作。利益相关者stakeholder由于违背一个或一组资产的一个或多个信息安全属性（保密性、完整性和可用性等）而导致不良后果或不利结果，由此可能影响到或意识到自己可能被影响的个人或者组织。2组织organization具有自身的职责、权威和关系以实现其目标的个人或集体。[来源：GB/T20984—2022，3.1.3]4总体结构图本文件各个阶段总体架构见图1，完整的应急响应流程示例，见A.1。图1汽车信息安全应急响应管理规范总体架构图5准备阶段5.1概述组织应在本阶段完成应急预案的编制和修订，即制定应急响应计划，确立角色职责，完成应急响应计划的培训、演练、管理和更新，制定信息安全事件分类分级规范，制定和分发信息安全应急响应操作手册等，并在本阶段建立与外部相关组织的协同合作机制。应急响应计划制定5.2.1应急响应计划应至少明确规定以下内容：a)角色及职责；b)应急响应流程；c)核验阶段、处置阶段、恢复阶段和事后处理阶段中各流程的时间要求，应根据不同应急响应级别制定不同级别的时间要求，应急响应分级见B.1；d)其他相关的表单附件等。5.2.2应急响应计划应基于组织自身情况，结合自身业务特点，计划应具备可操作性。3GB/TXXXXX—XXXX5.2.3在制定应急响应计划工作时，参与人员应遵守以下原则：a)保密性原则：不应向未授权的个人、实体或过程提供或泄漏应急响应工作信息；b)规范性原则：制定应急响应计划的过程中，应遵循组织相关信息安全管理制度；c)最小影响原则：应急响应计划涉及的内容应为完成应急响应目的所必需的工作。5.3角色及职责确立5.3.1角色划分组织应结合本单位日常机构建立信息安全应急响应的工作机构，明确其职责，要求如下：a)如有一人承担多项职责、一项职责由多人承担的情况，应急响应计划文档中应明确人员和职责的映射关系，单项职责还应明确人员的替代顺序；b)应急响应的工作机构应由管理、业务、技术和行政后勤等人员组成，按角色可划分为五个功能小组：应急响应领导小组、应急响应专家小组、应急响应实施小组、应急响应技术保障小组和应急响应日常运行小组等。组织应根据人员所具备的技能和知识将其分配到这些小组中，分配到相关小组中的人员在日常工作中宜负责相同或类似的工作。在以上五个功能小组中，组织应至少设置应急响应领导小组、应急响应实施小组（合并专家小组职责）、应急响应日常运行小组（合并技术保障小组职责）。组织可根据自身业务特点和组织架构，设立其他小组（名称可自拟），但相关职责应完备；c)组织可聘请具有相应资质的外部专家协助应急响应工作，也可委托具有相应资质的外部机构承担实施小组以及日常运行小组的部分工作。在聘请外部专家或委托外部机构时，应与其签订相关协议（例如信息保密协议、服务水平协议、服务持续协议等）；d)应急响应各功能小组应明确内部分工职责，各小组内部应具备统筹负责的人员。5.3.2各功能小组的职责确立5.3.2.1应急响应领导小组应急响应领导小组是信息安全应急响应工作的领导机构，组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息安全应急响应的重大事宜，要求如下：a)组建应急响应专家小组、应急响应实施小组、应急响应技术保障小组和应急响应日常运行小组，并负责应急响应全过程管理；b)对应急响应工作的承诺和支持，包括发布正式文件、提供必要资源（人、财、物）等；c)批准应急响应计划及各阶段文档；d)批准和监督应急响应计划的执行；e)负责在组织内部通报发生的汽车信息安全事件；f)负责批准汽车信息安全事件恢复方案的实施；g)负责组织内部、外部（如供应商、其他利益相关者）的协调工作。5.3.2.2应急响应专家小组应急响应专家小组是信息安全应急响应工作的技术专家机构之一，成员应包括组织内部专家和/或具有相应资质的外部专家，应急响应专家小组的职责包括：a)评估重大信息安全事件，提出启动应急响应的建议；b)研究分析信息安全事件及其发展趋势，为应急响应提供咨询或提出建议；c)分析信息安全事件原因及造成的危害，为应急响应提供技术支持；d)定期启动应急响应计划评审；4GB/TXXXXX—XXXXe)评审应急响应计划及各阶段文档。