相关支撑系统为研究对象，重点覆盖 SAE J3016 所定义的 L1— L2/L2+组合驾驶辅助及 L3 及以上自动驾驶。研究范围聚焦“车端— 通信链路—云平台—运营管理”全链条中的网络与数据安全问题， 重点关注网络安全、数据安全及与其直接相关的算法安全和业务逻 辑安全，不涉及功能安全及预期功能安全（SOTIF）的系统性分析。 其中，智能驾驶是指智能网联汽车通过融合“智能功能”与“网联 功能”，依托环 在智能驾驶场景中，固件安全问题往往并不以单独失陷形式显 现，而是通过影响摄像头、雷达、激光雷达、域控制器、制动控制 器和转向控制器等关键部件的工作状态，进一步传导至感知融合、 规划控制和故障应对环节。因此，固件安全应重点关注可信启动、 完整性保护、安全升级和诊断访问控制等能力建设。 4.1.3. 系统安全 当智能驾驶控制平台运行复杂操作系统、中间件、虚拟化环境 和容器化服务时，系统安全便成为保障智能驾驶功能稳定运行的核 无线电系统是车内外信息交互的重要入口。对智能驾驶场景而 言，重点风险并非一般消费电子短距无线功能，而是会影响定位、 协同感知、远程接入和运营控制的无线链路风险。 从智能驾驶实际应用看，无线电安全应重点关注以下几类风险： 一是 GNSS/GPS 等定位信号受干扰或欺骗，导致车辆定位结果偏移， 进而影响高等级辅助驾驶、领航辅助和自动驾驶场景中的车道级定 位；二是 C-V2X、DSRC、5G 等车外通信链路遭遇伪基站、信号干

进行识别操作并协调应对，系统技 术大多为封闭的竖井系统。 5.3.2 L2 单点试点级 以数字化转型试点项目为主，通过单项技术驱动，实现部分功能点效率提升，尚未系统性考虑数字 化相关规划，未关注客户体验。 5.3.3 L3 局部应用级 试点项目已凸显价值，并在部门内部进行推广，但执行仍局限于项目层面，也不具备可复制性。开 始考虑数字化规划，但与企业战略脱节。 5.3.4 L4 集成推广级 系统和运营效率。 5.3.5 L5 系统部署级 组织内部系统实现数智化，全组织数据实现获取与智能化应用，组织效率与敏捷性得到提升，组织 内部高效运作，可以提供数智化优化的产品/服务体验。但未关注数智化的颠覆性潜力。 5.3.6 L6 生态创新级 建立数字生态系统，具备颠覆型数字技术和业务模式，基于数据智能化主动响应外部变化，把控生 态市场，通过生态系统的反馈与改进，提升面向生态的系统效率并构建韧性。 （1）组织初步 具备数字化能 力，但未基于 数字化能力寻 找业务发展的 第二曲线 （2）尽管现阶 段业务增长率 有所下降，但 管理者只关注 到成本节约 （1）组织考虑 基于数字化能 力开展业务规 划 （2）现阶段业 务增长率有所 下降，管理者 关注到成本节 约、过程管控 等其他业务执 行方面 （1）组织基于 数字化能力发 展的业务进行 具体数据分析 和决策 （2）组织现阶 段增长率有所

根据上述要求设计审核方案，且审核方案要在三年内覆盖 ISMS 认证范围内的代表性样本； f） 在单个场所发现不符合时，纠正措施程序的实施适用于证书所覆盖的所有场所。 审核应关注客户为确保单一的 ISMS 适用于所有场所并在运行层面实施统一管理所进行的活动。 审核应关注上述所有事项。 9.1.6 多管理体系标准 9.1.6.1 总则 GB/T 27021.1—2017 中 9.1.6 的要求适用。并且，9.1.6 第二阶段 认证机构应根据第一阶段审核报告中的审核发现，制定实施第二阶段的审核计划。除评价 ISMS 的有效实施外，第二阶段的目的还包括确认客户遵守自身的策略、目标和规程。 为此，审核应重点关注客户的以下方面： a） 最高管理层对信息安全目标的领导和承诺； b）信息安全风险评估，包括确保在重复实施风险评估时能产生一致的、有效的和可比较的结 果； c） 根据信息安全风险评估和风险处置过程来确定控制；

由供应商或外包商实施的信息安全要求。 5.5.3 选择和确定审核方法 5.5.3.1 GB/T 19011—2021 的 5.5.3 中的指南适用。 5.5.3.2 如果进行联合审核，则宜特别关注相关方之间的信息泄露问题。在审核开始之前，宜与所有 相关方达成一致。 5.5.4 选择审核组成员 5.5.4.1 GB/T 19011—2021 的 5.5.4 中的指南适用。 5.5.4.2 给 出的规范。如果组织的规范要求一个文件化规程，这会形成组织对 GB/T 22080—XXXX 中 7.5.1b）的 部分符合。如果未要求有文件化规程，那么审核员不宜要求见到该规程。但是，审核员宜关注 GB/T 22080—XXXX 的 8.1 中的要求，组织宜“保留文件化信息，其程度足以确信这些过程按计划得到执行”。 鉴于 GB/T 22080—XXXX 中 8.1 引用了 GB/T 22080—XXXX e）]进行审核，而不 只是审核适用性声明中所列出的个别必要控制。风险处置计划可能详细说明了必要控制之间的相互作 用，而仅使用适用性声明则可能忽略这个因素。 A.5 其他文件化信息 GB/T 22080—XXXX 关注的是结果。在对文件化信息的 16 项明确要求中（见表 A.1），只有三个 涉及的规范（信息安全风险评估过程、信息安全风险处置过程和审核方案）。但是，这并不妨碍组织 拥有文件化的规程。此类支持文件属于

逐步从过去构建封闭价值体系的静态竞争向构建 共建共创共享开放价值生态的动态竞合转变,以有效应对快速变化和不确定市场竞争合作环境。 企业应通过强化价值导向、能力主线、数据驱动等,构建数字经济时代竞争合作优势,应重点关注的 方面包括但不限于: a) 强化生产运营优化,注重产品/服务生产与交付,深化新一代信息技术与各业务环节的融合创 新应用,提高一体化运营水平,实现效率提升、成本降低、质量提高等; b) 强化产品/服务创新