《汽車信息安全應(yīng)急響應(yīng)管理規(guī)范》

1汽車信息安全應(yīng)急響應(yīng)管理規(guī)范本文件規(guī)定了汽車信息安全應(yīng)急響應(yīng)的管理流程和管理方法。本文件適用于相關(guān)組織開展的汽車信息安全應(yīng)急響應(yīng)管理，包括準(zhǔn)備、核驗(yàn)、處置、恢復(fù)及事件后處理等各階段工作。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。汽車信息安全vehiclecybersecurity汽車的電子電氣系統(tǒng)、組件和功能被保護(hù)，使其資產(chǎn)不受威脅的狀態(tài)。[來源：GB/T40861—2021，3.1]汽車信息安全事件vehiclecybersecurityincident與可能危害組織資產(chǎn)或損害其運(yùn)行相關(guān)的、單個(gè)或多個(gè)被識(shí)別的汽車信息安全事態(tài)。應(yīng)急響應(yīng)計(jì)劃emergencyresponseplan組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件而編制的，對(duì)包括信息系統(tǒng)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)的策略和規(guī)程。[來源：GB/T24363—2009，3.5]3.4汽車信息安全脆弱性vehiclecybersecurityvulnerability可能被汽車信息安全事件中威脅場(chǎng)景所利用的弱點(diǎn)。3.5汽車信息安全應(yīng)急響應(yīng)emergencyresponseforvehiclecybersecurity汽車制造商、供應(yīng)商及其他利益相關(guān)者等組織為了應(yīng)對(duì)突發(fā)汽車信息安全事件的發(fā)生而做的準(zhǔn)備工作，以及在事件發(fā)生后所采取的措施（不包括供應(yīng)商及其他利益相關(guān)者內(nèi)部與事件無關(guān)的工作和措施以及事后評(píng)估、追蹤和總結(jié)工作。利益相關(guān)者stakeholder由于違背一個(gè)或一組資產(chǎn)的一個(gè)或多個(gè)信息安全屬性（保密性、完整性和可用性等）而導(dǎo)致不良后果或不利結(jié)果，由此可能影響到或意識(shí)到自己可能被影響的個(gè)人或者組織。2組織organization具有自身的職責(zé)、權(quán)威和關(guān)系以實(shí)現(xiàn)其目標(biāo)的個(gè)人或集體。[來源：GB/T20984—2022，3.1.3]4總體結(jié)構(gòu)圖本文件各個(gè)階段總體架構(gòu)見圖1，完整的應(yīng)急響應(yīng)流程示例，見A.1。圖1汽車信息安全應(yīng)急響應(yīng)管理規(guī)范總體架構(gòu)圖5準(zhǔn)備階段5.1概述組織應(yīng)在本階段完成應(yīng)急預(yù)案的編制和修訂，即制定應(yīng)急響應(yīng)計(jì)劃，確立角色職責(zé)，完成應(yīng)急響應(yīng)計(jì)劃的培訓(xùn)、演練、管理和更新，制定信息安全事件分類分級(jí)規(guī)范，制定和分發(fā)信息安全應(yīng)急響應(yīng)操作手冊(cè)等，并在本階段建立與外部相關(guān)組織的協(xié)同合作機(jī)制。應(yīng)急響應(yīng)計(jì)劃制定5.2.1應(yīng)急響應(yīng)計(jì)劃應(yīng)至少明確規(guī)定以下內(nèi)容：a)角色及職責(zé)；b)應(yīng)急響應(yīng)流程；c)核驗(yàn)階段、處置階段、恢復(fù)階段和事后處理階段中各流程的時(shí)間要求，應(yīng)根據(jù)不同應(yīng)急響應(yīng)級(jí)別制定不同級(jí)別的時(shí)間要求，應(yīng)急響應(yīng)分級(jí)見B.1；d)其他相關(guān)的表單附件等。5.2.2應(yīng)急響應(yīng)計(jì)劃應(yīng)基于組織自身情況，結(jié)合自身業(yè)務(wù)特點(diǎn)，計(jì)劃應(yīng)具備可操作性。3GB/TXXXXX—XXXX5.2.3在制定應(yīng)急響應(yīng)計(jì)劃工作時(shí)，參與人員應(yīng)遵守以下原則：a)保密性原則：不應(yīng)向未授權(quán)的個(gè)人、實(shí)體或過程提供或泄漏應(yīng)急響應(yīng)工作信息；b)規(guī)范性原則：制定應(yīng)急響應(yīng)計(jì)劃的過程中，應(yīng)遵循組織相關(guān)信息安全管理制度；c)最小影響原則：應(yīng)急響應(yīng)計(jì)劃涉及的內(nèi)容應(yīng)為完成應(yīng)急響應(yīng)目的所必需的工作。