5.3.2.3应急响应实施小组应急响应实施小组是信息安全应急响应工作的技术专家机构之一，成员应包括组织内部技术部门的专业人员（如设计人员、开发人员、测试人员等）和业务部门的专业人员（如客户对接人员、法务合规人员、政府对接人员、舆论监督人员、供应链管理人员、生产制造人员、运维服务人员等）等，应急响应实施小组的职责包括：a)分析应急响应需求（如风险评估、业务影响分析等）；b)确定应急响应策略和等级；c)编制、管理和更新应急响应计划；d)实施应急响应计划；e)部署和使用应急响应资源；f)总结应急响应工作，提交应急响应总结报告；g)执行应急响应计划的评审、修订任务；h)控制信息安全事件发生时的损失，并评估损害。5.3.2.4应急响应技术保障小组应急响应技术保障小组是信息安全应急响应的技术保障机构，成员应包括组织内技术部门和业务部门的管理人员（如项目管理人员等）等，应急响应技术保障小组的职责包括：a)制定信息安全应急响应操作手册；b)协助应急响应领导小组，制定跨部门的应急响应协同调度方案，并在应急响应全流程中负责组织内跨部门的协调调度以及组织与供应商或其他利益相关者的沟通协调。5.3.2.5应急响应日常运行小组应急响应日常运行小组是信息安全应急响应的日常运行机构，成员应包括组织内技术部门的日常运维、运营团队（如信息技术人员、质量管理人员、车辆信息安全人员等应急响应日常运行小组的职责包括：a)备份和管理汽车信息安全应急响应管理过程中产生的数据；b)运行、管理和维护应急响应相关的系统；c)落实必要资源（包括人、财、物）的保障工作；d)发现、识别和确认信息安全事件；e)评估、通报和跟踪信息安全事件；f)组织培训和演练应急响应计划。5.4应急响应计划的培训、演练、管理和更新5.4.1应急响应计划的培训和演练各组织应按以下要求组织应急响应计划的培训和演练：a)制定培训计划，定期开展培训活动，记录培训过程的详细信息并形成报告；b)制定演练计划，定期开展演练活动，记录演练过程的详细信息并形成报告；c)每年至少完成一次Ⅱ级及以上的应急响应完整演练。5.4.2应急响应计划的管理和更新5GB/TXXXXX—XXXX业务流程的变化、信息系统的变更、各功能小组人员的变更都应在应急响应计划文档中及时更新。经过审核和批准的应急响应计划文档，应按以下要求进行管理和更新：a)分别具有纸质版和电子版的多份拷贝，并在不同的地点（如办公室、机房、备份机房）和介质中保存；b)由日常运行小组负责保存和分发；c)分发给参与应急响应工作的全部人员；d)根据演练和信息安全事件的总结进行修订；e)在每次修订后统一更新所有拷贝；f)按相关规定销毁所有旧版本，必要的档案存档除外；g)定期评审和修订，评审至少每年一次。信息安全事件分类分级规范制定组织应制定汽车信息安全事件分类分级规范，汽车信息安全事件的分类可参考GB/Z20986—2007所述的分类方法，汽车信息安全事件分级见B.2。应急响应操作手册的制定和分发5.6.1应急响应操作手册的编制应遵从简明扼要、便于有效执行的原则。5.6.2应急响应操作手册中所列出的具体技术操作，应说明适用对象、适用情况、操作人员权限和具体分步操作指引，并在适当条件和环境下进行测试验证，确保技术操作有效可靠。5.6.3应急响应操作手册应以电子版和纸质版的形式，分发给相关功能小组，并做好查找索引，便于发生信息安全事件时快速处置。5.6.4应急响应操作手册应根据车辆软硬件的更新，及时做出更新调整。协同与合作机制建立5.7.1同监管部门组织应协同安全监管部门进行汽车信息安全事件的整理及分析，并按监管部门要求进行汽车信息安全事件通报。5.7.2同供应商5.7.2.1组织应同供应商在合同以及汽车信息安全工作接口协议中，约定关于信息安全应急响应责任分工、对接流程、响应时效要求等条款。5.7.2.2组织应同供应商建立有效的协调沟通渠道，明确各方的沟通负责人，供应商包括：汽车零部件供应商、信息系统服务提供商、电信服务提供商、信息安全服务商和第三方测评机构等。5.7.2.3在进行应急响应演练时，组织宜邀请供应商一起参与。5.7.3同行业组织5.7.3.1组织可参与一家或多家汽车信息安全信息共享平台和/或联盟等行业组织，以保障更广泛、及时的安全信息获取。5.7.3.2组织可在安全漏洞修复或汽车信息安全事件平息后将事件问题连同修复措施同步提报给相关行业组织。