汽车信息安全应急响应管理指南

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中华人民共和国工业和信息化部提出。

本文件由全国汽车标准化技术委员会（SAC/TC114）归口。

本文件起草单位：

本文件主要起草人：

汽车信息安全应急响应管理指南

Guidelineofemergencyresponsemanagementforvehiclecybersecurity

(点击此处添加与国际标准一致性程度的标识)

2

GB/TXXXXX—XXXX

汽车信息安全应急响应管理指南

1范围

本文件规定了汽车信息安全应急响应过程的管理流程、管理方法及信息安全事件的处理方法，为汽

车信息安全应急响应的各个阶段提供管理指南。

本文件适用于指导涉及汽车信息安全应急管理的汽车制造商、供应商及其他利益相关者等组织开

展汽车信息安全事件定义、预防、评估、处置、风险管理及事后处理等汽车信息安全应急响应管理工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20984-2007信息安全技术信息安全风险评估规范

GB/Z20986-2007信息安全技术信息安全事件分类分级指南

GB/T24363-2009信息安全技术信息安全应急响应计划规范

GB/T25069-2010信息安全技术术语

GB/T40861-2021汽车信息安全通用技术要求

3术语和定义

下列术语和定义适用于本文件。

汽车信息安全vehiclecybersecurity

汽车的电子电气系统、组件和功能被保护，使其资产不受威胁的状态。

[来源：GB/T40861-2021，3.1]

汽车信息安全事件vehiclecybersecurityincident

与可能危害组织资产或损害其运行相关的、单个或多个被识别的汽车信息安全事态。

注：事态，指某些特定数据、情形或活动的发生。

[来源：GB／T25069—2010，2.1.32]

应急响应计划emergencyresponseplan

组织为了应对突发/重大信息安全事件而编制的，对包括信息系统运行在内的业务运行进行维持或

恢复的策略和规程。

[来源：GB/T24363-2009，3.5]

3

GB/TXXXXX—XXXX

汽车信息安全脆弱性vehiclecybersecurityvulnerability

可能被汽车信息安全事件中威胁场景所利用的弱点或漏洞。

汽车信息安全应急响应vehiclecybersecurityincidentresponse

汽车制造商、供应商及其他利益相关者等组织为了应对突发汽车信息安全事件的发生而做的准备

工作，以及在事件发生后所采取的措施，不包括供应商及其他利益相关者内部与事件无关的工作和措施。

利益相关者stakeholder

由于违背一个或一组资产的一个或多个信息安全属性（保密性、完整性和可用性等）而导致不良后

果或不利结果，由此可能影响到或意识到自己可能被影响的个人或者组织。

组织organization

由作用不同的个体为实施共同的业务目标而建立的机构。一个单位是一个组织，某个业务部门也可

以是一个组织。

[来源：GB/T20984-2007，3.11]

