道路车辆信息安全工程编制说明

《道路车辆信息安全工程》

（征求意见稿）编制说明

一、工作简况

(一)任务来源

本项目是根据国家标准委[2023]10号文《关于下达2023年第一批推荐性国家标准计划

及相关标准外文版计划的通知》（计划项目编号20230389-T-339，标准项目名称《道路车辆

信息安全工程》），等同采用国际标准ISO21434:2021进行制定。

(二)工作过程

1.项目组工作过程简介

汽标委智能网联汽车分标委组织成立标准起草项目组并征集参与成员单位，经综合考

虑，确定中国汽车技术研究中心有限公司为牵头单位，在此基础上明确了任务和分工，积极

开展标准的预研、起草及征求意见等工作。

2019年11月，正式启动标准制定工作，组织项目组成员专家对标准展开研究，制定了标

准的总体框架和工作计划与任务分工。

2020年10月，召开项目组第二次全体工作会议，讨论并解决当前版本标准中关键术语翻

译问题，对翻译记录问题点达成一致，进一步优化标准中的语句表达。

2021年4月，召开项目组第三次全体工作会议，重点分析了ISO21434DIS与FDIS

Candidate版本差异，同时讨论了ISOPAS5112当前的进展情况，并对后续进度与分工进行

详细安排。

2021年10月，召开项目组第四次工作会议，围绕前期遗留的9项问题讨论并形成结论，

各单位围绕会议共识进一步优化标准草案。

2022年06月，共收到来自2家单位的工作组意见6条，牵头单位组织召开会议逐条进行了

讨论和处理，其中采纳0条，不采纳6条，部分采纳0条，根据修改意见更新并形成了公开征

求意见稿。

2023年5月10日，召开项目组第五次工作会议，会议对最新的标准草案进行逐章逐条的

详细讨论，并补充网关的相关附录，重点关注标准条款的可读性、与术语定义的一致性、格

3

式等，并讨论了后续标准编制工作的时间计划，按照会议结论，进一步修订和完善标准草案。

2023年10月，召开项目组第六次工作会议。会议对前期遗留问题以及处理结论进行回

顾及确认，明确国际转化与强标间的关系，重点讨论了附录部分的调整建议，优化完善标准

草案。

2.项目组第一次会议

2019年11月5日，项目组在杭州召开了“道路车辆信息安全工程标准编制项目组第一次

全体工作会议”，正式启动标准制定工作。会议首先由牵头单位对标准转化项目总体介绍，

包括：标准项目背景、主要会议日程，当前时间进度、标准框架概述等内容。其次，项目组

成员单位代表按照前期工作，介绍了标准各章节的内容，最后，参会代表对成员分组以及任

务分工进行了讨论，在会上制定形成了后期详细的分组与分工计划表。

3.项目组第二次会议

2020年10月20日，项目组在北京召开了“道路车辆信息安全工程标准编制项目组第二

次全体工作会议”，会议由牵头单位介绍当前国际标准工作在DIS阶段的工作进展，介绍当

前国标转化草案内容及确定国标转化的原则，讨论并解决当前版本标准中，部分关键术语翻

译问题，以及部分关键专业语句的翻译问题，对翻译记录问题点达成一致，进一步优化标准

中的语句表达。

4.项目组第三次会议

2021年4月27日，项目组在天津召开了“道路车辆信息安全工程标准编制项目组第三次

全体工作会议”，会议重点分析了ISO21434DIS与FDISCandidate版本差异，明确了ISO

21434FDIS版本通过后，将立即开展国标转化工作，同时讨论了ISOPAS5112当前的进展情

况，各成员单位分别对2个项目之间的联系，以及后续转化思路进行讨论，并对后续进度与

分工进行详细安排。

5.项目组第四次会议

2021年10月11日，项目组在成都组织召开“道路车辆信息安全工程标准编制项目组第

四次工作会议”。会议由牵头单位对ISO21434:2021正式发布版本进行详细介绍与讨论，会

议上讨论了Cybersecurity的翻译、CSMS与ISMS的关系、Vulnerabilities，reused