5.3角色及職責(zé)確立5.3.1角色劃分組織應(yīng)結(jié)合本單位日常機(jī)構(gòu)建立信息安全應(yīng)急響應(yīng)的工作機(jī)構(gòu)，明確其職責(zé)，要求如下：a)如有一人承擔(dān)多項(xiàng)職責(zé)、一項(xiàng)職責(zé)由多人承擔(dān)的情況，應(yīng)急響應(yīng)計(jì)劃文檔中應(yīng)明確人員和職責(zé)的映射關(guān)系，單項(xiàng)職責(zé)還應(yīng)明確人員的替代順序；b)應(yīng)急響應(yīng)的工作機(jī)構(gòu)應(yīng)由管理、業(yè)務(wù)、技術(shù)和行政后勤等人員組成，按角色可劃分為五個(gè)功能小組：應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組、應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)技術(shù)保障小組和應(yīng)急響應(yīng)日常運(yùn)行小組等。組織應(yīng)根據(jù)人員所具備的技能和知識(shí)將其分配到這些小組中，分配到相關(guān)小組中的人員在日常工作中宜負(fù)責(zé)相同或類似的工作。在以上五個(gè)功能小組中，組織應(yīng)至少設(shè)置應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組、應(yīng)急響應(yīng)實(shí)施小組（合并專家小組職責(zé)）、應(yīng)急響應(yīng)日常運(yùn)行小組（合并技術(shù)保障小組職責(zé)）。組織可根據(jù)自身業(yè)務(wù)特點(diǎn)和組織架構(gòu)，設(shè)立其他小組（名稱可自擬），但相關(guān)職責(zé)應(yīng)完備；c)組織可聘請(qǐng)具有相應(yīng)資質(zhì)的外部專家協(xié)助應(yīng)急響應(yīng)工作，也可委托具有相應(yīng)資質(zhì)的外部機(jī)構(gòu)承擔(dān)實(shí)施小組以及日常運(yùn)行小組的部分工作。在聘請(qǐng)外部專家或委托外部機(jī)構(gòu)時(shí)，應(yīng)與其簽訂相關(guān)協(xié)議（例如信息保密協(xié)議、服務(wù)水平協(xié)議、服務(wù)持續(xù)協(xié)議等）；d)應(yīng)急響應(yīng)各功能小組應(yīng)明確內(nèi)部分工職責(zé)，各小組內(nèi)部應(yīng)具備統(tǒng)籌負(fù)責(zé)的人員。5.3.2各功能小組的職責(zé)確立5.3.2.1應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的領(lǐng)導(dǎo)機(jī)構(gòu)，組長(zhǎng)應(yīng)由組織最高管理層成員擔(dān)任。領(lǐng)導(dǎo)小組的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，要求如下：a)組建應(yīng)急響應(yīng)專家小組、應(yīng)急響應(yīng)實(shí)施小組、應(yīng)急響應(yīng)技術(shù)保障小組和應(yīng)急響應(yīng)日常運(yùn)行小組，并負(fù)責(zé)應(yīng)急響應(yīng)全過程管理；b)對(duì)應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源（人、財(cái)、物）等；c)批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃及各階段文檔；d)批準(zhǔn)和監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；e)負(fù)責(zé)在組織內(nèi)部通報(bào)發(fā)生的汽車信息安全事件；f)負(fù)責(zé)批準(zhǔn)汽車信息安全事件恢復(fù)方案的實(shí)施；g)負(fù)責(zé)組織內(nèi)部、外部（如供應(yīng)商、其他利益相關(guān)者）的協(xié)調(diào)工作。5.3.2.2應(yīng)急響應(yīng)專家小組應(yīng)急響應(yīng)專家小組是信息安全應(yīng)急響應(yīng)工作的技術(shù)專家機(jī)構(gòu)之一，成員應(yīng)包括組織內(nèi)部專家和/或具有相應(yīng)資質(zhì)的外部專家，應(yīng)急響應(yīng)專家小組的職責(zé)包括：a)評(píng)估重大信息安全事件，提出啟動(dòng)應(yīng)急響應(yīng)的建議；b)研究分析信息安全事件及其發(fā)展趨勢(shì)，為應(yīng)急響應(yīng)提供咨詢或提出建議；c)分析信息安全事件原因及造成的危害，為應(yīng)急響應(yīng)提供技術(shù)支持；d)定期啟動(dòng)應(yīng)急響應(yīng)計(jì)劃評(píng)審；4GB/TXXXXX—XXXXe)評(píng)審應(yīng)急響應(yīng)計(jì)劃及各階段文檔。