4总体结构图

本文件各个阶段总体结构见图1，完整的应急相应流程示例，可参见附录A.1。

5.准备阶段6.核验阶段7.处置阶段8.恢复阶段

5.2制定应急响应计划

收到事件情报7.2制定处置方案8.2制定恢复方案

（角色和职责、流程、时间要求、呼叫表及表单等）

6.2事件确认

5.3.2.1应急响应领导小组评判8.3恢复方案验证

风险低且

可处置

5.3.2.2应急响应专家小组6.3事件评估无法处置

5.37.3处置方案开发8.4恢复方案实施

角色

5.3.2.3应急响应实施小组不满足

及职6.4事件通报

要求

责

7.4处置方案实施

5.3.2.5应急响应技术保障小组

评判

评判

5.3.2.4应急响应日常运行小组

无须启动《方案实施报告》

满足要求

更新

《信息安全事件总结报告》

《信息安全事件

5.4应急响应计划的培训、演练和更新上报相

如需上报总结报告》

关部门

5.5信息安全事件分类分级规范制定

9.事后处理阶段

《信息安全事件总结报

事件持续追踪告》及各阶段文档归档

5.6制定应急响应操作手册

9.2事件后评估、追踪及总结

风险持续监测

5.7协同与合作要求

图1汽车信息安全应急响应管理指南总体结构

5准备阶段

概述

4

GB/TXXXXX—XXXX

组织应在本阶段完成应急预案的编制和修订，即制定应急响应计划、确立角色职责、信息安全事件

分类分级规范以及信息安全应急响应操作手册等，完成应急响应计划的培训、演练和更新，并在本阶段

建立与外部相关组织的协同合作机制。

应急响应计划制定

5.2.1信息安全应急响应计划应至少包括：角色及职责、应急响应流程、时间要求、呼叫表及相关的

表单附件等。

5.2.2信息安全应急响应计划应基于组织自身情况，结合自身业务特点，确保计划的可操作性。

5.2.3参与应急响应的人员，在应急响应工作中应遵守相关的准则：包括保密性、规范性和最小化

影响的原则。

角色及职责确立

5.3.1角色划分

a)组织应结合本单位日常机构建立信息安全应急响应的工作机构，并明确其职责。如有一人负责

多种职责，一些职位由多人担任的情况，应急响应计划文档中应明确他们的替代顺序；

b)应急响应的工作机构由管理、业务、技术和行政后勤等人员组成，按角色可划分为五个功能小

组：应急响应领导小组、应急响应专家小组、应急响应实施小组、应急响应技术保障小组和应

急响应日常运行小组等。组织应该根据其所具备的技能和知识将人员分配到这些小组中，分配

到相关小组中的人员在正常条件下宜负责相同或类似的工作。在以上五个功能小组中，组织应

至少设置应急响应领导小组、应急响应实施小组（合并专家小组职责）、应急响应日常运行小

组（合并技术保障小组职责），也可根据自身业务特点和组织架构，可选地设立其他小组（名

称自拟），但相关职责应完备；

c)组织可聘请具有相应资质的外部专家协助应急响应工作，也可委托具有相应资质的外部机构

承担实施小组以及日常运行小组的部分工作。在聘请外部专家协助应急响应工作或者委托外

部机构承担部分或者全部应急响应工作时，应和其签订相关协议（例如信息保密协议、服务水

平协议、服务持续协议等）；

d)应急响应各功能小组，应设立组长，统筹负责本小组的工作，组长应当由组织内部员工担任。

5.3.2各功能小组的职责确立

5.3.2.1应急响应领导小组

应急响应领导小组是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。

领导小组的职责是领导和决策信息安全应急响应的重大事宜，主要如下：

a)对应急响应工作的承诺和支持，包括发布正式文件、提供必要资源（人、财、物）等；

b)批准应急响应计划及各阶段文档；

c)批准和监督应急响应计划的执行；

d)负责组织内部的、外部（如与供应商、其他利益相关者）的协调工作。

5.3.2.2应急响应专家小组

应急响应专家小组是由信息安全应急响应技术专家组成的机构，成员既可以是组织内部专家，也可