5.7.4同安全服务方6GB/TXXXXX—XXXX组织可同安全服务方开展持续的汽车信息安全应急响应合作，以获得更广泛的专业技术及人员支持。6核验阶段概述依据组织制定的应急响应计划和汽车信息安全事件分类分级规范，应急响应日常运行小组应执行汽车信息安全事件确认和事件评估流程，应急响应领导小组执行事件通报流程。事件确认收到汽车信息安全事件情报后，应立刻启动事件确认流程，要求如下：a)考察并确认汽车信息安全事件情报的来源，包括但不限于：1)应急响应日常运行小组发现的安全预警事件，2)行业权威平台收到行业安全预警情报，3)组织自建的外部事件搜集渠道收到的客户或者安全研究人员上报的安全问题；b)记录事件和情报完整性检查的要素和身份核对的情况；c)初步判断事件相关资产与汽车制造商、供应商和其他利益相关者的相关性；d)详细记录并备案事件确认的结果。事件评估6.3.1汽车信息安全事件确认后，应立刻启动事件评估流程，流程及相关文件的要求如下：a)初步判定汽车信息安全事件的类型、级别和应急响应的级别，形成初判评估结论，宜从人员安全、经济财产、车辆功能及性能、隐私及法规、社会影响多个角度进行事件综合考虑，得出事件相关性、影响范围、造成的最坏情况等几个方面的判断；b)评审初判评估结论，相关文档应提交至应急响应专家小组评审，形成《汽车信息安全事件评估评审表》（示例见A.2）；c)事件评估流程的执行过程中，数据安全、信息保密相关工作应满足可追溯需求。6.3.2《汽车信息安全事件评估评审表》中应至少包括：a)参与事件评估过程的每位专家的关注方向；b)获得的相关信息；c)对信息的处理过程和逻辑推理过程；d)最终做出的评估评审意见，包括汽车信息安全事件的类型、级别和应急响应的级别等。6.3.3事件评估过程如需引入应急响应功能小组以外的人员参与，应在《汽车信息安全事件评估评审表》中记录的引入人员信息至少包括：a)在组织内的职位和职责；b)被引入本次事件的原因；c)在本次工作中获得的事件信息等。6.4事件通报6.4.1事件评估结束后，应立刻启动事件通报流程，流程及相关文件的要求如下：a)事件通报应易于记录、易于流程追溯，信息扩散范围应可控，可通过电话会议、现场会议、网络会议等方式进行；7GB/TXXXXX—XXXXb)事件通报会议应形成《信息安全事件记录表》（示例见A.3）并归档备案，如结论是不需要启动应急响应工作，则应结束本次应急响应工作；如结论是需要启动应急响应工作，应由应急响应领导小组最终批准并通报给应急响应各功能小组全体成员。6.4.2事件通报会议应形成会议纪要，会议纪要内容应至少包括：a)参会人员；b)会议上呈现的信息和情报细节；c)评估记录；d)应急响应功能小组人员和其他人员对相关信息的讨论过程；e)会议决议；f)遗留的待明确和待解决的问题等。7处置阶段概述依据组织制定的应急响应操作手册等相关文件，应急响应实施小组应执行汽车信息安全事件处置方案的制定、开发和实施流程。处置方案制定7.2.1核验阶段结束后，如需启动应急响应流程，应首先查阅和评估已有的应急处置方案，如有可完全借鉴的处置方案则按方案实施，如有可部分借鉴的处置方案则在其基础上启动处置方案制定流程，如没有可完全或部分借鉴的应急处置方案，则应立刻启动处置方案制定流程。处置方案应满足以下要求：a)根据汽车信息安全事件的类型、级别和应急响应的级别进行编制；b)分析应急响应需求及其应对方案，明确处置对象，如脆弱性涉及零部件，应细化到零部件层c)记录和修复汽车信息安全脆弱性，并保证处置方案的保密性；d)在《信息安全事件总结报告》（示例见A.4）中记录。7.2.2如引起该信息安全事件的脆弱性无法在现有相关产品上进行处置修复，应经过应急响应实施小组研提、应急响应专家小组评估复核，并在处置方案中应阐释情况和理由，采取有效缓解措施后，进入实施阶段。7.2.3如需求或者方案涉及到供应商或其他利益相关者，应由应急响应技术保障小组将相应需求发送至供应商或其他利益相关者的沟通负责人，沟通负责人接到需求后应立即进行内部通报，并启动内部处置流程，供应商或其他利益相关方应参与方案的制定和评审。