1、实用文档精品实用文档系列 (标准 完整 实用 可修改) 附件2通信主管部门网络预约出租汽车线上服务能力认定申请材料模板整体要求:填写完整,不留空白栏;字迹工整,清晰可辨,提交申请时留下申请负责人的联系方式法人代表签字: 申报单位:全称,与营业执照保持一致(盖章) 申报日期: 年 月 日材料1:公司基本信息公司名称企业法人营业执照注 册 号注册地址法定代表人姓名身份证号法人代表联系方式通信地址技术负责人姓名技术负责人手机技术负责人固话(区号-电话号码)技术负责人电子邮箱联系人姓名联系人手机联系人固话(区号-电话号码)联系人电子邮箱公司业务介绍填表说明1.法人代表、技术负责人、联系人的联系方式应真
2、实有效。附件:公司企业法人营业执照副本、法定代表人身份证原件正反面复印件;材料2:技术部门及人员信息技术部门名称及职责(可填多个)公司技术及安全负责人名单(至少应包括专人专岗的技术负责人、网络及信息安全负责人)序 号姓名身份证号码职务学历联系电话职称/资质证明公司主要技术人员名单序 号姓名身份证号码职务专业学历联系电话职称/资质证明填表说明1.技术部门应包括技术研发部门和维护部门。2.技术及安全负责人应不少于2人,至少应包括专人专岗的技术负责人、网络及信息安全负责人。3.人员姓名、身份证号应与有效期内的身份证信息完全一致,且其职务和联系电话真实有效。4.职称/资质证明包括行业认证、职业技能鉴定
3、等技术能力证明材料。附件:技术负责人、网络与信息安全负责人、主要技术人员身份证正反面复印件或社保部门出具的境外人士工作证明,技术能力证明材料复印件(职称、资质证明等),正式劳动合同复印件,公司近期为员工所上的社保证明(至少三个月,应加盖社保机构红章)。材料3:服务器、网络设备清单设备类型设备型号数量制造商主要性能指标采购或租赁协议附件:服务器、网络设备等设施的采购或租赁协议复印件。材料4:线上服务功能说明(可另附页)平台线上服务简介业务内容描述、服务范围、目标用户、收费模式等平台服务功能介绍面向乘客和驾驶员功能介绍平台信息内容1. 信息种类、内容。2. 数据的采集、存储、传输、使用、加密方式说
4、明。3.信息保护制度设计说明。监管数据接口功能说明配合监管部门依法查询、调取数据信息的接口功能说明接入服务商及接入地服务器放置地IP地址及功能(连续IP地址用“-”链接;多个IP地址用“;”隔开)填表说明1.服务器放置、接入地址精确到机房。2.公网IP地址段要写全,对应系统功能要说明。3.平台含互联网平台和移动应用程序(APP)。附件:服务器托管协议或互联网接入协议复印件。附件:托管方或接入商经营资质证明材料复印件。附件:配合依法查询、调取相关数据信息的功能设计、工作制度和责任机构、责任人以及联系方式等材料说明。材料5:平台软硬件及数据库说明(可另附页)平台软硬件说明1.服务平台的软件构成,含
5、软件类型、数量、研发单位或生产商等。2.平台架构及网络拓扑(含文字说明),对外服务链路带宽。3.平台响应速度、最大并发数等性能指标。数据库情况说明数据库结构(含数据结构、I/O等)以及数据库容量、存储参数等性能指标。填表说明1.平台含互联网平台和移动应用程序(APP)。材料6:网约车网络安全定级备案信息表6.1-企业基本信息表企业名称网络安全负责人姓 名职务/职称办公电话电子邮件移动电话网络安全应急联系人姓 名职务/职称办公电话电子邮件移动电话姓 名职务/职称办公电话电子邮件移动电话网络安全防护定级备案总体情况网络与系统单元列表(注:每个网络与系统单元需单独填写网络与系统单元1“2-网络与系统
