通信主管部門網(wǎng)絡預約出租汽車線上服務能力認定申請材料模板

1、附件2通信主管部門網(wǎng)絡預約出租汽車線上服務能力認定申請材料模板整體要求：填寫完整，不留空白欄；字跡工整，清晰可辨,提交申請時留下申請負責人的聯(lián)系方式法人代表簽字：申報單位：全稱，與營業(yè)執(zhí)照保持一致（蓋章）申報日期：年月曰材料1:公司基本信息公司名稱企業(yè)法人營業(yè)執(zhí)照注冊號注冊地址法定代表人姓名身份證號法人代表聯(lián)系方式通信地址技術負責人姓名技術負責人手機技術負責人固話（區(qū)號電話號碼）技術負責人電子郵箱聯(lián)系人姓名聯(lián)系人手機聯(lián)系人固話（區(qū)號-電話號碼）聯(lián)系人電子郵箱公司業(yè)務介紹填表說明1.法人代表、技術負責人、聯(lián)系人的聯(lián)系方式應真實有效。附件：公司企業(yè)法人營業(yè)執(zhí)照副本、法定代表人身份證原件正反面復印件

2、;材料2：技術部門及人員信息技術部門名稱及職責（可填多個）公司技術及安全負責人名單（至少應包括專人專崗的技術負責人、網(wǎng)絡及信息安全負責人）序號姓名身份證號碼職務學歷聯(lián)系電話職稱/資質證明公司主要技術人員名單序號姓名身份證號碼職務專業(yè)學歷聯(lián)系電話職稱/資質證明填表說明1 .技術部門應包括技術研發(fā)部門和維護部門。2 .技術及安全負責人應不少于2人，至少應包括專人專崗的技術負責人、網(wǎng)絡及信息安全負責人。3 .人員姓名、身份證號應與有效期內的身份證信息完全一致，且其職務和聯(lián)系電話真實有效。4 .職稱/資質證明包括行業(yè)認證、職業(yè)技能鑒定等技術能力證明材料。附件：技術負責人、網(wǎng)絡與信息安全負責人、主要技術

3、人員身份證正反面復印件或社保部門出具的境外人士工作證明，技術能力證明材料復印件（職稱、資質證明等），正式勞動合同復印件，公司近期為員工所上的社保證明（至少三個月，應加蓋社保機構紅章）。材料3：服務器、網(wǎng)絡設備清單設備類型設備型號數(shù)量制造商主要性能指標采購或租賃協(xié)議附件：服務器、網(wǎng)絡設備等設施的采購或租賃協(xié)議復印件。材料4：線上服務功能說明（可另附頁）平臺線上服務簡介業(yè)務內容描述、服務范圍、目標用戶、收費模式等平臺服務功能介紹面向乘客和駕駛員功能介紹平臺信息內容1 .信息種類、內容。2 .數(shù)據(jù)的采集、存儲、傳輸、使用、加密方式說明。3 .信息保護制度設計說明。監(jiān)管數(shù)據(jù)接口功能說明配合監(jiān)管部門依法

4、查詢、調取數(shù)據(jù)信息的接口功能說明接入服務商及接入地服務器放置地IP地址及功能（連續(xù)IP地址用“-”鏈接；多個IP地址用填表說明1 .服務器放置、接入地址精確到機房。2 .公網(wǎng)IP地址段要寫全，對應系統(tǒng)功能要說明。3 .平臺含互聯(lián)網(wǎng)平臺和移動應用程序（APP）o附件：服務器托管協(xié)議或互聯(lián)網(wǎng)接入?yún)f(xié)議復印件。附件：托管方或接入商經(jīng)營資質證明材料復印件。附件：配合依法查詢、調取相關數(shù)據(jù)信息的功能設計、工作制度和責任機構、責任人以及聯(lián)系方式等材料說明材料5：平臺軟硬件及數(shù)據(jù)庫說明（可另附頁）平.軟硬件說明1 .服務平臺的軟件構成，含軟件類型、數(shù)量、研發(fā)單位或生產(chǎn)商等。2 .平臺架構及網(wǎng)絡拓撲（含文字說明