处置方案开发处置方案制定结束后，应立即启动处置方案开发流程，流程及相关文件的要求如下：a)按照应急响应实施小组内部流程要求，释放本次应急响应的信息安全技术要求，并启动软件开发、测试用例编写等工作；b)按照应急响应实施小组内部流程要求，释放测试用例，并启动测试；c)应急响应实施小组完成测试后，输出测试报告，测试报告应进行小组内评审并存档，评审过程宜联合应急响应专家小组进行；8GB/TXXXXX—XXXXd)如处置方案开发过程涉及到供应商或其他利益相关方，则供应商或其他利益相关方应在双方协定的时间内将处置结果反馈至应急响应技术保障小组。7.4处置方案实施处置方案开发结束后，应立即启动处置方案实施流程，流程及相关文件的要求如下：a)按照组织内部要求的方式发布处置方案；b)按照应急响应计划对汽车信息安全事件实施处置方案；c)将所有的信息安全脆弱性更新至信息安全技术要求，组织应将更新的信息安全技术要求应用到新车型，保障后续车型脆弱性防护的实施；d)完成方案实施后，应完成应急处置报告并存档（示例见A.5），报告中应至少包含事件分类、事件等级、处置时间、实施效果和恢复建议等，对于无法在现有相关产品上进行处置修复的情况，应根据事件等级说明影响情况；e)应将应急处置报告提交至应急响应专家小组和应急响应领导小组进行评审和批准；f)如构成产品召回，应按照相关要求进行处理；g)组织应在当前发生汽车信息安全事件的影响已被控制的情况下，进入恢复阶段。8恢复阶段8.1概述依据组织制定的应急响应计划等相关文件，应急响应实施小组应执行汽车信息安全事件恢复方案的制定、验证和实施流程。8.2恢复方案制定8.2.1应急响应实施小组应对涉事车型或零部件制定恢复方案，恢复方案中应阐明消除本次汽车信息安全事件相应的信息安全脆弱性的方法。8.2.2恢复方案制定过程中应满足如下原则：a)结合涉事车型或零部件的开发流程及处置阶段的结论分析和制定恢复方案；b)结合以往的共性事件或类似事件制定恢复方案；c)覆盖受汽车信息安全事件影响的各类车型或零部件；d)对汽车信息安全事件影响到的个人或组织的保密信息进行访问权限控制。8.2.3应急响应实施小组应平衡恢复方案的制定时间与对制定完毕的恢复方案进行全面测试所需的时间之间的关系；8.2.4如超出应急响应计划规定的恢复方案制定时间仍未完成方案制定，应由应急响应领导小组批准采用临时方案作为缓解手段，并加快恢复方案的制定。8.3恢复方案验证8.3.1恢复方案验证过程应满足如下原则：a)确保恢复方案在所有支持的车型或零部件上均得到验证；b)确保恢复方案可以在涉事车型或零部件上正确工作；c)确保恢复方案不会影响其他零部件的质量；d)确保恢复方案不会影响涉事车型或零部件已有功能的运行；e)确保恢复方案的使用不会引入新的信息安全事件；9GB/TXXXXX—XXXXf)确定恢复方案实施优先级，并进行验证。8.3.2恢复方案验证成功后，应提交应急响应专家小组进行审核，审核通过后提交应急响应领导小组批准并启动实施。8.3.3如恢复方案验证失败，应由应急响应技术保障小组协助制定新的恢复方案或对原有方案进行迭代。8.4恢复方案实施8.4.1应急响应实施小组应按照汽车信息安全事件优先级进行恢复方案实施。对同一等级的汽车信息安全事件，可同时采用阶梯方式分步实施恢复方案（如分成三步走，第一步选取10%进行恢复，第二步选取30%进行恢复，第三步完成全部恢复）。8.4.2在实施恢复方案过程中，应及时向应急响应领导小组通报汽车信息安全事件的恢复进展。8.4.3当汽车信息安全事件导致的车型脆弱性问题已被完全消除或恢复方案的实施效果已得到车辆使用者认可后，恢复方案实施完成，可进入事后处理阶段。9事件后处理阶段9.1概述应急响应结束后，应急响应实施小组应编制《信息安全事件总结报告》，执行恢复阶段后的总结流程。应急响应日常运行小组应执行恢复阶段后的评估、追踪流程。9.2事件后总结9.2.1《信息安全事件总结报告》应包括以下内容：a)汽车信息安全事件的起因；b)汽车信息安全事件的经过、事件等级、责任判定；c)汽车信息安全事件所造成的影响，根因分析、恢复方案等恢复阶段涉及的内容；d)汽车信息安全事件的经验教训及其他相关记录和各阶段交付物，各阶段交付物可作为《信息安全事件总结报告》的附件。9.2.2《信息安全事件总结报告》应报应急响应专家小组审核，应急响应领导小组进行批准。9.2.3如监管部门要求上报或备案，应按其相关要求，经应急响应领导小组批准后上报或备案。