附件1-安徽省通信管理局

1、<p>　　通信主管部門網絡預約出租汽車線上服務能力認定</p><p><b>　　申請材料模板</b></p><p>　　整體要求：填寫完整，不留空白欄；字跡工整，清晰可辨，提交申請時留下申請負責人的聯(lián)系方式</p><p>　　法人代表簽字： </p>

2、<p>　　申報單位：全稱，與營業(yè)執(zhí)照保持一致（蓋章） </p><p>　　申報日期： 年 月 日</p><p>　　材料1：公司基本信息</p><p><b>　　填表說明</b></p><p>　　附件：公司企業(yè)法人營業(yè)執(zhí)照副本、法定代表人身份證原件正反面復印件；<

3、;/p><p>　　材料2：技術部門及人員信息</p><p><b>　　填表說明</b></p><p>　　附件：技術負責人、網絡與信息安全負責人、主要技術人員身份證正反面復印件或社保部門出具的境外人士工作證明，技術能力證明材料復印件(職稱、資質證明等)，正式勞動合同復印件，公司近期為員工所上的社保證明（至少三個月，應加蓋社保機構紅章）。&l

4、t;/p><p>　　材料3：服務器、網絡設備清單</p><p>　　附件：服務器、網絡設備等設施的采購或租賃協(xié)議復印件。</p><p>　　材料4：線上服務功能說明（可另附頁）</p><p><b>　　填表說明</b></p><p>　　附件：服務器托管協(xié)議或互聯(lián)網接入協(xié)議復印件。<

5、/p><p>　　附件：托管方或接入商經營資質證明材料復印件。</p><p>　　附件：配合依法查詢、調取相關數(shù)據(jù)信息的功能設計、工作制度和責任機構、責任人以及聯(lián)系方式等材料說明。</p><p>　　材料5：平臺軟硬件及數(shù)據(jù)庫說明（可另附頁）</p><p><b>　　填表說明</b></p><p

6、>　　材料6：網約車網絡安全定級備案信息表</p><p>　　6.1-企業(yè)基本信息表</p><p>　　6.2-網絡與系統(tǒng)單元定級備案信息表</p><p>　　材料7：企業(yè)網絡安全管理制度建立情況相關材料</p><p>　　按照《網絡安全法》、《通信網絡安全防護管理辦法》（工信部令11號）等法律法規(guī)要求，網絡安全管理制度建立情況

7、應包括企業(yè)設置網絡安全專門管理機構、企業(yè)網絡安全主管領導的情況、配備網絡安全專門工作人員情況，以及企業(yè)建立的網絡安全防護管理、安全事件應急、重大事件報告、網絡安全應急預案等規(guī)章制度情況。其中，網絡安全應急預案文本內容應包括：事件應急負責人及聯(lián)系方式、針對不同等級的網絡安全事件制定的應急預案程序與處置流程、說明應急預案啟動的條件、發(fā)生安全事件后要采取的信息報送工作流程、后期恢復措施等。</p><p>　　材料8：

8、網約車互聯(lián)網平臺網絡安全防護相關報告</p><p>　　網約車互聯(lián)網平臺應按照《通信網絡安全防護管理辦法》（工信部令11號）、《電信網和互聯(lián)網安全等級保護實施指南》等通信行業(yè)網絡安全防護相關法規(guī)和標準要求，開展網絡安全防護工作，落實防護措施，及時消除安全隱患，保障網絡與系統(tǒng)安全，主要包括網絡與系統(tǒng)定級備案、網絡安全符合性評測和風險評估。并向通信主管部門提交定級備案報告、符合性評測報告、風險評估及整改報告。<

9、;/p><p>　　網約車互聯(lián)網平臺網絡安全定級備案可在省級通信主管部門指導下采取自主定級方式，網絡安全符合性評測報告、風險及整改評估報告可由具備網絡安全評估等相應安全服務能力的第三方安全檢測機構提供或者企業(yè)自行開展。報告的具體內容有：</p><p>　　8.1網絡安全定級報告內容</p><p>　　1.根據(jù)《電信網和互聯(lián)網安全等級保護實施指南（YD/T 1729-

10、2008）》關于通信行業(yè)網絡安全防護相關標準要求，對網約車互聯(lián)網平臺進行安全等級劃分等活動的概述?？傮w原則是：按照定級對象受到破壞后對國家安全、社會秩序、經濟運行、公共利益以及網絡和企業(yè)合法權益的損害程度，進行安全等級劃分。</p><p>　　2.對網絡與系統(tǒng)（定級對象）信息的詳細描述，包括：</p><p>　?。?）企業(yè)特征、業(yè)務范圍、安全管理基本情況以及其他基本情況；</p&