以是具有相应资质的外部专家，小组的主要职责包括：

a)对重大信息安全事件进行评估，提出启动应急响应的建议；

b)研究分析信息安全事件的相关情况及发展趋势，为应急响应提供咨询或提出建议；

c)分析信息安全事件原因及造成的危害，为应急响应提供技术保障；

5

GB/TXXXXX—XXXX

d)启动定期评审应急响应计划；

e)评审应急响应计划及各阶段文档。

5.3.2.3应急响应实施小组

应急响应实施小组是由组织内技术部门的专业人员（例如设计人员、开发人员、测试人员等）以及

业务部门的专业人员（例如客户对接人员、法务合规人员、政府对接人员、舆论监督人员、供应链管理

人员、生产制造人员等）为主组成的机构，小组的主要职责包括：

a)分析应急响应需求（如风险评估、业务影响分析等）；

b)确定应急响应策略和等级；

c)编制和更新应急响应计划文档；

d)实施应急响应计划；

e)合理部署和使用应急响应资源；

f)总结应急响应工作，提交应急响应总结报告；

g)执行应急响应计划的评审、修订任务；

h)信息安全事件发生时的损失控制和损害评估。

5.3.2.4应急响应技术保障小组

应急响应技术保障小组是信息安全应急响应的技术保障机构，成员应以组织内技术部门和业务部

门的管理人员（例如项目管理人员等）为主，小组的主要职责包括：

a)制定信息安全应急响应操作手册；

b)协助应急响应领导小组，制定跨部门的应急响应协同调度方案，并在应急响应全流程中同时负

责组织内跨部门的协调调度以及组织与供应商等外部公司的沟通协调。

5.3.2.5应急响应日常运行小组

应急响应日常运行小组是由组织内技术部门的日常运维、运营团队（例如信息技术人员、质量管理

人员、车辆信息安全人员等）为主组成的机构，小组的主要职责包括：

a)进行数据备份相关系统的日常管理与维护；

b)应急监控相关系统的运作和维护；

c)落实必要资源（包括人、财、物）的保障工作；

d)信息安全事件的发现、识别和确认；

e)信息安全事件的评估、通报和跟踪；

f)组织应急响应计划的培训和演练。

应急响应计划的培训、演练和更新

5.4.1应急响应计划的培训和演练

各单位应按以下要求组织应急响应计划的培训和演练：

a)预先制定培训和演练计划，在计划中说明演练的场景；

b)培训和演练的整个过程应有详细的记录，并形成报告；

c)各单位每年应至少完成一次Ⅱ级响应以上的完整的测试和演练。

5.4.2应急响应计划的更新

经过审核和批准的应急响应计划文档，应按以下要求进行：

a)由日常运行小组负责保存和分发；

6

GB/TXXXXX—XXXX

b)纸质版和电子版应分别具有多份拷贝，并在不同的地点（如办公室、机房、备份机房）和介质

中保存；

c)分发给参与应急响应工作的所有人员；

d)在每次修订后所有拷贝统一更新；

e)除必要的档案存档外，所有旧版本的应急响应计划应按相关规定销毁；

f)业务流程的变化、信息系统的变更、各功能小组人员的变更都应在应急响应计划文档中及时反

映；

g)根据演练和信息安全事件的总结对应急响应计划文档进行修订；

h)应急响应计划文档应定期评审和修订，至少每年评审一次。

信息安全事件分类分级规范制定

企业应制定汽车信息安全事件分类分级规范，信息安全事件的分类参考GB/Z20986—2007描述的

分类方法、信息安全事件的分级以及事件的响应分级参见附录B，并应按照规范内容对汽车信息安全事

件进行分类分级响应。

应急响应操作手册的制定

5.6.1应急响应操作手册的编制应遵从简明扼要、便于有效执行的原则。

5.6.2应急响应操作手册中所列出的具体技术操作，应说明适用对象、适用情况、操作人员权限和具

体分步操作指引。

5.6.3应急响应操作手册中所列出的具体技术操作，应在适当条件和环境下进行测试验证，确保技术

操作有效可靠。

5.6.4应急响应操作手册应以电子版和纸质版的形式，分发给相关功能小组，并做好查找索引，便于

发生信息安全事件时快速处置。

协同与合作要求

5.7.1同监管部门

