通信主管部门网络预约出租汽车线上服务能力认定

通信主管部门网络预约出租汽车线上服务能力认定附件2通信主管部门网络预约出租汽车线上服务能力认定申请材料模板整体要求：填写完整，不留空白栏；字迹工整，清晰可辨，提交申请时留下申请负责人的联系方式法人代表签字： 申报单位：申报日期：年月日材料1:公司基本信息公司名称企业法人营业执照注册号注册地址法定代表人姓名身份证号法人代表联系方式通信地址技术负责人姓名技术负责人手机技术负责人固话（区号-电话号码）技术负责人电子邮箱联系人姓名联系人手机联系人固话（区号-电话号码）联系人电子邮箱公司业务介绍填表说明1. 法人代表、技术负责人、联系人的联系方式应真实有效。附件：公司企业法人营业执照副本、法定代表人身份证原件正反面复印件;材料2:技术部门及人员信息技术部门名称及职责（可填多个）公司技术及安全负责人名单（至少应包括专人专岗的技术负责人、网络及信息安全负责人）序号姓名身份证号码职务学历联系电话职称/资质证明公司主要技术人员名单序号姓名身份证号码职务专业学历联系电话职称/资质证明填表说明1. 技术部门应包括技术研发部门和维护部门。2. 技术及安全负责人应不少于2人，至少应包括专人专岗的技术负责人、 网络及信 息安全负责人。3. 人员姓名、身份证号应与有效期内的身份证信息完全一致，且其职务和联系电 话真实有效。4. 职称/资质证明包括行业认证、职业技能鉴定等技术能力证明材料。附件：技术负责人、网络与信息安全负责人、主要技术人员身份证正反面复印件或社保部门岀具的境外人士工作证明，技术能力证明材料复印件（职称、资质证明等），正式劳动合同复印件，公司近期为员工所上的社保证明（至少三个月，应加盖社保机构红章）材料3:服务器、网络设备清单设备类型设备型号数量制造商主要性能指标采购或租赁协议附件：服务器、网络设备等设施的采购或租赁协议复印件。材料4:线上服务功能说明 （可另附页）平台线上服务简介业务内容描述、服务范围、目标用户、收费模式等平台服务功能介绍面向乘客和驾驶员功能介绍平台信息内容1. 信息种类、内容。2. 数据的采集、存储、传输、使用、加密方式说明。3. 信息保护制度设计说明。监管数据接口功能说明配合监管部门依法查询、调取数据信息的接口功能说明接入服务商及接入地服务器放置地IP地址及功能（连续IP地址用“-”链接；多个IP地址用“；”隔开）填表说明1. 服务器放置、接入地址精确到机房。2. 公网IP地址段要写全，对应系统功能要说明。3. 平台含互联网平台和移动应用程序（APP ）。附件：服务器托管协议或互联网接入协议复印件。附件：托管方或接入商经营资质证明材料复印件。附件：配合依法查询、调取相关数据信息的功能设计、工作制度和责任机构、责任人以及联系方 式等材料说明材料5:平台软硬件及数据库说明 （可另附页）平台软硬件说明1. 服务平台的软件构成，含软件类型、数量、研发单位或生产商等。2. 平台架构及网络拓扑（含文字说明），对外服务链路带宽。3. 平台响应速度、取大并发数等性能指标。数 据 库 情 况 说 明数据库结构（含数据结构、I/O等）以及数据库容量、存储参数等性能指标。填表说明1.平台含互联网平台和移动应用程序（APP ）材料6:网约车网络安全定级备案信息表6.1-企业基本信息表企业名称网络安全姓名职务/职称负责人办公电话电子邮件移动电话网络安全应急联系人姓名职务/职称办公电话电子邮件移动电话姓名职务/职称办公电话电子邮件移动电话网络安全防护定级备案总体情况网络与系统单元列表（注：每个网络与系 统单元需单独填写“2-网络与系统单兀疋 级备案信息表”）网络与系统单元1网络与系统单元2网络与系统单元36.2-网络与系统单元定级备案信息表系统名称主要功能及服务服务范围全国 省（自治区、直辖市）内 跨省（自治区、直辖市）跨 个，分别为：自定安全等级第2级第3级第4级所在机房1接入地1所在机房2接入地2主要应用软件 情况（注：主要包 括为对外提供 服务开发的应 用软件，包括A PP等；不含0 