11、gt;<p>　?。?）安全技術情況，包括網絡與系統(tǒng)所在的物理環(huán)境、網絡拓撲結構、網絡關鍵設備（包括服務器、安全設備、應用系統(tǒng)等）情況、服務范圍、網絡處理和傳送的信息資產、服務范圍和用戶類型等信息，網絡邊界。</p><p>　　3.說明網絡安全等級定級理由、要素以及安全等級確定結果等。</p><p>　　8.2網絡安全符合性評測報告</p><p>

12、;　　1.評估任務及標準概述，其中評估標準包括：</p><p>　?。?）《電信網和互聯(lián)網安全防護管理指南（YD/T 1728-2008）》</p><p>　?。?）《電信網和互聯(lián)網信息服務業(yè)務系統(tǒng)安全防護要求（YD/T 2243-2016）》</p><p>　　（3）《電信網和互聯(lián)網信息服務業(yè)務系統(tǒng)安全防護檢測要求（YD/T 2244-2011）》</

13、p><p>　　（4）《電信網和互聯(lián)網管理安全等級保護要求（YD/T 1756-2008）》</p><p>　?。?）《電信網和互聯(lián)網管理安全等級保護檢測要求（YD/T 1757-2008）》</p><p>　?。?）《電信網和互聯(lián)網安全防護基線配置要求 網絡設備（YD/T 2698-2014）》</p><p>　?。?）《電信網和互聯(lián)網

14、安全防護基線配置要求 安全設備（YD/T 2699-2014）》</p><p>　?。?）《電信網和互聯(lián)網安全防護基線配置要求 數(shù)據(jù)庫（YD/T 2700-2014）》</p><p>　?。?）《電信網和互聯(lián)網安全防護基線配置要求 操作系統(tǒng)（YD/T 2701-2014）》</p><p>　?。?0）《電信網和互聯(lián)網安全防護基線配置要求 中間件（YD/

15、T 2702-2014）》等電信網和互聯(lián)網安全防護系列標準。</p><p>　?。?1）《電信網和互聯(lián)網安全防護基線配置要求 WEB應用系統(tǒng)（YD/T 2703-2014）》</p><p>　?。?2）《第三方安全服務能力評定準則（YD/T 2669-2013）》</p><p>　　2.符合性評測活動采取的技術措施，如采用訪談、檢查、儀表測試、人工測試等方式

16、，對受測網絡單元的安全狀況以及相關設備、系統(tǒng)潛在的安全隱患進行技術檢測。</p><p>　　3.技術檢測應包括系統(tǒng)安全加固、網絡拓撲、冗余與災難備份、網絡及設備安全策略、設備漏洞、口令安全、介質管理、日志與安全審計等方面。技術檢測對象應包括：</p><p>　?。?）生產主機：檢查生產運行主機的操作系統(tǒng)、數(shù)據(jù)庫、中間件以及第三方軟件，包括賬號安全、口令安全、授權安全、Web安全、補丁安

17、全、客戶信息安全、開放端口安全、安全配置、日志與審計等；</p><p>　?。?）網絡設備：檢查交換機、防火墻等網絡設備，包括賬號安全、口令安全、授權安全、Web安全、補丁安全、IP協(xié)議安全等；</p><p>　?。?）安全防護設備：檢查IPS、IDS、web應用防火墻、防dos設備等安全防護設備，包括賬號安全、口令安全、授權安全、補丁安全、開放端口安全、Web安全、防護策略配置、告警

18、配置、攻擊防護、IP協(xié)議、日志與審計等；</p><p>　　（4）其他：檢查與約車主要平臺相連的輔助系統(tǒng)的安全性，包括賬號安全、口令安全、授權安全、補丁安全、客戶信息安全、Web安全、開放端口安全、安全配置、日志與審計等。</p><p>　　4.符合性評測結果，包括符合性評測得分、達標率、不達標項說明，系統(tǒng)的整體安全性是否達到標準要求。</p><p>　　8.