组织应协同安全监管部门进行安全事件的整理及分析，并及时进行信息安全事件通报。

5.7.2同供应商

5.7.2.1组织应同供应商（包括车辆生产厂家、汽车零部件供应商、信息系统服务提供商、电信服务提

供商等）建立有效的协调沟通渠道，并明确各方的沟通负责人。

5.7.2.2组织应和供应商在合同以及信息安全工作接口协议中，约定关于信息安全应急响应责任分工、

对接流程、响应时效要求等条款。

5.7.2.3在进行应急响应演练时，组织可邀请供应商一起参与。

5.7.3同行业组织

5.7.3.1组织可参与一家或多家信息安全信息共享平台或联盟组织，以保障更广泛、及时的安全信息的

获取。

5.7.3.2组织可在安全漏洞修复或安全事件平息后将事件问题连同修复措施同步提报共享平台或联盟

组织。

5.7.4同安全服务方

7

GB/TXXXXX—XXXX

组织可同安全服务方（包括安全厂家、社会白帽子等）开展持续安全应急响应合作，获得更广泛的

专业技术及人员支持。

6核验阶段

概述

依据编制的应急响应计划和信息安全事件分类分级规范，应急响应日常运行小组应执行信息安全

事件确认和事件评估，并将评估结果通报应急响应领导小组，从而决策是否启动应急响应工作。

事件确认

6.2.1事件确认流程的时间要求应在应急响应计划中明确规定。

6.2.2收到事件情报后，应急响应日常运行小组应立刻启动相关事件确认流程：

a)首先应考察并确认汽车信息安全事件和安全情报来源，包括但不限于：

⚫应急响应日常运行小组发现的安全预警事件；

⚫行业权威安全运营信息同步平台收到行业安全预警情报；

⚫企业自建对外事件搜集渠道收到的客户或者安全研究人员上报的安全问题，并应对事件和

情报的完整性检查的检查要素及核对身份的方案进行记录。

b)应对事件相关资产与车辆、供应商和其他利益相关者的相关性进行初步判断。

c)事件确认的结果产生之后，应将详细信息记录，并备案；如果需要应急响应，则应急响应日常

运行小组推动流程进入事件评估阶段。

事件评估

6.3.1事件评估过程的时间要求应在应急响应计划中明确规定。

6.3.2应急响应日常运行小组对事件进行初判定级流程应为：

a)应从人员安全、经济财产、车辆操作性、隐私及法规、社会影响多个角度进行事件综合考虑，

得出事件相关性、影响范围、和造成的最坏情况等几个方面的初步判断，形成信息安全事件的

类型和级别以及应急响应的级别的初判结论；

b)结合初判结论形成的评估文档，应提交至应急响应专家小组进行评审，形成《信息安全事件评

估评审表》（示例见附录A.2）；该评估表应包括不限于参与事件评估过程的每位专家关注的

方向、专家获得的相关信息、专家对信息的处理过程和逻辑推理过程、和专家最终做出的评估

评判意见；

c)事件评估过程如果需要应急响应功能小组以外人员参与，应在《信息安全事件评估评审表》中

记录参与人员的详细信息，至少包括职位信息、企业内职责、在本次事件中引入的原因、和其

在本次工作中获得的事件信息等；同时应确保流程执行过程中的数据安全，和信息保密满足追

溯需求。

事件通报

6.4.1事件通报过程的时间要求应在应急响应计划中明确规定。

6.4.2事件评估结束之后，应急响应日常运行小组启动事件通报，要求如下：

a)事件通报应以电话会议、现场会议、网络会议等易于记录、便于追溯过程且可控制信息扩散范

围的方式进行。

b)事件通报会议应记录会议纪要，会议纪要内容应包括：

⚫参会人员；

8

GB/TXXXXX—XXXX

⚫会议上呈现的信息和情报细节；

⚫评估记录；

⚫应急响应功能小组人员和其他人员对相关信息的讨论过程；

⚫会议决议；

⚫遗留的待明确和待解决的问题等。

c)如果事件通报会议形成的结论是不需要启动应急响应工作，则应结束本次应急响应工作，形成

《信息安全事件记录表》（示例见附录A.3）并归档备案。

d)如果事件通报会议形成的结论是需要启动应急响应流程，应由应急响应领导小组最终批准并

通报给全应急响应各功能小组全体成员，启动流程。

7处置阶段

概述

