2024年，如何更好地守护智能网联汽车出海网络安全与隐私安全？(附回看)丨谈思AutoSec汽车安全直播课回顾

直播中，张老师首先介绍了当前智能网联汽车的现状及背景。张老师指出，从出口额看，2023年1-11月，中国汽车出口额达到了927亿美元，出口增速71%，预计全年将会超过1000亿美元。同时，中国汽车零部件的同期出口额也达到802亿美元，预计全年有望达到870亿美元。中国汽车出口的数量和金额都已经达到世界第一！而后又以R155为例介绍了欧盟网安法规及国内网安法规。

紧接着，张老师对R155/156法规与其他标准政策文件关联进行了解析。

R155法规主要要求如下：

a、公司层面网络安全要求

• 管理体系适用于开发、生产和生产后期的各个阶段

• 进行风险识别/评估/分类/处置/管理

• 持续监控网格安全威胁和及时响应网络安全事件

• 管理与供应商/服务提供者等相关方的网络安全职责和工作边界

b、车辆层面网络安全要求

• 识别关键要素并进行风险评估和风险管理/处置

• 进行了能够验证所实施的、安全措施的、有效性的、适当的安全测试

• 应采取适当的缓解措施确保安全风险得到采善处置

• 采取安全措施，确保车辆专用环境(云TSP，APP等) 的数据、应用安全等

然后张老师为大家讲解了史上最严格的数据保护法规"GDPR"。GDPR,即General Data Protection Regulation (通用数据保护条例)，是欧盟保护个人数据的法规。该条例旨在加强对欧盟境内居民的个人数据和隐私保护并直接适用于欧盟各成员国。在2018年5月25日正式实施，这是全球近20年在数据隐私保护领域最重大的变化。

由于GDPR违法成本巨大，适用合规主体和地域广，合规应对工作复杂，技术难度高，对于OEM有重大影响，必须充分重视。

• 高度重视个人数据保护，尽早制定周密的战略计划，消除各种不合规隐患，加强人员培训和管理；

• 搭建安全和风险管理的框架体系。结合自身情况，建立信息管理系统、风险评估和防控机制，完善数据主体的权利设置和行使操作规程。

• 个人信息安全风险评估；

• 完善数据处理机制，采取安全措施。如安全管理、事件响应，访问控制和认证、网络/通信安全、移动/便携式设备等。