5.3.2.3應(yīng)急響應(yīng)實(shí)施小組應(yīng)急響應(yīng)實(shí)施小組是信息安全應(yīng)急響應(yīng)工作的技術(shù)專家機(jī)構(gòu)之一，成員應(yīng)包括組織內(nèi)部技術(shù)部門的專業(yè)人員（如設(shè)計(jì)人員、開發(fā)人員、測(cè)試人員等）和業(yè)務(wù)部門的專業(yè)人員（如客戶對(duì)接人員、法務(wù)合規(guī)人員、政府對(duì)接人員、輿論監(jiān)督人員、供應(yīng)鏈管理人員、生產(chǎn)制造人員、運(yùn)維服務(wù)人員等）等，應(yīng)急響應(yīng)實(shí)施小組的職責(zé)包括：a)分析應(yīng)急響應(yīng)需求（如風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分析等）；b)確定應(yīng)急響應(yīng)策略和等級(jí)；c)編制、管理和更新應(yīng)急響應(yīng)計(jì)劃；d)實(shí)施應(yīng)急響應(yīng)計(jì)劃；e)部署和使用應(yīng)急響應(yīng)資源；f)總結(jié)應(yīng)急響應(yīng)工作，提交應(yīng)急響應(yīng)總結(jié)報(bào)告；g)執(zhí)行應(yīng)急響應(yīng)計(jì)劃的評(píng)審、修訂任務(wù)；h)控制信息安全事件發(fā)生時(shí)的損失，并評(píng)估損害。5.3.2.4應(yīng)急響應(yīng)技術(shù)保障小組應(yīng)急響應(yīng)技術(shù)保障小組是信息安全應(yīng)急響應(yīng)的技術(shù)保障機(jī)構(gòu)，成員應(yīng)包括組織內(nèi)技術(shù)部門和業(yè)務(wù)部門的管理人員（如項(xiàng)目管理人員等）等，應(yīng)急響應(yīng)技術(shù)保障小組的職責(zé)包括：a)制定信息安全應(yīng)急響應(yīng)操作手冊(cè)；b)協(xié)助應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，制定跨部門的應(yīng)急響應(yīng)協(xié)同調(diào)度方案，并在應(yīng)急響應(yīng)全流程中負(fù)責(zé)組織內(nèi)跨部門的協(xié)調(diào)調(diào)度以及組織與供應(yīng)商或其他利益相關(guān)者的溝通協(xié)調(diào)。5.3.2.5應(yīng)急響應(yīng)日常運(yùn)行小組應(yīng)急響應(yīng)日常運(yùn)行小組是信息安全應(yīng)急響應(yīng)的日常運(yùn)行機(jī)構(gòu)，成員應(yīng)包括組織內(nèi)技術(shù)部門的日常運(yùn)維、運(yùn)營(yíng)團(tuán)隊(duì)（如信息技術(shù)人員、質(zhì)量管理人員、車輛信息安全人員等應(yīng)急響應(yīng)日常運(yùn)行小組的職責(zé)包括：a)備份和管理汽車信息安全應(yīng)急響應(yīng)管理過程中產(chǎn)生的數(shù)據(jù)；b)運(yùn)行、管理和維護(hù)應(yīng)急響應(yīng)相關(guān)的系統(tǒng)；c)落實(shí)必要資源（包括人、財(cái)、物）的保障工作；d)發(fā)現(xiàn)、識(shí)別和確認(rèn)信息安全事件；e)評(píng)估、通報(bào)和跟蹤信息安全事件；f)組織培訓(xùn)和演練應(yīng)急響應(yīng)計(jì)劃。5.4應(yīng)急響應(yīng)計(jì)劃的培訓(xùn)、演練、管理和更新5.4.1應(yīng)急響應(yīng)計(jì)劃的培訓(xùn)和演練各組織應(yīng)按以下要求組織應(yīng)急響應(yīng)計(jì)劃的培訓(xùn)和演練：a)制定培訓(xùn)計(jì)劃，定期開展培訓(xùn)活動(dòng)，記錄培訓(xùn)過程的詳細(xì)信息并形成報(bào)告；b)制定演練計(jì)劃，定期開展演練活動(dòng)，記錄演練過程的詳細(xì)信息并形成報(bào)告；c)每年至少完成一次Ⅱ級(jí)及以上的應(yīng)急響應(yīng)完整演練。5.4.2應(yīng)急響應(yīng)計(jì)劃的管理和更新5GB/TXXXXX—XXXX業(yè)務(wù)流程的變化、信息系統(tǒng)的變更、各功能小組人員的變更都應(yīng)在應(yīng)急響應(yīng)計(jì)劃文檔中及時(shí)更新。經(jīng)過審核和批準(zhǔn)的應(yīng)急響應(yīng)計(jì)劃文檔，應(yīng)按以下要求進(jìn)行管理和更新：a)分別具有紙質(zhì)版和電子版的多份拷貝，并在不同的地點(diǎn)（如辦公室、機(jī)房、備份機(jī)房）和介質(zhì)中保存；b)由日常運(yùn)行小組負(fù)責(zé)保存和分發(fā)；c)分發(fā)給參與應(yīng)急響應(yīng)工作的全部人員；d)根據(jù)演練和信息安全事件的總結(jié)進(jìn)行修訂；e)在每次修訂后統(tǒng)一更新所有拷貝；f)按相關(guān)規(guī)定銷毀所有舊版本，必要的檔案存檔除外；g)定期評(píng)審和修訂，評(píng)審至少每年一次。