本阶段对信息安全事件相关的脆弱性的处理流程，应基于信息安全事件评判等级和对应产品的生

命周期等因素考量；本阶段应遵循应急响应操作手册相关文件要求，且处置方案应包含以下处理方式：

a)更新信息安全需求；

b)在软件开发过程中修复脆弱性，包含软件在线升级（OTA）等，如无法修复应说明；

c)在《信息安全事件总结报告》中记录，便于后续开发追溯。

处置方案制定

7.2.1应急响应实施小组依据信息安全风险定级评估结论，编制应急响应信息安全需求，并根据需求

制定事件处置方案，处置方案制定过程应满足如下要求：

a)信息安全需求和事件处置方案应细化到零部件层级；

b)如果需求或者方案涉及到供应商或其他利益相关者，应急响应技术保障小组将相应需求发送

至供应商或其他利益相关者的接口人，接口人接到需求后，应立即进行内部通报，并启动内部

处置流程；

c)在处置方案的制定过程中，如果涉及到供应商或者其他利益相关者，供应商或其他利益相关方

应参与方案的制定；

d)应急响应实施小组应在处置方案中记录信息安全脆弱性，并保证处置方案的保密性；

e)如经过应急响应实施小组研提，并由应急响应专家小组评估复核，引起该信息安全事件的脆弱

性无法在现有相关产品上进行处置修复，应急响应实施小组应在处置方案中阐释情况和理由，

并采取有效缓解措施后，进入实施阶段；

f)处置方案完成之后，应交由应急响应专家小组进行评审并存档，如果涉及到供应商或其他利益

相关者，也应参与方案的评审。

处置方案开发

处置方案开发应满足如下要求：

a)应急响应实施小组按照小组内部流程要求释放需求，并启动软件开发、测试用例编写等工作；

b)如处置方案开发过程涉及到供应商或其他利益相关方，则供应商或其他利益相关方应在双方

协定的时间内将处置结果反馈至应急响应技术保障小组；

c)应急响应实施小组按照小组内部流程要求释放测试用例，并启动测试；

d)应急响应实施小组完成信息安全测试后，应输出测试报告，测试报告应进行小组内评审并存档，

评审过程宜联合应急响应专家小组进行。

9

GB/TXXXXX—XXXX

处置方案实施

7.4.1应急响应实施小组发布通过测试的软件版本（包含软件升级包）的方式应符合组织内部要求。

7.4.2应急响应实施小组应按照应急响应计划实施处置方案，对涉及信息安全事件的车型进行修复。

7.4.3应急响应实施小组应将所有的信息安全事件脆弱性更新至信息安全需求文档，组织应将更新的

信息安全需求应用到新车型，保障后续车型脆弱性防护的实施。

7.4.4应急响应实施小组完成实施方案之后，应完成应急处置报告并存档（示例见附录A.4），报告中

应至少包含事件分类、事件等级、处置时间、实施效果和恢复建议等；对于无法在现有相关产品上进行

处置修复的情况，应根据事件等级，特别说明影响情况；如构成召回，还应说明造成的缺陷等级和更新

方式等内容。

7.4.5应急响应实施小组应将实施报告提交应急响应专家小组和应急响应领导小组进行评审和批准；

如构成产品召回，应上报给市场监管部门。

7.4.6处置阶段的时间要求应在应急响应计划中明确规定。

8恢复阶段

概述

事件处置完成之后，采取相应措施完全消除信息安全事件导致的车型脆弱性问题，并还原到正常的

状态。恢复阶段的工作包括恢复方案的制定和验证，并按照应急响应计划确定的优先级实施恢复方案。

恢复方案制定

8.2.1应急响应实施小组应对涉事车型或零部件制定恢复方案，恢复方案中应阐明彻底消除信息安全

脆弱性的方法。

8.2.2恢复方案制定过程中应满足如下原则：

a)应结合涉事车型或零部件的开发流程及处置阶段的结论分析和制定恢复方案；

b)可结合以往的共性事件或类似事件制定恢复方案；

c)应覆盖受信息安全事件影响的各类车型或零部件；

d)应对信息安全事件影响到的个人、公司或组织的保密信息进行访问权限控制；

e)应平衡恢复方案的制定速度与对制定完毕的恢复方案进行全面测试间的关系；

f)应对信息安全事件建立回溯管理机制并记录，供公司或组织的相关人员进行案例学习。