5、），對外服務鏈路帶寬。3 .平臺響應速度、最大并發(fā)數(shù)等性能指標。數(shù)據(jù)庫情況說明數(shù)據(jù)庫結構（含數(shù)據(jù)結構、I/O等）以及數(shù)據(jù)庫容量、存儲參數(shù)等性能指標。填表說明1.平臺含互聯(lián)網(wǎng)平臺和移動應用程序（APP）材料6：網(wǎng)約車網(wǎng)絡安全定級備案信息表6.1-企業(yè)基本信息表企業(yè)名稱網(wǎng)絡安全姓名職務/職稱負責人辦公電話電子郵件移動電話網(wǎng)絡安全應急聯(lián)系人姓名職務/職稱辦公電話電子郵件移動電話姓名職務/職稱辦公電話電子郵件移動電話網(wǎng)絡安全防護定級備案總體情況網(wǎng)絡與系統(tǒng)單元列表（注：每個網(wǎng)絡與系統(tǒng)單元需單獨填寫“2-網(wǎng)絡與系統(tǒng)單元定級備案信息表”）網(wǎng)絡與系統(tǒng)單元1網(wǎng)絡與系統(tǒng)單元2網(wǎng)絡與系統(tǒng)單元36.2-網(wǎng)絡與系統(tǒng)單元

6、定級備案信息表系統(tǒng)名稱主要功能及服務服務范圍全國省（自治區(qū)、直轄市）內跨省（自治區(qū)、直轄市）跨人八口J,自定安全等級第2級第3級第4級所在機房1接入地1所在機房2接入地2主要應用軟件情況（注：主要包括為對外提供服務開發(fā)的應用軟件，包括APP等；不含office等通用應用軟件）序號名稱研發(fā)方當前版本維護方式已運行時間1口自行研發(fā)口第三方研發(fā)口遠程口本地2網(wǎng)絡用戶信息存儲處理情況未處理或存儲信息處理或存儲信息，（請?zhí)峁┐鎯蛱幚淼木W(wǎng)絡用戶信息的類型名稱）公網(wǎng)IP地址段主要協(xié)議和端接入總帶寬（MB）所用域名.cn域名相關記錄NS記錄A記錄域名注冊服務機構信息機構名稱聯(lián)系人及辦公電話填表人填表日期材料

7、7：企業(yè)網(wǎng)絡安全管理制度建立情況相關材料按照網(wǎng)絡安全法、通信網(wǎng)絡安全防護管理辦法（工信部令11號）等法律法規(guī)要求，網(wǎng)絡安全管理制度建立情況應包括企業(yè)設置網(wǎng)絡安全專門管理機構、企業(yè)網(wǎng)絡安全主管領導的情況、配備網(wǎng)絡安全專門工作人員情況，以及企業(yè)建立的網(wǎng)絡安全防護管理、安全事件應急、重大事件報告、網(wǎng)絡安全應急預案等規(guī)章制度情況。其中，網(wǎng)絡安全應急預案文本內容應包括：事件應急負責人及聯(lián)系方式、針對不同等級的網(wǎng)絡安全事件制定的應急預案程序與處置流程、說明應急預案啟動的條件、發(fā)生安全事件后要采取的信息報送工作流程、后期恢復措施等。材料8：網(wǎng)約車互聯(lián)網(wǎng)平臺網(wǎng)絡安全防護相關報告網(wǎng)約車互聯(lián)網(wǎng)平臺應按照通信網(wǎng)絡安

