汽车整车信息安全技术要求第1号修改单.pdfVIP

GB44495—2024《汽车整车信息安全技术要求》

国家标准第1号修改单

（征求意见稿）

一、全文将“信息安全管理体系”“信息安全管理体系要求”均修改为“信息安全保障

要求”。具体涉及的条款如下：

1、将“1范围”修改为：本文件规定了汽车信息安全保障要求、信息安全基本要求、信息

安全技术要求及同一型式判定，描述了相应的检验与试验方法。本文件适用于M类、N类

车辆。

2、将“术语和定义3.2”删除。

3、将第5章标题修改为：5汽车信息安全保障要求。

4、将5.1的第一句修改为：车辆制造商应满足车辆全生命周期的汽车信息安全保障要求。

5、将5.2的第一句修改为：汽车信息安全保障要求应包括以下内容。

6、将6.1修改为：车辆产品开发流程应遵循汽车信息安全保障要求。

7、将8.1的第一句修改为：检验及试验方法包括汽车信息安全保障要求检验、基本要求检

验和技术要求测试。

二、全文将“检查”修改为“检验”。具体涉及的条款如下：

1、将第8章标题修改为：8检验与试验方法。

2、将8.1的内容修改为：检验及试验方法包括汽车信息安全保障要求检验、基本要求检验

和技术要求测试：

——针对车辆制造商信息安全保障要求相关的文档进行检验，确认车辆制造商满足第5章的

要求；

——针对车辆在开发、生产等过程中信息安全相关的文档进行检验，确认测试车辆满足第6

章的要求；

——基于车辆所识别的风险以及第7章车辆技术要求处置措施的相关性，依据8.3确认车辆

信息安全技术要求的测试范围，并依据测试范围开展测试，确认车辆满足第7章的要求。

注：测试范围包括第7章与待测试车辆的适用条款、各适用条款对应的测试对象等。

3、将8.2章节修改为：8.2信息安全基本要求检验

8.2.1检验要求

8.2.1.1车辆制造商应具备文档来说明车辆在开发、生产等过程的信息安全情况，文档包括

提交的文档和留存的文档。

8.2.1.2提交的文档应为中文版本，并至少包含如下内容：

——证明车辆满足第6章要求的总结文档；

——写明文档版本信息的留存文档清单。

8.2.1.3车辆制造商应以安全的方式在本地留存车辆信息安全相关过程文档，完成检验后应

对留存的文档进行防篡改处理。

8.2.1.4车辆制造商应对提交和留存的文档与车辆的一致性、可追溯性做出自我声明。

8.2.2检验方法

8.2.2.1检验车辆制造商提交的文档，确认检验方案，包括检验范围、检验方式、检验日程、

现场检验必要的证明文件清单。

8.2.2.2应依据8.2.2.1确认的检验方案，在车辆制造商现场检验留存的信息安全相关过程文

档，确认车辆是否满足第6章的要求。

4、将8.3.2.2.1b）修改为：伪造、篡改并发送远程车辆控制指令，检验是否可伪造、篡改该

指令，车辆是否执行该指令。

5、将8.3.2.2.3a）修改为：触发车辆远程控制功能，检验是否存在安全日志，安全日志记录

的内容是否包含远程控制指令的时间、发送主体、远程控制对象、操作结果等信息。

6、将8.3.2.2.3b）修改为：检验安全日志记录的时间跨度是否不少于6个月或是否具备留存

安全日志不少于6个月的能力。

7、将8.3.3.1b）修改为：若车辆与车辆制造商云平台采用公共网络环境进行通信，且使用

公有通信协议，测试人员应使用网络数据抓包工具进行数据抓包，解析通信报文数据，检验

车辆是否对车辆制造商云平台进行身份真实性验证。若采用网络数据抓包工具无法进行数据

抓包，测试人员应根据企业提供的车辆云平台通信身份真实性的证明文件，确认车辆是否满

足7.2.1的要求。

8、将8.3.3.3修改为：测试人员应依据车辆制造商提供的车辆移动蜂窝通信、WLAN、蓝牙

等外部通信通道清单，依次触发车辆外部无线通信数据传输，并使用测试设备对车辆外部无

线通信通道数据进行抓包，检验通道是否采用完整性保护机制，判定车辆是否满足7.2.3的

要求。若使用测试设备无法对车辆移动蜂窝通信的数据进行抓包，测试人员应根据企业提供

的车辆移动蜂窝通信通道完整性保护证明文件，判定车辆是否满足7.2.3的要求。

9、将8.3.3.4修改为：测试人员应使用非授权身份通过车辆外部通信通道对车辆的数据依次

进行超出访问控制机制的操作、清除和写入，检验是否可操作、清除和写入数据，判定车辆

是否满足7.2.4的要求。

10、将8.3.3.