8.2.3应事先明确恢复方案制定的时间要求，若超出计划时间仍未完成方案制定，可由应急响应领导

小组批准采用临时方案作为缓解手段，期间应加快恢复方案的制定。

恢复方案验证

8.3.1应急响应实施小组应对恢复方案进行验证，验证过程应满足如下原则：

a)应确保恢复方案可以在涉事车型或零部件上正确工作；

b)应确保恢复方案不会影响涉事车型或零部件已有功能的运行；

c)应确保恢复方案的使用不会引入新的信息安全事件；

d)应确保恢复方案不会影响其他零部件的质量；

e)应确保恢复方案在所有支持的车型或零部件上均得到验证；

f)应确定恢复方案实施优先级，并进行验证。

8.3.2如果恢复方案验证失败，应急响应技术保障小组应协助应急响应实施小组制定新的恢复方案或

对原有方案进行迭代。

8.3.3恢复方案验证成功后，应提交应急响应专家小组进行审核并通过后，提交应急响应领导小组批

10

GB/TXXXXX—XXXX

准并启动实施。

恢复方案实施

应急响应实施小组应按照实施优先级进行恢复，例如：对同一优先级的信息安全事件时，可采用阶

梯方式分步实施恢复方案（如分成三步走，第一步选取10%进行恢复，第二步选取30%进行恢复，第三步

完成恢复）。

在实施恢复方案过程中，应及时向应急响应领导小组通报信息安全事件的恢复进展。

恢复阶段结束标志

8.5.1当信息安全事件导致的车型脆弱性问题已被完全消除或者恢复方案的实施效果已得到客户认可

后，可进入事后处理阶段；

8.5.2应急响应实施小组应对信息安全事件的根因分析、恢复方案、对外公告等恢复阶段涉及的环节

写入《信息安全事件总结报告》，以作为今后类似事件的输入；

8.5.3恢复阶段的时间要求应在应急响应计划中明确规定。

9事后处理阶段

概述

该阶段，应急响应实施小组应对应急响应事件处理的整个流程进行评估并输出评估结论，应对应急

响应完整流程中的文档进行总结汇总，形成《信息安全事件总结报告》（示例见附录A.5），如监管部

门要求上报或备案，应按其相关要求，经应急响应领导小组批准后上报或备案。应急响应日常运行小组

对事件影响到的系统进行追踪、风险评估和审计。

事件后评估、追踪及总结

9.2.1应急响应结束后，应由应急响应实施小组对整个流程进行评估并编制《信息安全事件总结报告》；

9.2.2《信息安全事件总结报告》应包括以下内容：信息安全事件的起因；信息安全事件的经过、事

件等级、责任判定；信息安全事件所造成的影响，处理和防范突发事件的策略、处理措施、经验教训、

相关记录和各阶段交付物，并应将各阶段交付物以附件形式附在《信息安全事件总结报告》之后；

9.2.3《信息安全事件总结报告》应报应急响应专家小组审核，应急响应领导小组进行批准；

9.2.4应急响应领导小组批准后，如监管部门要求上报或备案，应按其相关要求，经应急响应领导小

组批准后上报或备案；

9.2.5依据风险的处理状态，应急响应日常运行小组应依据评估的结果制定后续持续监测和事件跟踪

的要求；

9.2.6应急响应日常运行小组应按照要求对受到安全风险威胁的系统进行持续追踪，宜定期进行安全

风险评估和审计，尤其是曾经受安全事故影响的系统。安全复检及系统审计应持续进行，以便及时发现

可能存在的安全漏洞和须做出的系统改善。

11

GB/TXXXXX—XXXX

A

A

附录A

（资料性）

汽车信息安全应急响应示例

A.1车辆信息安全应急响应流程示例

当出现信息安全事件时，基于各汽车制造商内部的应急响应机构设置，根据事件的等级及时启动应

急预案，采取相应的补救措施，并按照规定向有关主管部门报告，具体操作流程如下：

应急响日常运行

应急响应实施小组

小组

收到信息安全事件情

事件追踪及总结事件后评估恢复方案实施应急响应实施小组

报

考察事件及情报的

真实性信息安全事件总结报告信息安全事件总结报告

应急响应日常

运行小组

批准并启动实施应急响应领导小组

初步判断相关性

准备阶段

事件确认

应急响应制定信息审核应急响应专家小组

制定应急

