汽车产品召回 信息缺陷评估指南 编制说明.docx

《汽车产品召回信息缺陷评估指南》

编制说明

一、工作简况

1.任务来源

根据《国家标准化管理委员会关于下达2021年第二批推荐性国家标准计划及相关标准外文版计划的通知》（国标委发[2021]23号）要求，《汽车产品召回信息缺陷评估指南》（计划号T-469）由全国产品缺陷与安全管理标准化技术委员会（SAC/TC463）归口管理和组织制定，项目周期24个月。

2.制定背景

随着人工智能、信息通信与汽车技术跨界融合，汽车不再是孤立的机电单元，成为智能生态系统重要载体，汽车逐渐由信息孤岛的交通工具发展成为集出行、娱乐、服务等为一体的数字空间。车辆运行安全和信息安全风险交织叠加，安全形势更加复杂严峻。据工业和信息化部车联网漏洞平台收录数据显示，自2020年以来，车联网漏洞收录量从1200余条增长至3000余条，影响规模也逐步达到了3000余万辆。这些漏洞可能对公众财产、人身安全造成极大威胁，甚至可造成大面积的交通事故，危害国家安全。

漏洞是必然存在的，但并不是所有漏洞都被定义为缺陷。本标准拟解决的问题是提出一种信息缺陷评估方法，用于判

定哪些漏洞将被定义为缺陷，需要通过召回方式解决。

3.起草过程

2021年8月，标准立项计划下达，国家市场监督管理总局缺陷产品召回技术中心（以下简称市场监管总局召回中心）面向行业征集起草单位和起草专家，并组建标准起草组；

2022年3月，市场监管总局召回中心组织标准起草启动会，形成标准框架并组织专题研讨；

2023年3月29日，起草组组织召开标准起草启动会，对草案中信息缺陷评估的基本要素、评估流程和评估结果处置要求等内容进行了深入研讨，确定标准草案修改思路及撰写任务分工；

2023年7月，起草组组织中国汽研专家进行专题研讨，就漏洞可获取性、漏洞利用难易程度等级划分描述进行专题研讨；

2023年11月，起草组组织华为技术有限公司专家进行专题研讨，就信息缺陷评估要素及漏洞可获取性、漏洞利用难易程度等级划分进行专题研讨；

2024年3月13日，起草组组织标准闭门研讨会，参与企业深度讨论确定草案框架，确定标准草案主体架构，针对关键术语和定义、及漏洞所触发的危险事件对“人身安全”、“财产安全”的影响进行严重性等内容进行优化，完善草案内容；

2024年7月，起草组组织标准专题研讨会，基于典型案例进行了信息缺陷评估方法应用，并修订评估指标权重，完善草案内容；

2024年9月13日，市场监管总局召回中心组织标准研讨会，中汽中心、中国汽研、国汽智联、华为、比亚迪、吉利、奔驰、蔚来、理想、宇通等10余家单位进行专题研讨，重点核对标准内容与GB44495《汽车整车信息安全技术要求》的关系。

2024年9月30日，形成征求意见稿及标准编制说明，面向社会公开征求意见。

二、国家标准编制原则、主要内容及其确定依据

本文件按照GB/T1.1—2020《标准化工作导则第1部

分：标准化文件的结构和起草规则》的规定起草。本文件主

要包括范围、规范性引用文件、术语和定义、评估流程、5评估与缺陷认定、评估结果处置、附录A，共7个章节，其中:

1.范围

本文件给出了汽车产品信息缺陷评估的评估流程、评估与缺陷认定及评估结果处置等内容。

本文件适用于汽车产品整车生产者、零部件生产者、系统供应商、数据服务商、网络运营商、产品召回主管部门、

产品召回技术机构等主体对在用车辆“云-管-端-外部链接”

系统漏洞进行缺陷分析、缺陷判定、风险预警与应急处置。

2.规范性引用文件

本文件引用了GB/T25069-2022《信息安全技术术语》、GB/T34402-2017《汽车产品安全风险评估与风险控制指南》、

GB/T40914-2021《汽车产品召回预警规则》、GB/T43387

《产品召回术语》和GB44495《汽车整车信息安全技术要求》等国家标准。

3.术语和定义

GB/T25069、GB/T43387、GB44495界定的以及下列术语和定义适用于本文件。

本文件增加了信息缺陷、云-管-端-外部链接系统、信息缺陷评估、可获取性、利用难易程度等配套定义。

4.评估流程

本条款规定了信息缺陷评估的流程如图1所示，主要包括：

——确定开展评估的可能被利用的漏洞；——识别触发事件；

——评估漏洞可获取性、漏洞利用难易程度，得到漏洞被利用的可能性；

——评估漏洞被利用触发危险事件的严重性；——确定漏洞风险等级，进行缺陷认定。

图1信息缺陷评估流程

5.评