8、全防護管理辦法（工信部令11號）、電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南等通信行業(yè)網(wǎng)絡安全防護相關法規(guī)和標準要求，開展網(wǎng)絡安全防護工作，落實防護措施，及時消除安全隱患，保障網(wǎng)絡與系統(tǒng)安全，主要包括網(wǎng)絡與系統(tǒng)定級備案、網(wǎng)絡安全符合性評測和風險評估。并向通信主管部門提交定級備案報告、符合性評測報告、風險評估及整改報告。網(wǎng)約車互聯(lián)網(wǎng)平臺網(wǎng)絡安全定級備案可在省級通信主管部門指導下采取自主定級方式，網(wǎng)絡安全符合性評測報告、風險及整改評估報告可由具備網(wǎng)絡安全評估等相應安全服務能力的第三方安全檢測機構提供或者企業(yè)自行開展。報告的具體內容有：8. 1網(wǎng)絡安全定級報告內容1 .根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護實施指南

9、(YD/T1729-2008)關于通信行業(yè)網(wǎng)絡安全防護相關標準要求，對網(wǎng)約車互聯(lián)網(wǎng)平臺進行安全等級劃分等活動的概述?？傮w原則是：按照定級對象受到破壞后對國家安全、社會秩序、經(jīng)濟運行、公共利益以及網(wǎng)絡和企業(yè)合法權益的損害程度，進行安全等級劃分。2 .對網(wǎng)絡與系統(tǒng)(定級對象)信息的詳細描述，包括：(1)企業(yè)特征、業(yè)務范圍、安全管理基本情況以及其他基本情況；(2)安全技術情況，包括網(wǎng)絡與系統(tǒng)所在的物理環(huán)境、網(wǎng)絡拓撲結構、網(wǎng)絡關鍵設備(包括服務器、安全設備、應用系統(tǒng)等)情況、服務范圍、網(wǎng)絡處理和傳送的信息資產(chǎn)、服務范圍和用戶類型等信息，網(wǎng)絡邊界。3 .說明網(wǎng)絡安全等級定級理由、要素以及安全等級確定結果

10、等。8. 2網(wǎng)絡安全符合性評測報告1 .評估任務及標準概述，其中評估標準包括：(1)電信網(wǎng)和互聯(lián)網(wǎng)安全防護管理指南(YD/T1728-2008)(2)電信網(wǎng)和互聯(lián)網(wǎng)信息服務業(yè)務系統(tǒng)安全防護要求(YD/T2243-2016)(3)電信網(wǎng)和互聯(lián)網(wǎng)信息服務業(yè)務系統(tǒng)安全防護檢測要求(YD/T2244-2011)(4)電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求(YD/T1756-2008)(5)電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護檢測要求(YD/T1757-2008)(6)電信網(wǎng)和互聯(lián)網(wǎng)安全防護基線配置要求網(wǎng)絡設備(YD/T2698-2014)(7)電信網(wǎng)和互聯(lián)網(wǎng)安全防護基線配置要求2699-2014)(8)電信網(wǎng)和

11、互聯(lián)網(wǎng)安全防護基線配置要求數(shù)據(jù)庫(YD/T2700-2014)(9)電信網(wǎng)和互聯(lián)網(wǎng)安全防護基線配置要求操作系統(tǒng)(YD/T2701-2014)(10)電信網(wǎng)和互聯(lián)網(wǎng)安全防護基線配置要求中間件(YD/T2702-2014)等電信網(wǎng)和互聯(lián)網(wǎng)安全防護系列標準。(11)電信網(wǎng)和互聯(lián)網(wǎng)安全防護基線配置要求WEB應用系統(tǒng)(YD/T2703-2014)(12)第三方安全服務能力評定準則(YD/T2669-2013)2 .符合性評測活動采取的技術措施，如采用訪談、檢查、儀表測試、人工測試等方式，對受測網(wǎng)絡單元的安全狀況以及相關設備、系統(tǒng)潛在的安全隱患進行技術檢測。3 .技術檢測應包括系統(tǒng)安全加固、網(wǎng)絡拓撲、冗余