19、3風險評估及整改報告</p><p>　　1.風險評估過程的描述，包括：采用的技術評估手段，如工具掃描、遠程儀表測試、人工測試等方式；技術評估內容，如漏洞掃描、網絡安全性檢測、主機安全性檢測、應用安全性檢測、管理安全性檢測和滲透性測試等。</p><p>　　2.風險評估分析結果說明，例如被檢測網絡與系統(tǒng)的安全隱患類型、漏洞數(shù)量和級別、可導致的后果，并附截圖證據(jù)。</p>&

20、lt;p>　　3.總結被檢網絡與系統(tǒng)存在的主要問題，以及針對檢測發(fā)現(xiàn)的具體問題進行整改的情況。</p><p>　　材料9：網約車移動應用程序（APP）安全保障能力報告</p><p>　　報告需由具備網絡安全評估等相應安全服務能力的第三方安全檢測機構出具。根據(jù)《電信和互聯(lián)網用戶個人信息保護規(guī)定》（工信部令24號）及移動應用程序（APP）網絡安全相關標準要求，重點證明網約車移動應用程

21、序（APP）中不含惡意代碼、在收集用戶信息或調用系統(tǒng)權限時已告知并取得用戶同意等。對于網約車移動應用程序（APP）后臺系統(tǒng)，與網約車互聯(lián)網平臺的要求相同，應提供相應的網絡與系統(tǒng)定級備案、網絡安全符合性評測、風險評估及整改報告。</p><p>　　網約車相關移動應用程序（APP）安全保障能力報告內容應包括：</p><p>　　1.被測網約車相關移動應用程序（APP）列表，并提供應用軟件運

22、營者、主要功能、后臺服務器及所在機房等信息。</p><p>　　2.安全檢測的主要方法、測試人員組成、測試案例和測試結論等。經檢測，應證明移動應用程序（APP）不含有《移動互聯(lián)網惡意程序描述格式》等標準中所稱惡意程序、符合“未經明示且經用戶同意，不得實施收集使用用戶個人信息等侵害用戶合法權益或危害網絡安全的行為?！钡鹊囊?guī)定。</p><p>　　3.報告應證明企業(yè)是否采取措施留存其所提供

23、的應用軟件、有關版本、上線時間、功能簡介、用途、MD5等校驗值、服務器接入等信息以備追溯檢測，相關信息的留存時間應不短于60日。</p><p>　　材料10：網絡數(shù)據(jù)安全和用戶信息保護自證報告</p><p>　　根據(jù)《網絡安全法》、《電信和互聯(lián)網用戶個人信息保護規(guī)定》（工信部令24號）、《電信和互聯(lián)網用戶個人電子信息保護通用技術要求和管理要求（YD/T 2692-2014）》等相關法律

24、法規(guī)和標準要求，企業(yè)應采取適當措施，確保網絡數(shù)據(jù)和用戶個人信息安全。報告內容應至少包括以下內容：</p><p>　　1.數(shù)據(jù)分級分類管理措施情況。重點包括數(shù)據(jù)分級分類管理制度建設和落實情況，重要數(shù)據(jù)和用戶個人信息的分級分類方法。</p><p>　　2.數(shù)據(jù)收集環(huán)節(jié)安全情況。重點包括收集用戶個人信息是否符合相關法律法規(guī)和相關標準規(guī)定；采集用戶數(shù)據(jù)前履行告知義務的情況，采集前獲得用戶同意的

25、情況；</p><p>　　3.數(shù)據(jù)傳輸存儲環(huán)節(jié)安全情況。重點包括重要網絡數(shù)據(jù)和敏感用戶個人信息加密傳輸、存儲情況；數(shù)據(jù)訪問控制權限管理和審計情況；數(shù)據(jù)容災備份情況。證明在我國境內運營中產生的用戶個人信息和重要數(shù)據(jù)存儲在境內，同時具備數(shù)據(jù)防篡改、防泄露、防竊取等能力。</p><p>　　4.數(shù)據(jù)使用共享環(huán)節(jié)安全管理情況。重點包括使用、共享用戶個人信息是否符合相關法律法規(guī)和相關標準規(guī)定；數(shù)

26、據(jù)處理外包服務安全管理情況；與企業(yè)內部涉及重要數(shù)據(jù)、用戶個人信息處理的工作人員簽訂保密協(xié)議或責任書的情況等。</p><p>　　5.數(shù)據(jù)跨境傳輸安全管理情況。企業(yè)跨境傳輸數(shù)據(jù)是否符合《網絡安全法》規(guī)定。</p><p><b>　　材料11：承諾書</b></p><p><b>　　**通信管理局：</b></p