components、post-development、Process、Procedure的术语定义及用法，以及建议增加对

4

于前照灯系统在系统级别的概念阶段和产品开发相关活动及工作产出的示例附录，后续项目

组内进行评估，同时征集相关示例输入等9项问题并形成结论，各单位围绕会议共识进一步

优化标准草案。

6.项目组征求意见及处理

2022年06月，共收到来着2家单位的工作组意见6条，起草组共召开起草组网络会议2次，

逐条进行了讨论和处理，其中采纳0条，不采纳6条，部分采纳0条。起草组根据修改意见更

新并形成了社会公开征求意见稿。会议对标准各章节内容及项目组第三次会议遗留问题等多

方面进行了深入讨论。会后，针对意见问题完成对标准草案的修改。

7.项目组第五次会议

2023年5月10日，项目组在成都组织召开“道路车辆信息安全工程标准编制项目组第五

次工作会议”。会议对最新的标准草案进行逐章逐条的详细讨论，标准中将Cybersecurity

定义为“信息安全”，标准文本同步进行调整。由华为和泛亚牵头，梳理第15章节内容，

并补充网关的相关附录，各组长单位牵头组织本组成员单位，调整并确认各自负责章节内容，

重点关注标准条款的可读性、与术语定义的一致性、格式等，并讨论了后续标准编制工作的

时间计划，按照会议结论，进一步修订和完善标准草案。

8.项目组第六次会议

2023年10月30日，项目组在重庆召开“道路车辆信息安全工程标准编制项目组第六次

工作会议”。会议对前期遗留问题以及处理结论进行回顾及确认，明确国际转化与强标间的

关系，重点讨论了附录部分的调整建议，当前标准已有附录H的TARA方法应用示例-前照灯系

统，已删除DIS版本中的附录F验证与确认，已删除DIS版本中的附录G对于前照灯系统在

系统级别的概念阶段和产品开发相关活动及工作产出的示例，经全体讨论一致建议增加网关

在系统级别的概念阶段和产品开发相关活动及工作产出的示例，由华为和泛亚牵头整合到网

关的TARA示例中，后续工作组根据内容进行评估。

(三)主要参加单位和工作组成员及其所做的工作等

本标准由十余家单位共同起草。在本标准的制定过程中，多次组织行业专家进行了研讨，

并开展了验证试验，得到了相关单位的支持、协助与配合，取得了大量建设性意见、建议。

二、国家标准编制原则和确定国家标准主要内容

5

(一)标准编制原则

1）本标准编写符合GB/T1.1-2020《标准化工作导则》的要求；

2）在项目组内对标准内容广泛征求意见，并在工作组会议上充分讨论；

3）起草过程充分考虑了车辆厂商、零部件厂商和信息安全解决方案提供商的意见，在

当前行业技术水平的基础上前瞻性地考虑技术发展方向；

4）本标准等同采用ISO21434:2021，与国际标准在技术内容和文本结构上保持一致，

并尽量与现行有效的国家法律、法规、标准保持一致并符合国家在语言文字方面的规定。

(二)标准主要内容

1.范围

本文件规定了汽车信息安全风险管理的工程要求，内容涉及道路车辆中概念、产品开发、

生产、运行、电气和电子(E/E)系统维护和停用，包括其部件和接口。

本文件定义了一个包括对信息安全流程的要求和通用语言的框架用于沟通和管理信息

安全风险。

本文件适用于系列化生产的道路车辆E/E系统，包括其组件和接口。

本文件不规定与信息安全有关的具体技术或解决方案。

2.信息安全工程的整体考虑

一个相关项包括车辆中所有的电子设备和软件（及其组件），这些设备和软件参与实现

车辆层面上的特定功能，例如制动。一个相关项或一个组件与它的运行环境相互作用。

本文件的应用仅限于系列化生产的道路车辆（即不是原型车）的信息安全相关项目和组

件，包括售后和服务部件。外部系统为了信息安全的目的，可以考虑对车辆（如后端服务器）

的安全保护，但不在本文件的范围内。