12、與災難備份、網(wǎng)絡及設備安全策略、設備漏洞、口令安全、介質管理、日志與安全審計等方面。技術檢測對象應包括：(1)生產(chǎn)主機：檢查生產(chǎn)運行主機的操作系統(tǒng)、數(shù)據(jù)庫、中間件以及第三方軟件，包括賬號安全、口令安全、授權安全、Web安全、補丁安全、客戶信息安全、開放端口安全、安全配置、日志與審計等;(2)網(wǎng)絡設備：檢查交換機、防火墻等網(wǎng)絡設備，包括賬號安全、口令安全、授權安全、Web安全、補丁安全、IP協(xié)議安全等;(3)安全防護設備：檢查IPS、IDS、web應用防火墻、防dos設備等安全防護設備，包括賬號安全、口令安全、授權安全、補丁安全、開放端口安全、Web安全、防護策略配置、告警配置、攻擊防護、IP協(xié)

13、議、日志與審計等；(4)其他：檢查與約車主要平臺相連的輔助系統(tǒng)的安全性，包括賬號安全、口令安全、授權安全、補丁安全、客戶信息安全、Web安全、開放端口安全、安全配置、日志與審計等。4 .符合性評測結果，包括符合性評測得分、達標率、不達標項說明，系統(tǒng)的整體安全性是否達到標準要求。8. 3風險評估及整改報告1 .風險評估過程的描述，包括：采用的技術評估手段，如工具掃描、遠程儀表測試、人工測試等方式；技術評估內容，如漏洞掃描、網(wǎng)絡安全性檢測、主機安全性檢測、應用安全性檢測、管理安全性檢測和滲透性測試等。2 .風險評估分析結果說明，例如被檢測網(wǎng)絡與系統(tǒng)的安全隱患類型、漏洞數(shù)量和級別、可導致的后果，并附

14、截圖證據(jù)。3 .總結被檢網(wǎng)絡與系統(tǒng)存在的主要問題，以及針對檢測發(fā)現(xiàn)的具體問題進行整改的情況。材料9：網(wǎng)約車移動應用程序（APP）安全保障能力報告報告需由具備網(wǎng)絡安全評估等相應安全服務能力的第三方安全檢測機構出具。根據(jù)電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定（工信部令24號）及移動應用程序（APP）網(wǎng)絡安全相關標準要求，重點證明網(wǎng)約車移動應用程序（APP）中不含惡意代碼、在收集用戶信息或調用系統(tǒng)權限時已告知并取得用戶同意等。對于網(wǎng)約車移動應用程序（APP）后臺系統(tǒng)，與網(wǎng)約車互聯(lián)網(wǎng)平臺的要求相同，應提供相應的網(wǎng)絡與系統(tǒng)定級備案、網(wǎng)絡安全符合性評測、風險評估及整改報告。網(wǎng)約車相關移動應用程序（APP）安全保

15、障能力報告內容應包括：1 .被測網(wǎng)約車相關移動應用程序（APP）列表，并提供應用軟件運營者、主要功能、后臺服務器及所在機房等信息、。2 .安全檢測的主要方法、測試人員組成、測試案例和測試結論等。經(jīng)檢測，應證明移動應用程序（APP）不含有移動互聯(lián)網(wǎng)惡意程序描述格式等標準中所稱惡意程序、符合“未經(jīng)明示且經(jīng)用戶同意，不得實施收集使用用戶個人信息等侵害用戶合法權益或危害網(wǎng)絡安全的行為。”等的規(guī)定。3 .報告應證明企業(yè)是否采取措施留存其所提供的應用軟件、有關版本、上線時間、功能簡介、用途、MD5等校驗值、服務器接入等信息以備追溯檢測，相關信息的留存時間應不短于60日。材料10：網(wǎng)絡數(shù)據(jù)安全和用戶信息保護

16、自證報告根據(jù)網(wǎng)絡安全法、電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定（工信部令24號）、電信和互聯(lián)網(wǎng)用戶個人電子信息保護通用技術要求和管理要求（YD/T2692-2014）等相關法律法規(guī)和標準要求，企業(yè)應采取適當措施，確保網(wǎng)絡數(shù)據(jù)和用戶個人信息安全。報告內容應至少包括以下內容：1 .數(shù)據(jù)分級分類管理措施情況。重點包括數(shù)據(jù)分級分類管理制度建設和落實情況，重要數(shù)據(jù)和用戶個人信息的分級分類方法。2 .數(shù)據(jù)收集環(huán)節(jié)安全情況。重點包括收集用戶個人信息是否符合相關法律法規(guī)和相關標準規(guī)定；采集用戶數(shù)據(jù)前履行告知義務的情況，采集前獲得用戶同意的情況；3 .數(shù)據(jù)傳輸存儲環(huán)節(jié)安全情況。重點包括重要網(wǎng)絡數(shù)據(jù)和敏感用戶個人信息加

