GB 44495-2024认证资料审核有一条铁律:审核员不看你交了多少份文件,他按标准条款逐条对照查。每一份文件都要能回答三件事——谁管、按什么标准做、出了问题怎么处置。有一条答不上来,材料就退回去。
这篇文章按三个申报阶段拆资料清单,中间穿插六种高频被退原因,最后单独说不需要全套资料的车型和取完证之后的长线资料要求。
第一组:信息安全保障要求审核资料
第1号修改单(2026年1月28日发布)废止了独立的CSMS体系认证,统一叫信息安全保障要求,但文件清单没缩水——制度、流程、记录该交的一样不少。
1.信息安全管理制度文件。审核员第一个检查点就是管理层签字页和生效日期,没有就不过。
2.供应链安全管理规范。所有涉及车辆通信和数据处理的外部供应商必须纳入管理框架。核心文件是跟每家TBOX供应商、通信模块供应商、软件开发商的书面安全责任分配协议。只签了采购合同没签安全协议的,审核员直接开不符合项。手上确实没有独立安全协议的供应商,可以同步提交该零部件的信息安全符合性声明和第三方安全测试报告做补充佐证——光拿合同兜不住。
3.风险评估报告。标准不强制指定方**,TARA可以用,但报告必须覆盖全车资产、远程攻击路径、V2X通信、OTA升级、数据泄露五个场景。少一个场景,整份报告判定无效。
4.应急响应预案。每年至少一次实操演练,覆盖全部规定场景。审核员不看会议纪要,看系统日志截图和处置闭环记录。
5.软件升级安全管理制度。GB 44495看的是升级过程的防篡改、防注入、通信加密,GB 44496看的是功能安全影响评估。两份制度可以共用一套框架,但检查条款不一样,不能拿同一份文件在两个标准下混。
第二组:VTA实车测试资料
1.整车技术参数表。ECU清单要和实车逐条对上——零件号、软件版本号一个都不能差。整车网络拓扑结构图、TBOX型号、加密芯片型号也必须完整填写。
2.通信接口安全方案。TBOX蜂窝、WiFi、蓝牙、USB、OBD诊断口、V2X——每个对外通道独立的接入控制方案和认证机制说明。OBD口是最容易被退的一个:很多车企在方案里把它归类为**工具接口,审核方不认。
3.加密方案技术说明。国内销售车型必须用SM2、SM3、SM4国密算法,覆盖外部通信加密、固件**、关键数据存储加密三个场景。纯出口车豁免国密要求,但要有书面声明。技术图纸和加密方案中的外文文件,翻译件须加盖**翻译机构公章,企业内部自译件审核机构不认。
4.数据安全保护方案。测试设备会直接读取存储区,如果明文存了行车轨迹或操作日志,数据安全域直接判定不通过。
5.渗透测试全套归档文件(缺一份都不行)。 第1号修改单明确要求渗透测试为必检项,以下文件缺一不可:CMA实验室盖章的渗透测试方案、全流程操作日志和漏洞复现截图、漏洞分级清单(高危/中危/低危)及对应整改技术方案、整改后复测报告和闭环确认表、漏洞常态化监测管理制度及近半年扫描记录。存在未闭环漏洞的,整批材料直接驳回。
6.测试样车一致性声明。ECU配置、软件版本号、通信模块参数须与量产状态一致。有差异的要写明。
第三组:CCC证书申请资料
前面两阶段的产物——保障审核报告原件、VTA测试报告原件、技术参数表——加上整车说明书中信息安全功能章节摘录和生产一致性控制计划。
生产一致性控制计划里必须单独增设整车信息安全专项管控章节,包含零部件安全变更管控、年度漏洞监测、安全事件上报流程。没这个专项章节的直接判定资料不合格。
公告和CCC走两个独立审批通道。基础通用项目的数据可以共用,但安全核心参数——整车网络拓扑、TBOX型号、加密芯片型号、国密算法方案——两份材料必须完全一致。任一项对不上,全部退回重审。不是只对软件版本号。
二、第1号修改单对资料清单的实际影响
前面提了,CSMS体系认证术语删除。还有一个被忽略的术语变更:标准内所有「检查」统一改为「检验」。企业现有文件里的旧词汇同样会被标记偏差。排查的时候别只盯着体系名称换。
三、海外平台和进口车的额外资料
进口整车或合资企业用海外技术平台的,需要UN R155等效性评估申请材料,全套中文翻译版加中外术语对照表。翻译不是直译就行——术语要跟国内标准文本对齐。
平行进口车需要注意:等效评估通道主要面向批量全新整车,零散单台平行进口一般不受理等效评估申请,需要从零编制整套安全保障文件。
四、改款和变更需要补什么资料
同平台存量改款车型不用从头编制度文件,仅需针对变更部分——比如换了TBOX、**、安全芯片、改了加密算法——补充对应的变更差异说明和局部复测报告。这些属于重大变更,必须走正式变更申报,不能只改技术方案不补申报材料。
五、取证之后不能停的资料工作
CCC证书有效期五年,到期前90天启动续证。续证不是自动的——机构重新审核五年内的安全运行记录和历年CoP监督结果。有过多次严重不符合项的,续证审核更严。
全套制度文件、演练记录、漏洞扫描记录、升级记录须留存至车型停产之后十年。每年CCC工厂监督审核会抽查整套归档资料。CoP审核是整车打包评审,不会给GB 44495单独开一场,但信息安全专项文件每年都得整好备查。
GB 44495汽车信息安全认证要哪些资料,可联系蓝亚技术检测认证机构顾问:13632500972(Benson)