信息安全事件分類分級(jí)規(guī)范制定組織應(yīng)制定汽車信息安全事件分類分級(jí)規(guī)范，汽車信息安全事件的分類可參考GB/Z20986—2007所述的分類方法，汽車信息安全事件分級(jí)見B.2。應(yīng)急響應(yīng)操作手冊(cè)的制定和分發(fā)5.6.1應(yīng)急響應(yīng)操作手冊(cè)的編制應(yīng)遵從簡(jiǎn)明扼要、便于有效執(zhí)行的原則。5.6.2應(yīng)急響應(yīng)操作手冊(cè)中所列出的具體技術(shù)操作，應(yīng)說明適用對(duì)象、適用情況、操作人員權(quán)限和具體分步操作指引，并在適當(dāng)條件和環(huán)境下進(jìn)行測(cè)試驗(yàn)證，確保技術(shù)操作有效可靠。5.6.3應(yīng)急響應(yīng)操作手冊(cè)應(yīng)以電子版和紙質(zhì)版的形式，分發(fā)給相關(guān)功能小組，并做好查找索引，便于發(fā)生信息安全事件時(shí)快速處置。5.6.4應(yīng)急響應(yīng)操作手冊(cè)應(yīng)根據(jù)車輛軟硬件的更新，及時(shí)做出更新調(diào)整。協(xié)同與合作機(jī)制建立5.7.1同監(jiān)管部門組織應(yīng)協(xié)同安全監(jiān)管部門進(jìn)行汽車信息安全事件的整理及分析，并按監(jiān)管部門要求進(jìn)行汽車信息安全事件通報(bào)。5.7.2同供應(yīng)商5.7.2.1組織應(yīng)同供應(yīng)商在合同以及汽車信息安全工作接口協(xié)議中，約定關(guān)于信息安全應(yīng)急響應(yīng)責(zé)任分工、對(duì)接流程、響應(yīng)時(shí)效要求等條款。5.7.2.2組織應(yīng)同供應(yīng)商建立有效的協(xié)調(diào)溝通渠道，明確各方的溝通負(fù)責(zé)人，供應(yīng)商包括：汽車零部件供應(yīng)商、信息系統(tǒng)服務(wù)提供商、電信服務(wù)提供商、信息安全服務(wù)商和第三方測(cè)評(píng)機(jī)構(gòu)等。5.7.2.3在進(jìn)行應(yīng)急響應(yīng)演練時(shí)，組織宜邀請(qǐng)供應(yīng)商一起參與。5.7.3同行業(yè)組織5.7.3.1組織可參與一家或多家汽車信息安全信息共享平臺(tái)和/或聯(lián)盟等行業(yè)組織，以保障更廣泛、及時(shí)的安全信息獲取。5.7.3.2組織可在安全漏洞修復(fù)或汽車信息安全事件平息后將事件問題連同修復(fù)措施同步提報(bào)給相關(guān)行業(yè)組織。5.7.4同安全服務(wù)方6GB/TXXXXX—XXXX組織可同安全服務(wù)方開展持續(xù)的汽車信息安全應(yīng)急響應(yīng)合作，以獲得更廣泛的專業(yè)技術(shù)及人員支持。6核驗(yàn)階段概述依據(jù)組織制定的應(yīng)急響應(yīng)計(jì)劃和汽車信息安全事件分類分級(jí)規(guī)范，應(yīng)急響應(yīng)日常運(yùn)行小組應(yīng)執(zhí)行汽車信息安全事件確認(rèn)和事件評(píng)估流程，應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組執(zhí)行事件通報(bào)流程。事件確認(rèn)收到汽車信息安全事件情報(bào)后，應(yīng)立刻啟動(dòng)事件確認(rèn)流程，要求如下：a)考察并確認(rèn)汽車信息安全事件情報(bào)的來源，包括但不限于：1)應(yīng)急響應(yīng)日常運(yùn)行小組發(fā)現(xiàn)的安全預(yù)警事件，2)行業(yè)權(quán)威平臺(tái)收到行業(yè)安全預(yù)警情報(bào)，3)組織自建的外部事件搜集渠道收到的客戶或者安全研究人員上報(bào)的安全問題；b)記錄事件和情報(bào)完整性檢查的要素和身份核對(duì)的情況；c)初步判斷事件相關(guān)資產(chǎn)與汽車制造商、供應(yīng)商和其他利益相關(guān)者的相關(guān)性；d)詳細(xì)記錄并備案事件確認(rèn)的結(jié)果。事件評(píng)估6.3.1汽車信息安全事件確認(rèn)后，應(yīng)立刻啟動(dòng)事件評(píng)估流程，流程及相關(guān)文件的要求如下：a)初步判定汽車信息安全事件的類型、級(jí)別和應(yīng)急響應(yīng)的級(jí)別，形成初判評(píng)估結(jié)論，宜從人員安全、經(jīng)濟(jì)財(cái)產(chǎn)、車輛功能及性能、隱私及法規(guī)、社會(huì)影響多個(gè)角度進(jìn)行事件綜合考慮，得出事件相關(guān)性、影響范圍、造成的最壞情況等幾個(gè)方面的判斷；b)評(píng)審初判評(píng)估結(jié)論，相關(guān)文檔應(yīng)提交至應(yīng)急響應(yīng)專家小組評(píng)審，形成《汽車信息安全事件評(píng)估評(píng)審表》（示例見A.2）；c)事件評(píng)估流程的執(zhí)行過程中，數(shù)據(jù)安全、信息保密相關(guān)工作應(yīng)滿足可追溯需求。