ffice等通用应用软件）序号名称研发方当前版本维护方式已运行时间1自行研发第三方研发远程本地2网络用户信息存储处理情况未处理或存储信息处理或存储信息，（请提供存储或处理的网络用户信息的类型名称）公网IP地址段主要协议和端口接入总带宽（MB）所用域名.cn域名相关记录NS记录A记录域名注册服务机构信息机构名称联系人及办公电话填表人填表日期材料7:企业网络安全管理制度建立情况相关材料按照网络安全法、通信网络安全防护管理办法（工信部令11号）等法律法规要求，网络安全管理制度建立情况应包括企业设 置网络安全专门管理机构、企业网络安全主管领导的情况、 配备网络 安全专门工作人员情况，以及企业建立的网络安全防护管理、 安全事 件应急、重大事件报告、网络安全应急预案等规章制度情况。其中， 网络安全应急预案文本内容应包括： 事件应急负责人及联系方式、针 对不同等级的网络安全事件制定的应急预案程序与处置流程、说明应急预案启动的条件、发生安全事件后要采取的信息报送工作流程、后 期恢复措施等。材料8:网约车互联网平台网络安全防护相关报告网约车互联网平台应按照通信网络安全防护管理办法（工信 部令 11 号）、电信网和互联网安全等级保护实施指南等通信行业 网络安全防护相关法规和标准要求， 开展网络安全防护工作， 落实防 护措施，及时消除安全隐患，保障网络与系统安全，主要包括网络与 系统定级备案、 网络安全符合性评测和风险评估。 并向通信主管部门 提交定级备案报告、符合性评测报告、风险评估及整改报告。网约车互联网平台网络安全定级备案可在省级通信主管部门指 导下采取自主定级方式， 网络安全符合性评测报告、 风险及整改评估 报告可由具备网络安全评估等相应安全服务能力的第三方安全检测 机构提供或者企业自行开展。报告的具体内容有：8.1 网络安全定级报告内容1. 根 据电信网和互联网安全等级保护实施 指南（ YD/T 1729-2008 ）关于通信行业网络安全防护相关标准要求，对网约车 互联网平台进行安全等级划分等活动的概述。 总体原则是： 按照定级 对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网 络和企业合法权益的损害程度，进行安全等级划分。2. 对网络与系统（定级对象）信息的详细描述，包括：（1）企业特征、业务范围、安全管理基本情况以及其他基本情 况；（ 2）安全技术情况，包括网络与系统所在的物理环境、网络拓 扑结构、网络关键设备（包括服务器、 安全设备、应用系统等）情况、 服务范围、网络处理和传送的信息资产、 服务范围和用户类型等信息， 网络边界。3. 说明网络安全等级定级理由、要素以及安全等级确定结果等。8.2 网络安全符合性评测报告1. 评估任务及标准概述，其中评估标准包括：（1）电信网和互联网安全防护管理指南 （YD/T 1728-2008 ）（ 2）电信网和互联网信息服务业务系统安全防护要求（ YD/T2243-2016 ）（ 3 ）电信网和互联网信息服务业务系统安全防护检测要求（ YD/T 2244-2011 ）（4 ）电信网和互联网管理安全等级保护要求（YD/T1756-2008 ）（ 5） 电信网和互联网管理安全等级保护检测要求（YD/T1757-2008 ）6）电信网和互联网安全防护基线配置要求网络设备（ YD/T2698- 2014 ）7）电信网和互联网安全防护基线配置要求安全设备（ YD/T2699- 2014 ）8）电信网和互联网安全防护基线配置要求数据库（ YD/T2700- 2014 ）9）电信网和互联网安全防护基线配置要求操作系统（ YD/T2701- 2014 ）10）电信网和互联网安全防护基线配置要求中间件（ YD/T2702- 2014 ）等电信网和互联网安全防护系列标准。11 ）电信网和互联网安全防护基线配置要求WEB 应用系统（ YD/T 2703-2014 ）（ 12 ）第三方安全服务能力评定准则（ YD/T 2669-2013 ）2. 