6、单元定级备案信息表”)网络与系统单元2网络与系统单元36.2-网络与系统单元定级备案信息表系统名称主要功能及服务服务范围0全国 0省(自治区、直辖市)内 0跨省(自治区、直辖市) 跨 个,分别为: 自定安全等级0第2级 0第3级 0第4级 所在机房1接入地1所在机房2接入地2主要应用软件情况(注:主要包括为对外提供服务开发的应用软件,包括APP等;不含office等通用应用软件)序号名称研发方当前版本维护方式已运行时间1自行研发第三方研发 远程本地2网络用户信息存储处理情况0未处理或存储信息 0处理或存储信息,(请提供存储或处理的网络用户信息的类型名称) 公网IP地址段主要协议和端口接入总带宽
7、(MB)所用域名.cn域名相关记录NS记录A记录域名注册服务机构信息机构名称联系人及办公电话填表人 填表日期材料7:企业网络安全管理制度建立情况相关材料按照网络安全法、通信网络安全防护管理办法(工信部令11号)等法律法规要求,网络安全管理制度建立情况应包括企业设置网络安全专门管理机构、企业网络安全主管领导的情况、配备网络安全专门工作人员情况,以及企业建立的网络安全防护管理、安全事件应急、重大事件报告、网络安全应急预案等规章制度情况。其中,网络安全应急预案文本内容应包括:事件应急负责人及联系方式、针对不同等级的网络安全事件制定的应急预案程序与处置流程、说明应急预案启动的条件、发生安全事件后要采取
8、的信息报送工作流程、后期恢复措施等。材料8:网约车互联网平台网络安全防护相关报告网约车互联网平台应按照通信网络安全防护管理办法(工信部令11号)、电信网和互联网安全等级保护实施指南等通信行业网络安全防护相关法规和标准要求,开展网络安全防护工作,落实防护措施,及时消除安全隐患,保障网络与系统安全,主要包括网络与系统定级备案、网络安全符合性评测和风险评估。并向通信主管部门提交定级备案报告、符合性评测报告、风险评估及整改报告。网约车互联网平台网络安全定级备案可在省级通信主管部门指导下采取自主定级方式,网络安全符合性评测报告、风险及整改评估报告可由具备网络安全评估等相应安全服务能力的第三方安全检测机构
9、提供或者企业自行开展。报告的具体内容有: 8.1网络安全定级报告内容1.根据电信网和互联网安全等级保护实施指南(YD/T 1729-2008)关于通信行业网络安全防护相关标准要求,对网约车互联网平台进行安全等级划分等活动的概述。总体原则是:按照定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和企业合法权益的损害程度,进行安全等级划分。2.对网络与系统(定级对象)信息的详细描述,包括:(1)企业特征、业务范围、安全管理基本情况以及其他基本情况;(2)安全技术情况,包括网络与系统所在的物理环境、网络拓扑结构、网络关键设备(包括服务器、安全设备、应用系统等)情况、服务范围、网络处理
10、和传送的信息资产、服务范围和用户类型等信息,网络边界。3.说明网络安全等级定级理由、要素以及安全等级确定结果等。 8.2网络安全符合性评测报告1.评估任务及标准概述,其中评估标准包括:(1)电信网和互联网安全防护管理指南(YD/T 1728-2008)(2)电信网和互联网信息服务业务系统安全防护要求(YD/T 2243-2016)(3)电信网和互联网信息服务业务系统安全防护检测要求(YD/T 2244-2011)(4)电信网和互联网管理安全等级保护要求(YD/T 1756-2008)(5)电信网和互联网管理安全等级保护检测要求(YD/T 1757-2008)(6)电信网和互联网安全防护基线配置
11、要求 网络设备(YD/T 2698-2014)(7)电信网和互联网安全防护基线配置要求 安全设备(YD/T 2699-2014)(8)电信网和互联网安全防护基线配置要求 数据库(YD/T 2700-2014)(9)电信网和互联网安全防护基线配置要求 操作系统(YD/T 2701-2014)(10)电信网和互联网安全防护基线配置要求 中间件(YD/T 2702-2014)等电信网和互联网安全防护系列标准。(11)电信网和互联网安全防护基线配置要求 WEB应用系统(YD/T 2703-2014)(12)第三方安全服务能力评定准则(YD/T 2669-2013)2.符合性评测活动采取的技术措施,如采
