标准号:T/SHV2X 3-2025
标准名称:车联网服务平台风险评估实施指南
团体名称:上海市车联网协会
发布日期:2025年01月15日
实施日期:2025年01月15日
本标准适用于指导智能网联汽车生产企业、车联网服务平台运营企业等车联网服务平台相关企业以及评测机构对车联网服务平台风险评估的实施,风险评估对象包含各类型车联网服务平台安全运行所涉及的必要要素,遵循“关键业务原则”、“可控性原则”、“最小影响原则”,评估内容包括组成车联网服务平台的信息系统所涉及的物理环境、网络、系统、应用及管理等层面所面临的安全风险。
对车联网服务平台实施风险评估的过程划分为风险评估准备、风险要素识别和风险分析三个阶段。
风险评估准备阶段需确认评估目标、范围、依据和评估方法,组建团队,制定实施方案,并完成信息调研和评估工具准备;风险要素识别阶段是对车联网服务平台中的资产、威胁、脆弱性、安全措施等风险要素进行识别与赋值的过程;风险分析阶段是对获得的车联网服务平台相关信息进行关联分析,并计算车联网服务平台所面临风险的大小;最终通过风险评估报告给出风险评估结果,说明车联网服务平台中存在的安全风险。对车联网服务平台的风险评估可综合采用人员访谈、文档审查、实地查看、配置核查、工具测试等手段对车联网服务平台及其相关设施的风险情况进行评估。评估可采取自评估和检查评估两种方式,自评估由车联网服务平台相关企业自身发起,组成机构内部评估小组或委托第三方评估机构进行评估。
起草单位:上研智联智能出行科技(上海)有限公司、上海计算机软件技术开发中心、上 海银基科技股份有限公司、润成安全技术有限公司、工业互联网创新中心(上海)有限公司、上海蔚 来汽车有限公司、零束科技有限公司、上汽大众汽车有限公司、福特汽车(中国)有限公司、沃尔沃 汽车技术(上海)有限公司、艾普拉斯(上海)质量检测有限公司、上海优咔网络科技有限公司。
起草人:杨伟利、潘政伟、宋晓航、毛争艳、何旺君、李爽、严超、刘海、曹远晶、 张孟、周悦、杨晓光、王菲、王艳艳,杜同祯、杨清羽、李泽惠、薛超、杨靖、王寨纳。