6.3.2《汽車信息安全事件評(píng)估評(píng)審表》中應(yīng)至少包括：a)參與事件評(píng)估過程的每位專家的關(guān)注方向；b)獲得的相關(guān)信息；c)對(duì)信息的處理過程和邏輯推理過程；d)最終做出的評(píng)估評(píng)審意見，包括汽車信息安全事件的類型、級(jí)別和應(yīng)急響應(yīng)的級(jí)別等。6.3.3事件評(píng)估過程如需引入應(yīng)急響應(yīng)功能小組以外的人員參與，應(yīng)在《汽車信息安全事件評(píng)估評(píng)審表》中記錄的引入人員信息至少包括：a)在組織內(nèi)的職位和職責(zé)；b)被引入本次事件的原因；c)在本次工作中獲得的事件信息等。6.4事件通報(bào)6.4.1事件評(píng)估結(jié)束后，應(yīng)立刻啟動(dòng)事件通報(bào)流程，流程及相關(guān)文件的要求如下：a)事件通報(bào)應(yīng)易于記錄、易于流程追溯，信息擴(kuò)散范圍應(yīng)可控，可通過電話會(huì)議、現(xiàn)場(chǎng)會(huì)議、網(wǎng)絡(luò)會(huì)議等方式進(jìn)行；7GB/TXXXXX—XXXXb)事件通報(bào)會(huì)議應(yīng)形成《信息安全事件記錄表》（示例見A.3）并歸檔備案，如結(jié)論是不需要啟動(dòng)應(yīng)急響應(yīng)工作，則應(yīng)結(jié)束本次應(yīng)急響應(yīng)工作；如結(jié)論是需要啟動(dòng)應(yīng)急響應(yīng)工作，應(yīng)由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組最終批準(zhǔn)并通報(bào)給應(yīng)急響應(yīng)各功能小組全體成員。6.4.2事件通報(bào)會(huì)議應(yīng)形成會(huì)議紀(jì)要，會(huì)議紀(jì)要內(nèi)容應(yīng)至少包括：a)參會(huì)人員；b)會(huì)議上呈現(xiàn)的信息和情報(bào)細(xì)節(jié)；c)評(píng)估記錄；d)應(yīng)急響應(yīng)功能小組人員和其他人員對(duì)相關(guān)信息的討論過程；e)會(huì)議決議；f)遺留的待明確和待解決的問題等。7處置階段概述依據(jù)組織制定的應(yīng)急響應(yīng)操作手冊(cè)等相關(guān)文件，應(yīng)急響應(yīng)實(shí)施小組應(yīng)執(zhí)行汽車信息安全事件處置方案的制定、開發(fā)和實(shí)施流程。處置方案制定7.2.1核驗(yàn)階段結(jié)束后，如需啟動(dòng)應(yīng)急響應(yīng)流程，應(yīng)首先查閱和評(píng)估已有的應(yīng)急處置方案，如有可完全借鑒的處置方案則按方案實(shí)施，如有可部分借鑒的處置方案則在其基礎(chǔ)上啟動(dòng)處置方案制定流程，如沒有可完全或部分借鑒的應(yīng)急處置方案，則應(yīng)立刻啟動(dòng)處置方案制定流程。處置方案應(yīng)滿足以下要求：a)根據(jù)汽車信息安全事件的類型、級(jí)別和應(yīng)急響應(yīng)的級(jí)別進(jìn)行編制；b)分析應(yīng)急響應(yīng)需求及其應(yīng)對(duì)方案，明確處置對(duì)象，如脆弱性涉及零部件，應(yīng)細(xì)化到零部件層c)記錄和修復(fù)汽車信息安全脆弱性，并保證處置方案的保密性；d)在《信息安全事件總結(jié)報(bào)告》（示例見A.4）中記錄。7.2.2如引起該信息安全事件的脆弱性無法在現(xiàn)有相關(guān)產(chǎn)品上進(jìn)行處置修復(fù)，應(yīng)經(jīng)過應(yīng)急響應(yīng)實(shí)施小組研提、應(yīng)急響應(yīng)專家小組評(píng)估復(fù)核，并在處置方案中應(yīng)闡釋情況和理由，采取有效緩解措施后，進(jìn)入實(shí)施階段。7.2.3如需求或者方案涉及到供應(yīng)商或其他利益相關(guān)者，應(yīng)由應(yīng)急響應(yīng)技術(shù)保障小組將相應(yīng)需求發(fā)送至供應(yīng)商或其他利益相關(guān)者的溝通負(fù)責(zé)人，溝通負(fù)責(zé)人接到需求后應(yīng)立即進(jìn)行內(nèi)部通報(bào)，并啟動(dòng)內(nèi)部處置流程，供應(yīng)商或其他利益相關(guān)方應(yīng)參與方案的制定和評(píng)審。