符合性评测活动采取的技术措施，如采用访谈、检查、仪表测 试、人工测试等方式，对受测网络单元的安全状况以及相关设备、系 统潜在的安全隐患进行技术检测。3. 技术检测应包括系统安全加固、网络拓扑、冗余与灾难备份、 网络及设备安全策略、设备漏洞、口令安全、介质管理、日志与安全 审计等方面。技术检测对象应包括：（1）生产主机：检查生产运行主机的操作系统、数据库、中间 件以及第三方软件，包括账号安全、口令安全、授权安全、 Web 安 全、补丁安全、客户信息安全、开放端口安全、安全配置、日志与审 计等；（2）网络设备：检查交换机、防火墙等网络设备，包括账号安 全、口令安全、授权安全、 Web 安全、补丁安全、 IP 协议安全等；（3）安全防护设备：检查 IPS、IDS、web 应用防火墙、防 dos 设备等安全防护设备，包括账号安全、口令安全、授权安全、补丁安 全、开放端口安全、 Web 安全、防护策略配置、告警配置、攻击防 护、 IP 协议、日志与审计等；（ 4）其他：检查与约车主要平台相连的辅助系统的安全性，包 括账号安全、口令安全、授权安全、补丁安全、客户信息安全、 Web 安全、开放端口安全、安全配置、日志与审计等。4. 符合性评测结果，包括符合性评测得分、达标率、不达标项说 明，系统的整体安全性是否达到标准要求。8.3 风险评估及整改报告1. 风险评估过程的描述，包括：采用的技术评估手段，如工具扫 描、远程仪表测试、人工测试等方式；技术评估内容，如漏洞扫描、 网络安全性检测、主机安全性检测、应用安全性检测、管理安全性检 测和渗透性测试等。2. 风险评估分析结果说明， 例如被检测网络与系统的安全隐患类 型、漏洞数量和级别、可导致的后果，并附截图证据。3. 总结被检网络与系统存在的主要问题， 以及针对检测发现的具 体问题进行整改的情况。材料9:网约车移动应用程序（APP安全保障能力报告报告需由具备网络安全评估等相应安全服务能力的第三方安全 检测机构出具。根据电信和互联网用户个人信息保护规定 （工信 部令 24 号）及移动应用程序（ APP ）网络安全相关标准要求，重点 证明网约车移动应用程序 （APP ）中不含恶意代码、 在收集用户信息 或调用系统权限时已告知并取得用户同意等。 对于网约车移动应用程 序（APP ）后台系统，与网约车互联网平台的要求相同，应提供相应 的网络与系统定级备案、 网络安全符合性评测、 风险评估及整改报告。网约车相关移动应用程序 （ APP ）安全保障能力报告内容应包括:1. 被测网约车相关移动应用程序（ APP ）列表，并提供应用软件 运营者、主要功能、后台服务器及所在机房等信息。2. 安全检测的主要方法、 测试人员组成、测试案例和测试结论等。 经检测，应证明移动应用程序（ APP ）不含有移动互联网恶意程序 描述格式等标准中所称恶意程序、符合“未经明示且经用户同意， 不得实施收集使用用户个人信息等侵害用户合法权益或危害网络安 全的行为。”等的规定。3. 报告应证明企业是否采取措施留存其所提供的应用软件、 有关 版本、上线时间、功能简介、用途、 MD5 等校验值、服务器接入等 信息以备追溯检测，相关信息的留存时间应不短于 60 日。材料 10：网络数据安全和用户信息保护自证报告 根据网络安全法、电信和互联网用户个人信息保护规定 （工 信部令 24 号）、电信和互联网用户个人电子信息保护通用技术要求 和管理要求（ YD/T 2692-2014 ）等相关法律法规和标准要求，企 业应采取适当措施， 确保网络数据和用户个人信息安全。 报告内容应 至少包括以下内容：1. 数据分级分类管理措施情况。 重点包括数据分级分类管理制度 建设和落实情况，重要数据和用户个人信息的分级分类方法。2. 数据收集环节安全情况。 重点包括收集用户个人信息是否符合 相关法律法规和相关标准规定；采集用户数据前履行告知义务的情况，采集前获得用户同意的情况；3. 数据传输存储环节安全情况。 重点包括重要网络数据和敏感用 户个人信息加密传输、 存储情况；数据访问控制权限管理和审计情况； 数据容灾备份情况。 