1、 汽车供应链网络安全管理白皮书（2022）汽车供应链网络安全管理白皮书（2022）2022 年 11 月 中国智能网联汽车产业创新联盟 汽车供应链网络安全管理白皮书（2022）版 权 声 明 版 权 声 明 本白皮书版权属于中国智能网联汽车产业创新联盟及各参编单位，并受法律保护。转载、摘编本白皮书文字或者观点的应注明来源:“中国智能网联汽车产业创新联盟：汽车供应链网络安全管理白皮书(2022)”，以其他方式使用本白皮书应取得版权方书面同意。违反上述声明者，联盟将追究其相关法律责任。汽车供应链网络安全管理白皮书（2022）主 要 贡 献 单 位 主 要 贡 献 单 位 南德检测认证（中国）有限公

2、司上海分公司 华为技术有限公司 国汽（北京）智能网联汽车研究院有限公司 上海汽车集团股份有限公司 广州汽车集团股份有限公司 重庆长安汽车股份有限公司 中国软件评测中心（工业和信息化部软件与集成电路促进中心）奇安信科技集团股份有限公司 宁波谦川科技有限公司 上海工业控制安全创新科技有限公司 北京梆梆安全科技有限公司 紫光国芯微电子股份有限公司 工业和信息化部电子第五研究所 汽车供应链网络安全管理白皮书（2022）前 言 前 言 近年来，汽车智能化、网联化发展加快，创新技术不断演进，产业转型持续深入。同时，汽车面临的网络安全问题日益突出，由汽车网络安全事件引发的诸多风险及危害已引起监管部门、产业各

3、界及社会公众的重点关注。由于智能网联汽车供应链长，构成主体多元复杂，网络安全防护涉及环节众多，容易形成安全缺口和能力短板。因此，加强智能网联汽车全供应链的网络安全保障能力，构建覆盖智能网联汽车全生命周期的网络安全保障体系，对提升产业整体安全水平，推动产业健康发展具有重要意义。从监管要求来看，汽车供应链网络安全逐步引起国内外监管部门的重视，近期陆续发布的政策法规已做出相关要求：一方面，明确汽车制造商的主体责任，要求做好供应链网络安全风险的识别与管控；另一方面，也要求汽车产业链上下游的零部件供应商、服务商协同做好安全体系建设工作。从产业需求来看，供应商网络安全管理是汽车制造商构建汽车网络安全管理体

4、系中不可或缺的环节；同时，为有效承接汽车制造商的网络安全需求，供应链各环节企业需加强自身网络安全能力建设。基于此，本白皮书针对汽车供应链网络安全的现状及挑战，以当前国内外法规标准要求为依据，阐述汽车制造商进行供应链网络安全管理的实践要点，从管理体系和关键技术角度分析汽车供应商构建网络安全能力的关键要素，系统梳理适用于汽车供应链网络安全的评估及认证体系，提出推动汽车供应链网络安全发展的措施建议。本白皮书可为汽车制造商的供应链网络安全管理，汽车供应商（包括涉及网络安全风险的汽车系统与零部件制造商、服务运营商、解决方案集成商等）的网络安全能力建设提供实践参考。汽车供应链网络安全管理白皮书（2022）

5、I 目 录 目 录 一、一、智能网联汽车网络安全发展概况智能网联汽车网络安全发展概况.1 1.1 行业网络安全发展现状.1 1.2 政策法规推进情况.1 1.3 标准体系建设情况.3 1.4 汽车供应链网络安全问题和挑战.8 二、二、汽车制造商供应链网络安全管理汽车制造商供应链网络安全管理.9 2.1 供应链网络安全评估及准入.9 2.2 定厂前的监督管理.9 2.3 定厂后的监督管理.10 三、三、汽车供应商网络安全最佳实践汽车供应商网络安全最佳实践.11 3.1 汽车供应商网络安全管理体系.11 3.1.1 网络安全组织管理.11 3.1.2 网络安全流程管理.12 3.2 汽车供应商网络

6、安全关键技术.13 3.2.1 网络安全防护技术.13 3.2.2 网络安全测试技术.19 四、四、汽车供应链网络安全评估及认证汽车供应链网络安全评估及认证.30 4.1 企业信息安全管理体系认证.30 4.1.1 ISO/SAE 21434 认证.30 4.1.2 可信信息安全评估交换（TISAX）.33 4.1.3 ISO/IEC 27001 认证.34 4.2 产品信息安全认证.35 4.2.1 CC 认证.35 4.2.2 CB 体系认证.36 4.2.3 商用密码产品认证.36 五、五、展望及倡议展望及倡议.38 汽车供应链网络安全管理白皮书（2022）1 一、一、智能网联汽车网络安