《电动汽车充电基础设施信息安全防护指南》

总则

第一条充电基础设施网络化、信息化、互联互通发展迅速，充

电基础设施网络信息安全事关人民生活和经济发展。为提升充电基础

设施系统信息安全防护水平、保障系统安全，制定本指南。

第二条充电基础设施运营企业以及从事充电基础设施系统规

划、设计、建设、运维、评估的相关单位适用本指南。

第三条信息安全防护总体要求是分区分域、安全接入、安全可

信、动态感知、精益管理、全面防护。

第四条信息安全防护分为11个防护方面。

技术要求：针对不同安全保护等级的要求，从物理安全、终端

安全、应用安全、网络安全、主机安全、数据安全等方面进行技术保

护。

管理要求：针对不同安全保护等级的要求，从安全管理制度、安

全管理机构、人员安全管理、系统建设管理、系统运维管理、网络安

全管理等方面进行管理。

安全软件选择与管理

第五条充电基础设施采用安全软件需经过充电基础设施生产

和运营企业的授权和安全评估，并基于风险评估为充电基础设施选择

具有相应安全措施的安全软件。

第六条建立防病毒和恶意软件入侵管理机制，对充电基础设施

临时接入的设备采取病毒查杀等安全预防措施。

第七条移动终端APP采用具有安全防护措施的安全软件，且相

关安全软件需经过充电基础设施生产和运营企业授权和安全评估。

第八条运营平台安全软件需经过充电基础设施运营企业授权

和安全评估，具有支持充电基础设施和移动终端安全防护需求的安全

能力，形成一体化防御体系。

配置和补丁管理

第九条建立并维护充电基础设施系统配置清单，留存边界设备

的访问日志、充电关键业务的日志，时间不少于6个月，并定期进行

配置审计。

第十条对重大配置变更制定变更计划并进行影响分析，配置变

更实施前进行严格安全测试。

第十一条密切关注充电基础设施重大安全漏洞，及时采取补

丁升级措施。在安装补丁或升级前，需对补丁或升级进行严格的安全

评估和测试验证。

第十二条如需远程升级，升级过程需要在具有系统安全的条

件下进行，具备通信安全，以及异常监测、响应的能力，并需要获得

用户确认，且升级过程需记录完整的日志信息。

边界安全防护

第十三条分离充电基础设施的开发、测试和生产环境。

第十四条在充电基础设施体系架构设计中，采用网络分段和

隔离技术。对不同网段进行边界控制，对进行充电基础设施内部控制

网络的数据和文件进行安全控制和安全监测。

第十五条充电基础设施与外部通信采用安全接入方式，并可

对业务进行划分，通过不同的安全通信子系统接入网络。

第十六条运营平台需具备防火墙、入侵检测等安全功能。

物理和环境安全防护

第十七条对充电基础设施的全部访问点进行配置，访问限制。

第十八条拆除主机上不必要的接口。

身份认证

第十九条在充电基础设施启动登陆、移动终端登陆、运营平

台访问等过程中使用身份认证管理。在关键业务场景下，采用多因素

认证方式。

第二十条用户注册实名制。

第二十一条强化充电基础设施、移动终端及访问点等的登陆账

户及密码，强制更改默认口令，避免使用弱口令，定期更新口令。

第二十二条在充电基础设施系统间数据通信过程中使用身份认

证机制。

远程访问安全

第二十三条充电基础设施需对远程访问的端口进行严格控制，

关闭不必要的端口。

第二十四条确需远程访问的关键业务场景，采用安全措施进行

加固，对访问时限进行控制，并采用身份认证、数据安全传输、访问

控制等机制。

第二十五条保留充电基础设施系统的相关访问日志，并对操作

过程进行安全审计。

安全监测和应急预案演练

第二十六条在充电基础设施建立安全监测体系，及时发现、报

告并处理网络攻击或异常行为。

第二十七条充电基础设施应具备包监测、数据监测等功能，限

制违法操作。

第二十八条制定安全事件响应预警，当遭受安全威胁导致充电

基础设施出现异常或故障时，应立即采取紧急防护措施，防止事态扩

大，并逐级报送直至属地主管部门，同时注意保护现场，以便进行调

查取证。

第二十九条定期对充电基础设施系统的应急响应预案进行演练，

必要时对应急响应预案进行修订。

资产安全

第三十条建设充电基础设施资产清单，明确资产责任人，以

及资产使用及处置规则。

第三十一条对关键设备和组件等进行冗余配置。

数据安全

第三十二条对在充电基础设施系统中采集、传输、存储的数据，

定期开展风险评估。关键业务数据和用户信息须在存储和传输过程中

使用安全机制，并在使用过程中采用访问控制策略。

第三十三条定期备份关键业务数据。

第三十四条对用户信息的采集、存储、传输和使用，必须经过

用户的明确授权。

供应链管理

第三十五条在选择充电基础设施规划、设计、建设、运维或评

估、产品及服务供应商时，优先选择通过安全评估的产品，优先选择

具备安全服务经验的企事业单位，并要求供应商做好相应的保密工作，

防止敏感信息的外泄。

第三十六条在充电基础设施系统投入运营前或发生重大变化时

进行安全评估，并对投入运行的充电基础设施定期进行安全评估。

落实责任

第三十七条通过建立充电基础设施安全管理机制、成立信息安

全协调小组等方式，明确信息安全管理责任人，落实安全责任制，部

署安全防护措施。

第三十八条