處置方案開發(fā)處置方案制定結(jié)束后，應(yīng)立即啟動(dòng)處置方案開發(fā)流程，流程及相關(guān)文件的要求如下：a)按照應(yīng)急響應(yīng)實(shí)施小組內(nèi)部流程要求，釋放本次應(yīng)急響應(yīng)的信息安全技術(shù)要求，并啟動(dòng)軟件開發(fā)、測(cè)試用例編寫等工作；b)按照應(yīng)急響應(yīng)實(shí)施小組內(nèi)部流程要求，釋放測(cè)試用例，并啟動(dòng)測(cè)試；c)應(yīng)急響應(yīng)實(shí)施小組完成測(cè)試后，輸出測(cè)試報(bào)告，測(cè)試報(bào)告應(yīng)進(jìn)行小組內(nèi)評(píng)審并存檔，評(píng)審過程宜聯(lián)合應(yīng)急響應(yīng)專家小組進(jìn)行；8GB/TXXXXX—XXXXd)如處置方案開發(fā)過程涉及到供應(yīng)商或其他利益相關(guān)方，則供應(yīng)商或其他利益相關(guān)方應(yīng)在雙方協(xié)定的時(shí)間內(nèi)將處置結(jié)果反饋至應(yīng)急響應(yīng)技術(shù)保障小組。7.4處置方案實(shí)施處置方案開發(fā)結(jié)束后，應(yīng)立即啟動(dòng)處置方案實(shí)施流程，流程及相關(guān)文件的要求如下：a)按照組織內(nèi)部要求的方式發(fā)布處置方案；b)按照應(yīng)急響應(yīng)計(jì)劃對(duì)汽車信息安全事件實(shí)施處置方案；c)將所有的信息安全脆弱性更新至信息安全技術(shù)要求，組織應(yīng)將更新的信息安全技術(shù)要求應(yīng)用到新車型，保障后續(xù)車型脆弱性防護(hù)的實(shí)施；d)完成方案實(shí)施后，應(yīng)完成應(yīng)急處置報(bào)告并存檔（示例見A.5），報(bào)告中應(yīng)至少包含事件分類、事件等級(jí)、處置時(shí)間、實(shí)施效果和恢復(fù)建議等，對(duì)于無法在現(xiàn)有相關(guān)產(chǎn)品上進(jìn)行處置修復(fù)的情況，應(yīng)根據(jù)事件等級(jí)說明影響情況；e)應(yīng)將應(yīng)急處置報(bào)告提交至應(yīng)急響應(yīng)專家小組和應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組進(jìn)行評(píng)審和批準(zhǔn)；f)如構(gòu)成產(chǎn)品召回，應(yīng)按照相關(guān)要求進(jìn)行處理；g)組織應(yīng)在當(dāng)前發(fā)生汽車信息安全事件的影響已被控制的情況下，進(jìn)入恢復(fù)階段。8恢復(fù)階段8.1概述依據(jù)組織制定的應(yīng)急響應(yīng)計(jì)劃等相關(guān)文件，應(yīng)急響應(yīng)實(shí)施小組應(yīng)執(zhí)行汽車信息安全事件恢復(fù)方案的制定、驗(yàn)證和實(shí)施流程。8.2恢復(fù)方案制定8.2.1應(yīng)急響應(yīng)實(shí)施小組應(yīng)對(duì)涉事車型或零部件制定恢復(fù)方案，恢復(fù)方案中應(yīng)闡明消除本次汽車信息安全事件相應(yīng)的信息安全脆弱性的方法。8.2.2恢復(fù)方案制定過程中應(yīng)滿足如下原則：a)結(jié)合涉事車型或零部件的開發(fā)流程及處置階段的結(jié)論分析和制定恢復(fù)方案；b)結(jié)合以往的共性事件或類似事件制定恢復(fù)方案；c)覆蓋受汽車信息安全事件影響的各類車型或零部件；d)對(duì)汽車信息安全事件影響到的個(gè)人或組織的保密信息進(jìn)行訪問權(quán)限控制。8.2.3應(yīng)急響應(yīng)實(shí)施小組應(yīng)平衡恢復(fù)方案的制定時(shí)間與對(duì)制定完畢的恢復(fù)方案進(jìn)行全面測(cè)試所需的時(shí)間之間的關(guān)系；8.2.4如超出應(yīng)急響應(yīng)計(jì)劃規(guī)定的恢復(fù)方案制定時(shí)間仍未完成方案制定，應(yīng)由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組批準(zhǔn)采用臨時(shí)方案作為緩解手段，并加快恢復(fù)方案的制定。8.3恢復(fù)方案驗(yàn)證8.3.1恢復(fù)方案驗(yàn)證過程應(yīng)滿足如下原則：a)確?；謴?fù)方案在所有支持的車型或零部件上均得到驗(yàn)證；b)確?；謴?fù)方案可以在涉事車型或零部件上正確工作；c)確?；謴?fù)方案不會(huì)影響其他零部件的質(zhì)量；d)確?；謴?fù)方案不會(huì)影響涉事車型或零部件已有功能的運(yùn)行；e)確保恢復(fù)方案的使用不會(huì)引入新的信息安全事件；9GB/TXXXXX—XXXXf)確定恢復(fù)方案實(shí)施優(yōu)先級(jí)，并進(jìn)行驗(yàn)證。8.3.2恢復(fù)方案驗(yàn)證成功后，應(yīng)提交應(yīng)急響應(yīng)專家小組進(jìn)行審核，審核通過后提交應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組批準(zhǔn)并啟動(dòng)實(shí)施。