制定应急角色及职计划的培安全事件

响应操作

响应计划责划分训、演练分类分级

Y手册

和更新规范

应急响应日常运行信息安全事件初判

评估文档成功

小组定级

失败

信息安全事件恢复方案验证应急响应实施小组

应急响应专家小组信息安全事件评审

评估评审表

信息安全需求信息安全测试用例

实施报告

信息安全事件处置方案测试报告

信息安全事件通报应急处置方案制定处置方案开发处置方案实施恢复方案制定恢复方案

应急响应日常运行应急响应实施小组

应急响应实施小组应急响应实施小组应急响应实施小组

小组应急响应技术保障小组

图A.1车辆信息安全应急响应流程示例图

A.2信息安全事件评估评审表模板

表A.2《信息安全事件评估评审表模板》

信息安全事件评估评审表

事件编号事件分类

□Ⅰ级□Ⅱ级□Ⅲ级□Ⅳ级

人员安全：（简要描述影响危害）

事件等级经济财产：

车辆操作性：

隐私及法规：

社会影响：

12

GB/TXXXXX—XXXX

推荐的处置方案可能的资源需求

评审人员及意见序号单位姓名意见

（对事件分类、等级、响应决策的认可与否）

评审结论

决策人签字：日期：

A.3信息安全事件记录表模板

表A.3《信息安全事件记录表模板》

信息安全事件记录表

报告单位报告人

报告时间联系方式

事发单位事件起始时间

事件编号

事件描述：

来源：

起因：

性质：

经过：

持续时间：

影响程度和范围：

已明确的薄弱点：

已采取的缓解措施：

记录单位记录人

记录时间联系方式

事件确认

13

GB/TXXXXX—XXXX

A.4应急处置报告模板

表A.4《应急处置报告模板》

应急处置报告

报告单位报告时间

事发单位事件起始时间和处置时间

事件分类

处置方案

实施效果

恢复建议

A.5信息安全事件总结报告模板

表A.5《信息安全事件总结报告模板》

信息安全事件总结报告

报告单位报告时间

事发单位事件起始时间

事件分类

事件等级

责任判定

事件描述（包括突发事件的起因、性质、经过、危害程度及造成的影响和损失）

处理措施及经验教训

相关记录及交付物文档

14

GB/TXXXXX—XXXX

事件跟踪说明

15

GB/TXXXXX—XXXX

附录B

（规范性）

汽车信息安全事件分级及响应

B.1信息安全事件分级及响应规范

B.1.1汽车信息安全事件分级

将汽车信息安全事件划分为四个级别：特别重大事件（I级）、重大事件（II级）、较大事件（III

级）和一般事件（IV级）。主要从以下5个要素进行判断：人员安全、经济财产、车辆操作性、隐私及

法规、社会影响。

a)符合以下条件之一的为汽车信息安全特别重大事件（I级）：

1)人员安全：造成特别严重的人员伤亡，威胁多个人员致命伤害；

2)经济财产：安全事件产生的财务损失威胁到多个组织的生存；

3)车辆操作性：多辆车不可操作导致重大损失；

4)隐私及法规：侵害到多个利益相关方的隐私，或导致大范围的媒体报道；

5)社会影响：造成特别重大的社会影响，造成系统大面积瘫痪，使其丧失业务处理能力，或

系统关键数据的保密性、完整性、可用性遭到严重破坏，极大威胁国家安全，引起社会动

荡，对经济建设有极其恶劣的负面影响，或者严重损害公众利益。

b)符合以下条件之一的为汽车信息安全重大事件（II级）：

1)人员安全：造成严重的人员伤亡，导致对单个人员产生致命的伤害，或者对多个人员产生

威胁生命的伤害（可能生还）；

2)经济财产：造成严重的经济财产损失，安全事件产生的财务损失威胁到单个组织的生存；

3)车辆操作性：单个车辆不可操作或多个车辆性能降低；

4)隐私及法规：侵害到特定利益相关方的隐私，造成重大影响的后果；

5)社会影响：造成重大的社会影响，波及到一个或多个地市的大部分地区，威胁到国家安全，

引起社会恐慌，对经济建设有重大的负面影响，或者损害到公众利益。

c)符合以下条件之一的为汽车信息安全较大事件（III级）：

