- 1、本文档共16页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
1
GB/TXXXXX—XXXX
汽车产品召回信息缺陷评估指南
1范围
本文件给出了汽车产品信息缺陷评估的评估流程、评估与缺陷认定及评估结果处置等内容。
本文件适用于汽车产品整车生产者、零部件生产者、系统供应商、数据服务商、网络运营商、产品召回主管部门、产品召回技术机构等主体对在用车辆“云-管-端-外部链接”系统漏洞进行缺陷分析、缺陷判定、风险预警与应急处置。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其必威体育精装版版本(包括所有的修改单)适用于本文件。
GB/T25069-2022信息安全技术术语
GB/T34402-2017汽车产品安全风险评估与风险控制指南GB/T40914-2021汽车产品召回预警规则
GB/T43387产品召回术语
GB44495汽车整车信息安全技术要求
3术语和定义
GB/T25069、GB/T43387、GB44495界定的以及下列术语和定义适用于本文件。3.1
信息缺陷informationdefect
云-管-端-外部链接系统(3.2)存在的漏洞(3.3)被利用而导致同一型号、批次或类别的车辆产品中普遍存在的不符合保障人身、财产安全的国家标准、行业标准的情形或者其他危及人身安全(3.5)、财产安全(3.6)的不合理的危险。
3.2
云-管-端-外部链接系统cloud-channel-device-linksystem
车辆应用环境和关联信息分布层体系。
注1:“云”指网络信息服务载体,具备连接管理、能力开放、数据管理多业务支持能力的层系;
注2:“管”指网络信息传输的层系,包括车载蜂窝网络通信、LTE-V2X和802.11p直连无线通信等;
注3:“端”指网络信息应用层系,包括车辆和路侧设施、汽车电子、车载终端及操作系统等与车辆相关的“端”层系;
注4:“外部链接”指车辆使用所需的操控应用程序、充电桩等外部生态组件。3.3
漏洞vulnerability
在资产或缓解措施中,可被一个或多个威胁(3.4)利用的弱点。[来源:GB44495-2024,3.6]
2
GB/TXXXXX—XXXX
3.4
威胁threat
可能导致系统、组织或个人受到损害的意外事件的潜在原因。[来源:GB44495-2024,3.5]
3.5
人身安全personalsafetyandsecurity避免人的健康、生命等遭受侵害的状态。
3.6
财产安全propertysafetyandsecurity避免财务、物质、数据等遭受侵害的状态。
注:包括车辆本身的、车辆以外的和车辆运行中产生的数据资产等安全。3.7
信息缺陷评估informationdefectassessment
从漏洞被利用的可能性(3.8)及漏洞严重性(3.9)两个维度,确定云-管-端-外部链接系统可能存在的漏洞被利用引发的危险事件或情形风险(3.10)水平的过程。
3.8
可能性probability
漏洞可获取性(3.11)和利用难易程度(3.12)的综合。3.9
严重性severity
漏洞被利用触发车辆的危险事件或情形对人身安全、财产安全的危害程度。3.10
风险risk
伤害发生概率和伤害严重程度的组合。
[来源:GB/T43387-2023,3.11]3.11
可获取性accessibility漏洞被发现的难易程度。
3.12
利用难易程度accessfeasibility
漏洞可能触发、引发车辆的危险事件或情形风险发生程度的度量。
4评估流程
信息缺陷评估的流程如图1所示,主要包括:——确定开展评估的可能被利用的漏洞;
——识别触发事件;
——评估漏洞可获取性、漏洞利用难易程度,得到漏洞被利用的可能性;——评估漏洞被利用触发危险事件的严重性;
——确定漏洞风险等级,进行缺陷认定。
3
GB/TXXXXX—XXXX
图1信息缺陷评估流程
5评估与缺陷认定
5.1概述
信息缺陷评估需综合考虑漏洞被利用引发危险事件或情形的可能性和严重性两个维度,两者共同决定漏洞风险等级。其中,漏洞被利用风险可能性需通过漏洞可获取性和漏洞利用难易程度共同决定。
5.2可能性
5.2.1漏洞可获取性
根据获取方式、专用工具、获取人员的专业水平和知识水平对漏洞可获取性进行分析与评估,漏洞可获取性分为4个等级:容易、中、难、极难,各等级的说明见表1。
表1漏洞可获取性等级说明
等级
说明
容易
挖掘信息漏洞无需依靠具备信息安全知识的人员、无需掌握基础信息和业务信息
您可能关注的文档
- 城市污水再生回灌农田安全技术规范 编制说明.docx
- 城市污水再生回灌农田安全技术规范 编制说明.pdf
- 基于远程升级技术的汽车产品召回实施要求 编制说明.docx
- 基于远程升级技术的汽车产品召回实施要求 编制说明.pdf
- 汽车产品召回 生产者指南 编制说明.docx
- 汽车产品召回 生产者指南 编制说明.pdf
- 汽车产品召回 生产者指南 征求意见稿.docx
- 汽车产品召回 生产者指南 征求意见稿.pdf
- 汽车产品召回 信息缺陷评估指南 编制说明.docx
- 汽车产品召回 信息缺陷评估指南 编制说明.pdf
- 甘肃省白银市会宁县第一中学2025届高三3月份第一次模拟考试化学试卷含解析.doc
- 2025届吉林市第一中学高考考前模拟生物试题含解析.doc
- 四川省三台县芦溪中学2025届高三下第一次测试生物试题含解析.doc
- 2025届江苏省启东市吕四中学高三适应性调研考试历史试题含解析.doc
- 浙江省宁波市十校2025届高三二诊模拟考试历史试卷含解析.doc
- 甘肃省甘南2025届高考生物必刷试卷含解析.doc
- 河北省石家庄市一中、唐山一中等“五个一”名校2025届高考历史四模试卷含解析.doc
- 江西省南昌市进贤一中2025届高考生物考前最后一卷预测卷含解析.doc
- 甘肃省白银市会宁县第四中学2025届高三第二次模拟考试历史试卷含解析.doc
- 宁夏银川市宁夏大学附属中学2025届高考化学押题试卷含解析.doc
文档评论(0)