证明在我国境内运营中产生的用户个人信息和重 要数据存储在境内，同时具备数据防篡改、防泄露、防窃取等能力。4. 数据使用共享环节安全管理情况。 重点包括使用、共享用户个 人信息是否符合相关法律法规和相关标准规定； 数据处理外包服务安 全管理情况； 与企业内部涉及重要数据、 用户个人信息处理的工作人 员签订保密协议或责任书的情况等。5. 数据跨境传输安全管理情况。企业跨境传输数据是否符合网 络安全法规定。材料 11：承诺书* 通信管理局：我公司承诺：1. 保证提交的全部资料真实有效，复印件与原件相符。 如线上服 务能力出现重大变更，将及时书面告知通信主管部门并更新相关材 料。2. 保证资金、技术人员、各项软硬件设施、公司制度能够满足线 上服务能力需求。保证服务质量满足监管要求及客户需求。3. 严格遵守电信和互联网用户个人信息保护规定 （工业和信 息化部第24号令）、互联网信息服务管理办法（国务院第 292号令） 及其他通信行业监管法律、法规和政策，合法从事经营活动。4. 接受各级通信主管部门的行业管理和监督检查， 及时按要求报 送相关材料。5. 根据电信业务市场监测需要， 按照要求向通信主管部门报送相 应的监测信息。6. 保证网络安全与信息、数据安全。 保证线上服务业务符合国家 信息安全的要求； 严格执行国家安全管理部门和通信主管部门的安全 保密管理规定；严格履行国家要求的网络与信息安全责任。 具体包括：（1）按照通信行业管理部门要求，配备相应数量的专职网络与 信息安全管理人员，成立相应的网络与信息安全管理机构,建立健全网络与信息安全保障制度， 制定应急处置预案， 并定期将相关业务开 展情况和网络与信息安全责任落实情况向业务开展地通信行业管理 部门报备。（2）按照相关法律法规及通信行业管理部门要求建立违法违规 信息发现和过滤技术手段，能对违法违规信息进行隔离、过滤处置。 严格落实违法违规信息发现处置机制， 阻断违法违规信息发布， 对于 已发布的违法违规信息应当立即停止传输， 保存有关记录， 并向有关 主管部门报告。（3）严格落实重大信息安全事件应急处置和报告制度，对于涉 及业务相关数据安全、 涉及国家网络信息安全的重大事件进行紧急处置，并上报主管部门（4）定期开展信息安全相关法律法规及安全政策文件、配合政 府监管机制、信息安全保障制度等方面培训， 培养员工信息安全意识， 提高员工信息安全工作能力。（5 ）网约车平台日志记录、留存技术措施满足网络安全法 、 互联网信息服务管理办法等法律法规有关要求。（6）按照互联网新技术新业务安全评估指南 （YD/T3169-2016 ）等通信行业标准 , 建立互联网新技术新业务安 全评估制度，在新技术、业务或应用上线（含合作推广、试点、商用 等）时，在基础资源配置、技术实现方式、业务功能或用户规模等方 面发生较大变化时， 开展网络信息安全评估， 积极防范网络信息安全 风险，并在安全评估完成 30 日内向通信主管部门提交书面评估报告。（7）按照通信网络安全防护管理办法 （工信部令第 11 号） 等有关要求，制定网络安全防护管理制度，落实网络安全“三同步” 、 定级备案、符合性评测和风险评估等要求。（8）按照国家用户信息保护有关法律法规和电信和互联网用 户个人信息保护规定 （工信部令第 24号）等要求，开展网络数据和 用户信息保护工作，防范重要数据和敏感用户信息泄露。（9）制定并落实网络安全事件应急预案和网络安全事件应急处 置报告制度， 明确网络安全事件应急处置机制、 网络安全事件上报和 网络安全应急演练等要求。 发生重大网络安全事件时， 于第一时间向 通信主管部门报告，并根据通信主管部门要求采取应急处置措施。(10 )当网络安全应急联系人发生变动时，在两个工作日内主动向通信主管部门报备。本企业网络与信息安全应急联系人及联系方式:以上承诺如有违反，愿接受通信行业管理部门的依法处罚。法定代表人签字： 公章：二O年 月 日其他材料：通信主管部门要求提交的其他材料