8.3.3如恢復(fù)方案驗(yàn)證失敗，應(yīng)由應(yīng)急響應(yīng)技術(shù)保障小組協(xié)助制定新的恢復(fù)方案或?qū)υ蟹桨高M(jìn)行迭代。8.4恢復(fù)方案實(shí)施8.4.1應(yīng)急響應(yīng)實(shí)施小組應(yīng)按照汽車信息安全事件優(yōu)先級(jí)進(jìn)行恢復(fù)方案實(shí)施。對(duì)同一等級(jí)的汽車信息安全事件，可同時(shí)采用階梯方式分步實(shí)施恢復(fù)方案（如分成三步走，第一步選取10%進(jìn)行恢復(fù)，第二步選取30%進(jìn)行恢復(fù)，第三步完成全部恢復(fù)）。8.4.2在實(shí)施恢復(fù)方案過程中，應(yīng)及時(shí)向應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組通報(bào)汽車信息安全事件的恢復(fù)進(jìn)展。8.4.3當(dāng)汽車信息安全事件導(dǎo)致的車型脆弱性問題已被完全消除或恢復(fù)方案的實(shí)施效果已得到車輛使用者認(rèn)可后，恢復(fù)方案實(shí)施完成，可進(jìn)入事后處理階段。9事件后處理階段9.1概述應(yīng)急響應(yīng)結(jié)束后，應(yīng)急響應(yīng)實(shí)施小組應(yīng)編制《信息安全事件總結(jié)報(bào)告》，執(zhí)行恢復(fù)階段后的總結(jié)流程。應(yīng)急響應(yīng)日常運(yùn)行小組應(yīng)執(zhí)行恢復(fù)階段后的評(píng)估、追蹤流程。9.2事件后總結(jié)9.2.1《信息安全事件總結(jié)報(bào)告》應(yīng)包括以下內(nèi)容：a)汽車信息安全事件的起因；b)汽車信息安全事件的經(jīng)過、事件等級(jí)、責(zé)任判定；c)汽車信息安全事件所造成的影響，根因分析、恢復(fù)方案等恢復(fù)階段涉及的內(nèi)容；d)汽車信息安全事件的經(jīng)驗(yàn)教訓(xùn)及其他相關(guān)記錄和各階段交付物，各階段交付物可作為《信息安全事件總結(jié)報(bào)告》的附件。9.2.2《信息安全事件總結(jié)報(bào)告》應(yīng)報(bào)應(yīng)急響應(yīng)專家小組審核，應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組進(jìn)行批準(zhǔn)。9.2.3如監(jiān)管部門要求上報(bào)或備案，應(yīng)按其相關(guān)要求，經(jīng)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組批準(zhǔn)后上報(bào)或備案。9.3事件后評(píng)估和追蹤9.3.1依據(jù)應(yīng)急響應(yīng)處理狀態(tài)，應(yīng)急響應(yīng)日常運(yùn)行小組應(yīng)依據(jù)《信息安全事件總結(jié)報(bào)告》制定后續(xù)持續(xù)監(jiān)測(cè)和事件追蹤的要求。9.3.2應(yīng)急響應(yīng)日常運(yùn)行小組應(yīng)對(duì)發(fā)生汽車信息安全事件的電子電氣系統(tǒng)或組件等進(jìn)行持續(xù)追蹤，定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估和審計(jì)，發(fā)現(xiàn)可能存在的脆弱性問題應(yīng)及時(shí)做出改善。GB/TXXXXX—XXXX（資料性）汽車信息安全應(yīng)急響應(yīng)流程及相關(guān)文件示例A.1汽車信息安全應(yīng)急響應(yīng)流程示例當(dāng)出現(xiàn)汽車信息安全事件時(shí)，基于各組織內(nèi)部的應(yīng)急響應(yīng)機(jī)構(gòu)設(shè)置，根據(jù)事件的等級(jí)及時(shí)啟動(dòng)應(yīng)急響應(yīng)，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告，具體操作流程如圖A.1所示。圖A.1車輛信息安全應(yīng)急響應(yīng)流程示例圖GB/TXXXXX—XXXXA.2汽車信息安全事件評(píng)估評(píng)審表汽車信息安全事件評(píng)估評(píng)審表，如表A.1所示。表A.1汽車信息安全事件評(píng)估評(píng)審表GB/TXXXXX—XXXXA.3汽車信息安全事件記錄表汽車信息安全事件記錄表，如表A.2所示。表A.2汽車信息安全事件記錄表GB/TXXXXX—XXXXA.4汽車信息安全事件總結(jié)報(bào)告汽車信息安全事件總結(jié)報(bào)告，如表A.3所示。表A.3汽車信息安全事件總結(jié)報(bào)告GB/TXXXXX—XXXXA.5汽車信息安全事件應(yīng)急處置報(bào)告汽車信息安全事件應(yīng)急處置報(bào)告，如表A.4所示。