17、密傳輸、存儲情況；數(shù)據(jù)訪問控制權限管理和審計情況；數(shù)據(jù)容災備份情況。證明在我國境內運營中產(chǎn)生的用戶個人信息和重要數(shù)據(jù)存儲在境內，同時具備數(shù)據(jù)防篡改、防泄露、防竊取等能力。4 .數(shù)據(jù)使用共享環(huán)節(jié)安全管理情況。重點包括使用、共享用戶個人信息是否符合相關法律法規(guī)和相關標準規(guī)定；數(shù)據(jù)處理外包服務安全管理情況；與企業(yè)內部涉及重要數(shù)據(jù)、用戶個人信息處理的工作人員簽訂保密協(xié)議或責任書的情況等。5 .數(shù)據(jù)跨境傳輸安全管理情況。企業(yè)跨境傳輸數(shù)據(jù)是否符合網(wǎng)絡安全法規(guī)定。材料11：承諾書*通信管理局：我公司承諾：1 .保證提交的全部資料真實有效，復印件與原件相符。如線上服務能力出現(xiàn)重大變更，將及時書面告知通信主管部

18、門并更新相關材料。2 .保證資金、技術人員、各項軟硬件設施、公司制度能夠滿足線上服務能力需求。保證服務質量滿足監(jiān)管要求及客戶需求。3 .嚴格遵守電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定（工業(yè)和信息化部第24號令）、互聯(lián)網(wǎng)信息服務管理辦法（國務院第292號令)及其他通信行業(yè)監(jiān)管法律、法規(guī)和政策，合法從事經(jīng)營活動。4.接受各級通信主管部門的行業(yè)管理和監(jiān)督檢查,及時按要求報送相關材料。5 .根據(jù)電信業(yè)務市場監(jiān)測需要，按照要求向通信主管部門報送相應的監(jiān)測信息。6 .保證網(wǎng)絡安全與信息、數(shù)據(jù)安全。保證線上服務業(yè)務符合國家信息安全的要求；嚴格執(zhí)行國家安全管理部門和通信主管部門的安全保密管理規(guī)定；嚴格履行國家要求的

19、網(wǎng)絡與信息安全責任。具體包括：(1)按照通信行業(yè)管理部門要求，配備相應數(shù)量的專職網(wǎng)絡與信息安全管理人員，成立相應的網(wǎng)絡與信息安全管理機構，建立健全網(wǎng)絡與信息安全保障制度，制定應急處置預案，并定期將相關業(yè)務開展情況和網(wǎng)絡與信息安全責任落實情況向業(yè)務開展地通信行業(yè)管理部門報備。(2)按照相關法律法規(guī)及通信行業(yè)管理部門要求建立違法違規(guī)信息發(fā)現(xiàn)和過濾技術手段，能對違法違規(guī)信息進行隔離、過濾處置。嚴格落實違法違規(guī)信息發(fā)現(xiàn)處置機制，阻斷違法違規(guī)信息發(fā)布，對于已發(fā)布的違法違規(guī)信息應當立即停止傳輸，保存有關記錄，并向有關主管部門報告。(3)嚴格落實重大信息安全事件應急處置和報告制度，對于涉及業(yè)務相關數(shù)據(jù)安全、涉及國家網(wǎng)絡信息安全的重大事件進行緊急處置，并上報主管部門。(4)定期開展信息安全相關法律法規(guī)及安全政策文件、配合政府監(jiān)管機制、信息安全保障制度等方面培訓，培養(yǎng)員工