本文件从单个相关项的角度来描述信息安全工程。本文件没有规定在道路车辆的E/E

架构中对相关项进行适当的功能分配。对于车辆整体而言，可以考虑构建车辆E/E架构或其

信息安全相关项目和组件的信息安全案例集。如果本文件中描述的信息安全活动是在相关项

和组件上进行的，那么不合理的车辆信息安全风险就会得到解决。

如图1所示，本文件中描述的一个组织的整体信息安全风险管理适用于所有生命周期阶

段。

6

图1整体信息安全风险管理

信息安全风险管理适用于整个供应链，以支持信息安全工程。汽车供应链表现出多样化

的合作模式。并非所有的信息安全活动都适用于与某个特定项目相关的所有组织。信息安全

活动可以根据具体情况的需要进行裁剪。某一特定相关项或部件的开发伙伴就工作分工达成

一致，以便开展适用的信息安全活动。

图2显示了一个相关项、功能、组件和相关术语之间的关系。

图2相关项、功能、组件和相关术语之间的关系

在信息安全工程背景下的分析活动，可确定和探索具有恶意意图敌对行为者所采取的潜

在行动，以及车辆E/E系统的信息安全遭到破坏后可能产生的损害。信息安全工程和其他学

科的专业知识之间的协调可以支持深入分析和减轻具体的信息安全风险（参见ISO/TR4804

[6]）。信息安全监测、补救和事件响应活动是对概念和产品作为开发活动的补充，是一种被

动的方法，确认环境中不断变化的条件（如新的攻击技术）和识别和管理道路车辆E/E系统

7

的弱点和漏洞的持续需求。深度防御的方法可用于减轻信息安全风险。深度防御方法利用各

层信息安全控制来提高车辆的信息安全。如果攻击能够穿透或绕过一个层，另一个层可以帮

助遏制攻击并保持对资产的保护。

3信息安全管理总则

为了使能信息安全工程，组织应建立并维护包括信息安全意识管理、能力管理和持续改

进在内的信息安全治理和信息安全文化。这涉及到组织层面的规则和过程的定义，并依据本

文件中的目标被独立审核。

为了支持信息安全工程，组织还应为信息安全建立管理体系，包括管理工具和质量管理

体系的应用。

4信息安全管理目标

a)为信息安全定义信息安全方针和组织层面的信息安全规则和过程；

b)分配执行信息安全活动所需的职责和相应的权限；

c)支持信息安全的实施，包括资源的提供和对信息安全过程与其他相关过程之间相互

影响的管理；

d)管理信息安全风险

e)建立并维护信息安全文化，包括能力管理、意识管理和持续改进；

f)支持和管理信息安全信息的共享；

g)建立并维护支撑信息安全运维的管理体系；

h)提供证据证明使用的工具不会对信息安全产生不利的影响；

i)执行组织层面的信息安全审核。

三、主要试验（或验证）情况分析

本标准的技术内容应在充分理解ISO21434内涵的基础上，根据我国汽车行业的特点和

实际情况，加入自身的理解和要求，制定出符合我国智能网联汽车产业安全发展需求的标准，

帮助企业建立并维护包括信息安全意识管理、能力管理和持续改进在内的信息安全治理方式

和信息安全文化，标准以风险管理为核心，运用纵深防御的理念，提出信息安全分层控制措

施以提高相关要素及整车的信息安全级别，如果攻击能够渗透或者绕过一层，另一信息安全

层可以帮助遏制攻击并保持足够程度的安全。通过对汽车各个阶段、各个层面的信息安全识

别、分析与评价，形成信息安全的指导方针、规则和流程，并提出管理和改进方式的建议。

8

为了做好此项工作，道路车辆功能安全标准研究制定工作组广泛地收集了国内、外有关

标准及资料，调研国内外整车和零部件企业以及通过开展起草组会议、工作组会议、研讨交

流的形式吸取有益建议和意见，逐步完善标准草案。

四、标准中涉及专利的情况

本标准不涉及相关专利。

五、预期达到的社会效益等情况

本标准将推动汽车行业通过建立和完善汽车信息安全管理体系，按照标准的要求进行产

品安全开发，从而提升企业的整体安全技术和管理水平，提升汽车行业的信息安全水平与治