表A.4汽車信息安全事件應(yīng)急處置報(bào)告GB/TXXXXX—XXXX（資料性）汽車信息安全事件分級(jí)及應(yīng)急響應(yīng)分級(jí)B.1汽車信息安全應(yīng)急響應(yīng)分級(jí)屬于特別重大信息安全事件應(yīng)及時(shí)啟動(dòng)Ⅰ級(jí)響應(yīng)，由監(jiān)管部門進(jìn)行應(yīng)急處置工作的統(tǒng)一領(lǐng)導(dǎo)、指揮和協(xié)調(diào)。組織進(jìn)入應(yīng)急狀態(tài)，在監(jiān)管部門的統(tǒng)一領(lǐng)導(dǎo)、指揮、協(xié)調(diào)下，負(fù)責(zé)本組織范圍內(nèi)的應(yīng)急處置工作或支援保障工作，24小時(shí)值班，跟蹤事態(tài)發(fā)展，檢查影響范圍，并及時(shí)將事態(tài)發(fā)展變化和處置進(jìn)展情況進(jìn)行上報(bào)。應(yīng)急響應(yīng)完成后，應(yīng)開展調(diào)查和評(píng)估，需要《信息安全事件總結(jié)報(bào)告》應(yīng)對(duì)事件的起因、性質(zhì)、影響、責(zé)任等進(jìn)行分析評(píng)估，提出處理意見和改進(jìn)措施，并做好備案。對(duì)特別重大的汽車信息安全事件由監(jiān)管部門協(xié)調(diào)相關(guān)機(jī)構(gòu)進(jìn)行調(diào)查處理和總結(jié)評(píng)估。B.1.2Ⅱ級(jí)應(yīng)急響應(yīng)屬于重大信息安全事件應(yīng)及時(shí)啟動(dòng)Ⅱ級(jí)響應(yīng)，組織進(jìn)入應(yīng)急狀態(tài)并按照應(yīng)急響應(yīng)計(jì)劃做好應(yīng)急處置工作。組織及時(shí)將事態(tài)發(fā)展變化情況上報(bào)監(jiān)管部門，并將有關(guān)重大事項(xiàng)及時(shí)通報(bào)其他相關(guān)組織。相關(guān)組織根據(jù)監(jiān)管部門的通報(bào)，結(jié)合自身實(shí)際有針對(duì)性地加強(qiáng)防范，防止造成更大范圍影響和損失。應(yīng)急處置完成后，應(yīng)開展調(diào)查和評(píng)估，需要《信息安全事件總結(jié)報(bào)告》應(yīng)對(duì)事件的起因、性質(zhì)、影響、責(zé)任等進(jìn)行分析評(píng)估，提出處理意見和改進(jìn)措施，并做好備案。重大及以下信息安全事件由組織自行進(jìn)行調(diào)查處理和總結(jié)評(píng)估。B.1.3Ⅲ級(jí)應(yīng)急響應(yīng)屬于較大信息安全事件應(yīng)及時(shí)啟動(dòng)Ⅲ級(jí)響應(yīng)，組織進(jìn)入應(yīng)急狀態(tài)并按照應(yīng)急響應(yīng)計(jì)劃做好應(yīng)急處置工作。處置中需要其他相關(guān)組織或機(jī)構(gòu)配合和支持的，應(yīng)予以協(xié)調(diào)。應(yīng)急處置完成后，應(yīng)開展調(diào)查和評(píng)估，需要《信息安全事件總結(jié)報(bào)告》應(yīng)對(duì)事件的起因、性質(zhì)、影響、責(zé)任等進(jìn)行分析評(píng)估，提出處理意見和改進(jìn)措施，并做好備案。B.1.4Ⅳ級(jí)應(yīng)急響應(yīng)屬于車輛信息安全一般事件應(yīng)及時(shí)啟動(dòng)Ⅳ級(jí)響應(yīng)，由組織按照應(yīng)急響應(yīng)計(jì)劃做好應(yīng)急處置工作。應(yīng)急處置完成后，應(yīng)開展調(diào)查和評(píng)估，需要《信息安全事件總結(jié)報(bào)告》應(yīng)對(duì)事件的起因、性質(zhì)、影響、責(zé)任等進(jìn)行分析評(píng)估，提出處理意見和改進(jìn)措施，并做好備案。B.2汽車信息安全事件分級(jí)B.2.1符合以下條件之一的為汽車信息安全特別重大事件（I級(jí)a)人員安全：造成特別嚴(yán)重的人員傷亡，導(dǎo)致多個(gè)人員致命傷害；b)經(jīng)濟(jì)財(cái)產(chǎn)：安全事件產(chǎn)生的財(cái)務(wù)損失威脅到多個(gè)組織的生存；GB/TXXXXX—XXXXc)車輛功能及性能：多個(gè)車輛發(fā)生功能和/或性能問題導(dǎo)致重大損失；d)隱私及法規(guī)：侵害到多個(gè)利益相關(guān)方的隱私，造成特別重大影響的后果；e)社會(huì)影響：造成特別重大的社會(huì)影響，造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴(yán)重破壞，極大威脅國(guó)家安全，引起社會(huì)動(dòng)蕩，對(duì)經(jīng)濟(jì)建設(shè)有極其惡劣的負(fù)面影響，或者嚴(yán)重?fù)p害公眾利益。B.2.2符合以下條件之一的為汽車信息安全重大事件（II級(jí)a)