1)人员安全：造成较大的人员伤亡，导致对单个人员产生威胁生命的伤害（可能生还），或

者对多个人员的中度伤害；

2)经济财产：安全事件导致组织和其他利益相关方较大的财务损失；

3)车辆操作性：单个车辆仍可操作但性能降低，或多个车辆功能与预期不一致；

4)隐私及法规：违反法规，对特定利益相关方造成一定的、轻微的后果；

5)社会影响：产生较大的社会影响，波及到一个或多个地市的部分地区，可能影响到国家安

全，扰乱社会秩序，对经济建设有一定的负面影响，或者影响到公众利益。

d)符合以下条件之一的为汽车信息安全一般事件（IV级）：

1)人员安全：造成较小的人员伤亡：导致轻度或单个人员的中度伤害，或者没有人员伤害；

2)经济财产：安全事件产生的损害对于组织和其他利益相关方而言是可以容忍的；

3)车辆操作性：单个车辆仍可操作但功能与预期不一致，或对车辆的可操作性没有产生影响；

4)隐私及法规：没有对任何利益相关方造成相当的后果；

5)社会影响：会造成较小社会影响，波及到一个地市的部分地区，对国家安全、社会秩序、

经济建设和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害。

B.1.2应急响应分级

16

GB/TXXXXX—XXXX

a)Ⅰ级应急响应

属于特别重大信息安全事件应及时启动I级响应，由相关管理部门进行应急处置工作的统一领导、

指挥和协调。

有关分支机构、各组织进入应急状态，在指挥部的统一领导、指挥、协调下，负责本分支机构或组

织范围内的应急处置工作或支援保障工作，24小时值班，跟踪事态发展，检查影响范围，并及时将事态

发展变化和处置进展情况进行上报。

应急处置完成后，应开展调查和评估，对特别重大的汽车信息安全事件由相关管理部门组织有关分

支机构或组织进行调查处理和总结评估。

b)Ⅱ级应急响应

属于重大信息安全事件应及时启动Ⅱ级响应，由有关分支机构或组织进入应急状态，按照相关应急

预案做好应急处置工作。

信息安全事件发生的分支机构或组织及时将事态发展变化情况上报相关管理部门，并将有关重大

事项及时通报其他相关分支机构和组织。

有关分支机构和组织根据相关管理部门的通报，结合各自实际有针对性地加强防范，防止造成更大

范围影响和损失。

应急处置完成后，应开展调查和评估，重大及以下信息安全事件由事件发生组织或分支机构自行组

织调查处理和总结评估，其中重大信息安全事件相关《信息安全事件总结报告》应上报相关管理部门。

c)Ⅲ级应急响应

属于较大信息安全事件应及时启动Ⅲ级响应，由有关分支机构或组织进入应急状态，按照相关应急

预案做好应急处置工作。

处置中需要其他有关分支机构或组织、以及汽车信息安全应急技术支撑队伍配合和支持的，应予以

协调。相关分支机构、组织和汽车信息安全应急技术支撑队伍应根据各自职责，积极配合、提供支持。

应急处置完成后，应开展调查和评估，需要《信息安全事件总结报告》应对事件的起因、性质、影

响、责任等进行分析评估，提出处理意见和改进措施，并做好备案。

d)Ⅳ级应急响应

属于车辆信息安全一般事件应及时启动Ⅳ级响应，由操作汽车信息安全事件的发生组织按相关预

案进行应急响应。

应急处置完成后，应开展调查和评估，需要《信息安全事件总结报告》应对事件的起因、性质、影

响、责任等进行分析评估，提出处理意见和改进措施，并做好备案。

17

ICS43.020

CCST36

中华人民共和国国家标准

GB/TXXXXX—XXXX

汽车信息安全应急响应管理指南

Guidelineofemergencyresponsemanagementforvehiclecybersecurity

(点击此处添加与国际标准一致性程度的标识)

（征求意见稿）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

GB/TXXXXX—XXXX

汽车信息安全应急响应管理指南

1范围

本文件规定了汽车信息安全应急响应过程的管理流程、管理方法及信息安全事件的处理方法，为汽

车信息安