27、><p><b>　　我公司承諾：</b></p><p>　　1.保證提交的全部資料真實有效，復印件與原件相符。如線上服務能力出現(xiàn)重大變更，將及時書面告知通信主管部門并更新相關材料。</p><p>　　2.保證資金、技術人員、各項軟硬件設施、公司制度能夠滿足線上服務能力需求。保證服務質量滿足監(jiān)管要求及客戶需求。</p><p

28、>　　3.嚴格遵守《電信和互聯(lián)網用戶個人信息保護規(guī)定》（工業(yè)和信息化部第24號令）、《互聯(lián)網信息服務管理辦法》（國務院第292號令）及其他通信行業(yè)監(jiān)管法律、法規(guī)和政策，合法從事經營活動。</p><p>　　4.接受各級通信主管部門的行業(yè)管理和監(jiān)督檢查，及時按要求報送相關材料。</p><p>　　5.根據(jù)電信業(yè)務市場監(jiān)測需要，按照要求向通信主管部門報送相應的監(jiān)測信息。</p&

29、gt;<p>　　6.保證網絡安全與信息、數(shù)據(jù)安全。保證線上服務業(yè)務符合國家信息安全的要求；嚴格執(zhí)行國家安全管理部門和通信主管部門的安全保密管理規(guī)定；嚴格履行國家要求的網絡與信息安全責任。具體包括： </p><p>　?。?）按照通信行業(yè)管理部門要求，配備相應數(shù)量的專職網絡與信息安全管理人員，成立相應的網絡與信息安全管理機構,建立健全網絡與信息安全保障制度，制定應急處置預案，并定期將相關

30、業(yè)務開展情況和網絡與信息安全責任落實情況向業(yè)務開展地通信行業(yè)管理部門報備。 （2）按照相關法律法規(guī)及通信行業(yè)管理部門要求建立違法違規(guī)信息發(fā)現(xiàn)和過濾技術手段，能對違法違規(guī)信息進行隔離、過濾處置。嚴格落實違法違規(guī)信息發(fā)現(xiàn)處置機制，阻斷違法違規(guī)信息發(fā)布，對于已發(fā)布的違法違規(guī)信息應當立即停止傳輸，保存有關記錄，并向有關主管部門報告。 （3）嚴格落實重大信息安全事件應急處置和報告制度，對于涉及業(yè)務相關數(shù)據(jù)安全、涉及國家網絡信息安全

31、的重大事件進行緊急處置，并上報主管部門。 （4）定期開展信息安全相關法律法規(guī)及安全政策文件、配合政府監(jiān)管機制、信息安全保障制度等方面培訓，培養(yǎng)員工信息安全意識，提高員工信息安全工作能力。 （5）網約車平臺日志記錄、留存技術措施滿足《網絡安全法》、《互聯(lián)網信息服務管理辦法》等法律法規(guī)有關要求。</p><p>　?。?）按照《互聯(lián)網新技術新業(yè)務安全評估指南》（YD/T3169-2016）等通信行業(yè)標

32、準,建立互聯(lián)網新技術新業(yè)務安全評估制度，在新技術、業(yè)務或應用上線（含合作推廣、試點、商用等）時，在基礎資源配置、技術實現(xiàn)方式、業(yè)務功能或用戶規(guī)模等方面發(fā)生較大變化時，開展網絡信息安全評估，積極防范網絡信息安全風險，并在安全評估完成30日內向通信主管部門提交書面評估報告。 （7）按照《通信網絡安全防護管理辦法》（工信部令第11號）等有關要求，制定網絡安全防護管理制度，落實網絡安全“三同步”、定級備案、符合性評測和風險評估等要求。&

33、lt;/p><p>　?。?）按照國家用戶信息保護有關法律法規(guī)和《電信和互聯(lián)網用戶個人信息保護規(guī)定》（工信部令第24號）等要求，開展網絡數(shù)據(jù)和用戶信息保護工作，防范重要數(shù)據(jù)和敏感用戶信息泄露。 （9）制定并落實網絡安全事件應急預案和網絡安全事件應急處置報告制度，明確網絡安全事件應急處置機制、網絡安全事件上報和網絡安全應急演練等要求。發(fā)生重大網絡安全事件時，于第一時間向通信主管部門報告，并根據(jù)通信主管部門要求采

34、取應急處置措施。 （10）當網絡安全應急聯(lián)系人發(fā)生變動時，在兩個工作日內主動向通信主管部門報備。</p><p>　　本企業(yè)網絡與信息安全應急聯(lián)系人及聯(lián)系方式：</p><p>　　以上承諾如有違反，愿接受通信行業(yè)管理部門的依法處罰。</p><p>　　法定代表人簽字： </p><p><b>