12、用访谈、检查、仪表测试、人工测试等方式,对受测网络单元的安全状况以及相关设备、系统潜在的安全隐患进行技术检测。3.技术检测应包括系统安全加固、网络拓扑、冗余与灾难备份、网络及设备安全策略、设备漏洞、口令安全、介质管理、日志与安全审计等方面。技术检测对象应包括:(1)生产主机:检查生产运行主机的操作系统、数据库、中间件以及第三方软件,包括账号安全、口令安全、授权安全、Web安全、补丁安全、客户信息安全、开放端口安全、安全配置、日志与审计等;(2)网络设备:检查交换机、防火墙等网络设备,包括账号安全、口令安全、授权安全、Web安全、补丁安全、IP协议安全等;(3)安全防护设备:检查IPS、IDS、
13、web应用防火墙、防dos设备等安全防护设备,包括账号安全、口令安全、授权安全、补丁安全、开放端口安全、Web安全、防护策略配置、告警配置、攻击防护、IP协议、日志与审计等;(4)其他:检查与约车主要平台相连的辅助系统的安全性,包括账号安全、口令安全、授权安全、补丁安全、客户信息安全、Web安全、开放端口安全、安全配置、日志与审计等。4.符合性评测结果,包括符合性评测得分、达标率、不达标项说明,系统的整体安全性是否达到标准要求。 8.3风险评估及整改报告1.风险评估过程的描述,包括:采用的技术评估手段,如工具扫描、远程仪表测试、人工测试等方式;技术评估内容,如漏洞扫描、网络安全性检测、主机安全
14、性检测、应用安全性检测、管理安全性检测和渗透性测试等。2.风险评估分析结果说明,例如被检测网络与系统的安全隐患类型、漏洞数量和级别、可导致的后果,并附截图证据。3.总结被检网络与系统存在的主要问题,以及针对检测发现的具体问题进行整改的情况。材料9:网约车移动应用程序(APP)安全保障能力报告报告需由具备网络安全评估等相应安全服务能力的第三方安全检测机构出具。根据电信和互联网用户个人信息保护规定(工信部令24号)及移动应用程序(APP)网络安全相关标准要求,重点证明网约车移动应用程序(APP)中不含恶意代码、在收集用户信息或调用系统权限时已告知并取得用户同意等。对于网约车移动应用程序(APP)后
15、台系统,与网约车互联网平台的要求相同,应提供相应的网络与系统定级备案、网络安全符合性评测、风险评估及整改报告。网约车相关移动应用程序(APP)安全保障能力报告内容应包括:1.被测网约车相关移动应用程序(APP)列表,并提供应用软件运营者、主要功能、后台服务器及所在机房等信息。2.安全检测的主要方法、测试人员组成、测试案例和测试结论等。经检测,应证明移动应用程序(APP)不含有移动互联网恶意程序描述格式等标准中所称恶意程序、符合“未经明示且经用户同意,不得实施收集使用用户个人信息等侵害用户合法权益或危害网络安全的行为。”等的规定。3.报告应证明企业是否采取措施留存其所提供的应用软件、有关版本、上
16、线时间、功能简介、用途、MD5等校验值、服务器接入等信息以备追溯检测,相关信息的留存时间应不短于60日。材料10:网络数据安全和用户信息保护自证报告根据网络安全法、电信和互联网用户个人信息保护规定(工信部令24号)、电信和互联网用户个人电子信息保护通用技术要求和管理要求(YD/T 2692-2014)等相关法律法规和标准要求,企业应采取适当措施,确保网络数据和用户个人信息安全。报告内容应至少包括以下内容:1.数据分级分类管理措施情况。重点包括数据分级分类管理制度建设和落实情况,重要数据和用户个人信息的分级分类方法。2.数据收集环节安全情况。重点包括收集用户个人信息是否符合相关法律法规和相关标准