理能力，为智能网联汽车应对信息安全问题提供管理层面的解决方法。本标准的制定和实施，

将为零部件厂商和汽车整车生产企业提供安全开发的技术支撑，引导车辆及相关产品满足行

业信息安全要求，对于提高国内汽车整车和零部件企业的安全和管理水平、满足相关出口要

求，提升产品竞争力方面有重要的必要性和意义。

六、采用国际标准和国外先进标准的情况

本标准等同采用ISO国际标准：ISO21434:2021Roadvehicles-CybersecurityEngineering。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准与我国现行有关法律、法规和强制性国家标准不矛盾。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议说明

建议本标准的性质为推荐性国家标准。

十、贯彻标准的要求和措施建议

本次编制的《道路车辆信息安全工程》不仅与汽车整车生产企业有关，而且与系统部

件企业、安全厂商、检测机构等相关，可以针对标准使用的不同对象，如整车生产企业、系

统部件企业、安全厂商等相关部门，有侧重点地进行标准的培训和宣贯，以保证标准的贯彻

实施。

十一、废止现行相关标准的建议

无。

十二、其他应予说明的事项

无。

9

标准起草组

2023年12月28日

10

推荐性国家标准

《道路车辆信息安全工程》

（征求意见稿）

编制说明

标准起草项目组

2023年12月

《道路车辆信息安全工程》

（征求意见稿）编制说明

一、工作简况

(一)任务来源

本项目是根据国家标准委[2023]10号文《关于下达2023年第一批推荐性国家标准计划

及相关标准外文版计划的通知》（计划项目编号20230389-T-339，标准项目名称《道路车辆

信息安全工程》），等同采用国际标准ISO21434:2021进行制定。

(二)工作过程

1.项目组工作过程简介

汽标委智能网联汽车分标委组织成立标准起草项目组并征集参与成员单位，经综合考

虑，确定中国汽车技术研究中心有限公司为牵头单位，在此基础上明确了任务和分工，积极

开展标准的预研、起草及征求意见等工作。

2019年11月，正式启动标准制定工作，组织项目组成员专家对标准展开研究，制定了标

准的总体框架和工作计划与任务分工。

2020年10月，召开项目组第二次全体工作会议，讨论并解决当前版本标准中关键术语翻

译问题，对翻译记录问题点达成一致，进一步优化标准中的语句表达。

2021年4月，召开项目组第三次全体工作会议，重点分析了ISO21434DIS与FDIS

Candidate版本差异，同时讨论了ISOPAS5112当前的进展情况，并对后续进度与分工进行

详细安排。

2021年10月，召开项目组第四次工作会议，围绕前期遗留的9项问题讨论并形成结论，

各单位围绕会议共识进一步优化标准草案。

2022年06月，共收到来自2家单位的工作组意见6条，牵头单位组织召开会议逐条进行了

讨论和处理，其中采纳0条，不采纳6条，部分采纳0条，根据修改意见更新并形成了公开征

求意见稿。

2023年5月10日，召开项目组第五次工作会议，会议对最新的标准草案进行逐章逐条的

详细讨论，并补充网关的相关附录，重点关注标准条款的可读性、与术语定义的一致性、格

3

式等，并讨论了后续标准编制工作的时间计划，按照会议结论，进一步修订和完善标准草案。

2023年10月，召开项目组第六次工作会议。会议对前期遗留问题以及处理结论进行回

顾及确认，明确国际转化与强标间的关系，重点讨论了附录部分的调整建议，优化完善标准

草案。

2.项目组第一次会议

2019年11月5日，项目组在杭州召开了“道路车辆信息安全工程标准编制项目组第一次

全体工作会议”，正式启动标准制定工作。会议首先由牵头单位对标准转化项目总体介绍，

包括：标准项目背景、主要会议日程，