9.3事件后评估和追踪9.3.1依据应急响应处理状态，应急响应日常运行小组应依据《信息安全事件总结报告》制定后续持续监测和事件追踪的要求。9.3.2应急响应日常运行小组应对发生汽车信息安全事件的电子电气系统或组件等进行持续追踪，定期进行安全风险评估和审计，发现可能存在的脆弱性问题应及时做出改善。GB/TXXXXX—XXXX（资料性）汽车信息安全应急响应流程及相关文件示例A.1汽车信息安全应急响应流程示例当出现汽车信息安全事件时，基于各组织内部的应急响应机构设置，根据事件的等级及时启动应急响应，采取相应的补救措施，并按照规定向有关主管部门报告，具体操作流程如图A.1所示。图A.1车辆信息安全应急响应流程示例图GB/TXXXXX—XXXXA.2汽车信息安全事件评估评审表汽车信息安全事件评估评审表，如表A.1所示。表A.1汽车信息安全事件评估评审表GB/TXXXXX—XXXXA.3汽车信息安全事件记录表汽车信息安全事件记录表，如表A.2所示。表A.2汽车信息安全事件记录表GB/TXXXXX—XXXXA.4汽车信息安全事件总结报告汽车信息安全事件总结报告，如表A.3所示。表A.3汽车信息安全事件总结报告GB/TXXXXX—XXXXA.5汽车信息安全事件应急处置报告汽车信息安全事件应急处置报告，如表A.4所示。表A.4汽车信息安全事件应急处置报告GB/TXXXXX—XXXX（资料性）汽车信息安全事件分级及应急响应分级B.1汽车信息安全应急响应分级属于特别重大信息安全事件应及时启动Ⅰ级响应，由监管部门进行应急处置工作的统一领导、指挥和协调。组织进入应急状态，在监管部门的统一领导、指挥、协调下，负责本组织范围内的应急处置工作或支援保障工作，24小时值班，跟踪事态发展，检查影响范围，并及时将事态发展变化和处置进展情况进行上报。应急响应完成后，应开展调查和评估，需要《信息安全事件总结报告》应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施，并做好备案。对特别重大的汽车信息安全事件由监管部门协调相关机构进行调查处理和总结评估。B.1.2Ⅱ级应急响应属于重大信息安全事件应及时启动Ⅱ级响应，组织进入应急状态并按照应急响应计划做好应急处置工作。组织及时将事态发展变化情况上报监管部门，并将有关重大事项及时通报其他相关组织。相关组织根据监管部门的通报，结合自身实际有针对性地加强防范，防止造成更大范围影响和损失。应急处置完成后，应开展调查和评估，需要《信息安全事件总结报告》应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施，并做好备案。重大及以下信息安全事件由组织自行进行调查处理和总结评估。B.1.3Ⅲ级应急响应属于较大信息安全事件应及时启动Ⅲ级响应，组织进入应急状态并按照应急响应计划做好应急处置工作。处置中需要其他相关组织或机构配合和支持的，应予以协调。应急处置完成后，应开展调查和评估，需要《信息安全事件总结报告》应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施，并做好备案。B.1.4Ⅳ级应急响应属于车辆信息安全一般事件应及时启动Ⅳ级响应，由组织按照应急响应计划做好应急处置工作。应急处置完成后，应开展调查和评估，需要《信息安全事件总结报告》应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施，并做好备案。B.2汽车信息安全事件分级B.2.1符合以下条件之一的为汽车信息安全特别重大事件（I级a)人员安全：造成特别严重的人员伤亡，导致多个人员致命伤害；b)经济财产：安全事件产生的财务损失威胁到多个组织的生存；GB/TXXXXX—XXXXc)车辆功能及性能：多个车辆发生功能和/或性能问题导致重大损失；d)隐私及法规：侵害到多个利益相关方的隐私，造成特别重大影响的后果；e)社会影响：造成特别重大的社会影响，造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，极大威胁国家安全，引起社会动荡，对经济建设有极其恶劣的负面影响，或者严重损害公众利益。B.2.2符合以下条件之一的为汽车信息安全重大事件（II级a)