17、规定;采集用户数据前履行告知义务的情况,采集前获得用户同意的情况;3.数据传输存储环节安全情况。重点包括重要网络数据和敏感用户个人信息加密传输、存储情况;数据访问控制权限管理和审计情况;数据容灾备份情况。证明在我国境内运营中产生的用户个人信息和重要数据存储在境内,同时具备数据防篡改、防泄露、防窃取等能力。4.数据使用共享环节安全管理情况。重点包括使用、共享用户个人信息是否符合相关法律法规和相关标准规定;数据处理外包服务安全管理情况;与企业内部涉及重要数据、用户个人信息处理的工作人员签订保密协议或责任书的情况等。5.数据跨境传输安全管理情况。企业跨境传输数据是否符合网络安全法规定。材料11:承诺
18、书*通信管理局:我公司承诺:1.保证提交的全部资料真实有效,复印件与原件相符。如线上服务能力出现重大变更,将及时书面告知通信主管部门并更新相关材料。2.保证资金、技术人员、各项软硬件设施、公司制度能够满足线上服务能力需求。保证服务质量满足监管要求及客户需求。3.严格遵守电信和互联网用户个人信息保护规定(工业和信息化部第24号令)、互联网信息服务管理办法(国务院第292号令)及其他通信行业监管法律、法规和政策,合法从事经营活动。4.接受各级通信主管部门的行业管理和监督检查,及时按要求报送相关材料。5.根据电信业务市场监测需要,按照要求向通信主管部门报送相应的监测信息。6.保证网络安全与信息、数据
19、安全。保证线上服务业务符合国家信息安全的要求;严格执行国家安全管理部门和通信主管部门的安全保密管理规定;严格履行国家要求的网络与信息安全责任。具体包括: (1)按照通信行业管理部门要求,配备相应数量的专职网络与信息安全管理人员,成立相应的网络与信息安全管理机构,建立健全网络与信息安全保障制度,制定应急处置预案,并定期将相关业务开展情况和网络与信息安全责任落实情况向业务开展地通信行业管理部门报备。 (2)按照相关法律法规及通信行业管理部门要求建立违法违规信息发现和过滤技术手段,能对违法违规信息进行隔离、过滤处置。严格落实违法违规信息发现处置机制,阻断违法违规信息发布,对于已发布的违法违规信息应当
20、立即停止传输,保存有关记录,并向有关主管部门报告。 (3)严格落实重大信息安全事件应急处置和报告制度,对于涉及业务相关数据安全、涉及国家网络信息安全的重大事件进行紧急处置,并上报主管部门。 (4)定期开展信息安全相关法律法规及安全政策文件、配合政府监管机制、信息安全保障制度等方面培训,培养员工信息安全意识,提高员工信息安全工作能力。 (5)网约车平台日志记录、留存技术措施满足网络安全法、互联网信息服务管理办法等法律法规有关要求。(6)按照互联网新技术新业务安全评估指南(YD/T3169-2016)等通信行业标准,建立互联网新技术新业务安全评估制度,在新技术、业务或应用上线(含合作推广、试点、商
21、用等)时,在基础资源配置、技术实现方式、业务功能或用户规模等方面发生较大变化时,开展网络信息安全评估,积极防范网络信息安全风险,并在安全评估完成30日内向通信主管部门提交书面评估报告。 (7)按照通信网络安全防护管理办法(工信部令第11号)等有关要求,制定网络安全防护管理制度,落实网络安全“三同步”、定级备案、符合性评测和风险评估等要求。(8)按照国家用户信息保护有关法律法规和电信和互联网用户个人信息保护规定(工信部令第24号)等要求,开展网络数据和用户信息保护工作,防范重要数据和敏感用户信息泄露。 (9)制定并落实网络安全事件应急预案和网络安全事件应急处置报告制度,明确网络安全事件应急处置机制、网络安全事件上报和网络安全应急演练等要求。发生重大网络安全事件时,于第一时间向通信主管部门报告,并根据通信主管部门要求采取应急处置措施。 (10)当网络安全应急联系人发生变动时,在两个工作日内主动向通信主管部门报备。本企业网络与信息安全应急联系人及联系方式: 以上承诺如有违反,愿接受通信行业管理部门的依法处罚。法定代表人签字: 公章: 二 年 月 日其他材料:通信主管部门要求提交的其他材料