贵州省通信管理局关于网络预约出租汽车线上服务能力认定工作实施方案
首页 新闻中心 本局概况 政策法规 行政许可 行业统计 通信建设 服务监督 政府信息公开 党建工作 政民互动
当前位置:首页 » 行政许可
贵州省通信管理局关于网络预约出租汽车线上服务能力认定工作实施方案
   
打印本页 | 关闭窗口 发布时间:2017年02月09日 【字体:
   

    根据工信部《关于规范通信主管部门网络预约出租汽车线上服务能力审核工作的通知》(工信厅信管函〔2016821 号),为优化服务,配合做好我省网络预约出租汽车经营者能力认定工作,特制定我局实施方案如下:

    一、工作流程

    根据《贵州省网络预约出租汽车经营线上服务能力认定办理流程(初稿)》,省交通运营部门转来网络预约出租汽车认定材料由信息通信管理处统一接收及反馈。涉及业务审查的由管理处负责审核,涉及网络信息安全的由网安处负责审核,管理处将意见汇总后,报分管局领导签字并加盖单位公章反馈省交通运输部门。

    二、工作时限

    按照 6 部委《关于网络预约出租汽车经营者申请线上服务能力认定工作流程的通知》(交办运〔2016143 号)要求,省级通信部门应在 10 日内向同级交通运输主管部门反馈审核意见。信息通信管理处业务审查在 3 日内完毕,网络安全处网络安全部分在 7 日内审查完毕,并提出相应的审核意见,分管局领导签字确认后,2 日内反馈交通运输部门。

    三、责任分工

    根据工信部《关于规范通信主管部门网络预约出租汽车线上服务能力审核工作的通知》(工信厅信管函〔2016821 号)要求,通信部门应采取材料审核结合现场抽访的形式审核以下11 项证明材料(审核要点详见附件):

    材料 1.公司基本信息;

    材料 2.技术部门及人员信息;

    材料 3.服务器、网络设备设备清单;

    材料 4.线上服务功能说明;

    材料 5.平台软硬件及数据库说明;

    材料 6.网络约车企业网络安全定级备案信息;

    材料 7.企业网络安全管理制度建立情况相关材料;

    材料 8.网约车互联网平台网络安全防护相关报告;

    材料 9.网约车相关移动应用程序(APP)安全保障能力报告;

    材料 10.网络数据安全和用户信息保护自证报告;

    材料 11.承诺书。按照工信部《通信主管部门网络预约出租汽车线上服务能力认定申请材料审核要点》,信息通信管理处负责材料 1 2311 的审查,网络信息安全处负责材料 45678910 的审查。

 

 附件:

通信主管部门网络预约出租汽车线上服务能力认定申请材料

 

 

 

 

 

 

 

 

 

 

 

整体要求:填写完整,不留空白栏;字迹工整,清晰可辨,并在提交申请时留下申请负责人的联系方式

 

 

 

法人代表签字:                               

申报单位:全称,与营业执照保持一致(盖章)  

申报日期: 20           

材料1:公司基本信息

公司名称

 

企业法人营业执照

注 册 号

 

注册地址

 

法定代表人姓名

 

身份证号

 

通信地址

 

技术负责人姓名

 

技术负责人手机

 

技术负责人固话(区号-电话号码)

 

技术负责人电子邮箱

 

联系人姓名

 

联系人手机

 

联系人固话(区号-电话号码)

 

联系人电子邮箱

 

公司主营业务介绍

 

填表说明

1、技术负责人、联系人的联系方式应真实有效。

附件:公司企业法人营业执照副本、法定代表人身份证原件正反面复印件;

 

材料2:技术部门及人员信息

技术部门名称及职责

(可填多个)

 

公司技术及安全负责人名单

(至少应包括专人专岗的技术负责人、网络及信息安全负责人)

序 号

姓名

身份证号码

职务

学历

联系电话

职称/资质证明

 

 

 

 

 

 

 

 

 

 

 

 

 

 

公司主要技术人员名单

序 号

姓名

身份证号码

职务

专业

学历

联系电话

职称/资质证明

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                       

填表说明

1、技术及安全负责人应不少于2人,至少应包括专人专岗的技术负责人、网络及信息安全负责人;

2、人员姓名、身份证号应与有效期内的身份证信息完全一致,且其职务和联系电话真实有效。

附件:技术负责人、网络与信息安全负责人、主要技术人员身份证正反面复印件,技术能力证明材料,正式劳动合同复印件,公司近期为员工所上的社保证明(至少三个月,应加盖社保机构红章);

材料3:服务器、网络设备设备清单

设备类型

设备型号

数量

制造商

主要性能指标

采购或租赁协议号

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

附件:服务器、网络设备等设施的采购或租赁协议复印件。

材料4:线上服务功能说明

平台线上服务简介

业务内容描述、服务范围、目标用户、收费模式等

 

平台功能介绍

 

平台信息内容

信息种类、内容;数据的存储、传输、使用、加密方式说明;信息保护制度设计说明

监管数据接口功能说明

 

接入服务商及接入地

 

服务器放置地

 

IP地址(连续IP地址用“-”链接;多个IP地址用“;”隔开)

 

填表说明

1、服务器放置、接入地址精确到机房。

2、公网IP地址段要写全

附件:服务器托管协议或互联网接入协议复印件。

附件:托管方或接入商经营资质证明材料复印件。

附件:配合依法查询、调取相关数据信息的功能设计、工作制度和责任机构、责任人以及联系方式等材料说明

材料5:平台软硬件及数据库说明(可另附页)

平台软硬件说明

 

1.服务平台的软件构成,含软件类型、数量、生产商等。

2.平台架构及网络拓扑(含文字说明),对外服务链路带宽。

3.平台响应速度、最大并发数等性能指标。

 

 

数据库情况说明

 

 

 

数据库结构(含数据结构、I/O等)以及数据库容量、存储参数等性能指标。

 

材料6.网络约车企业网络安全定级备案信息表

6.1-企业基本信息表

企业名称

 

网络安全

负责人

   

 

职务/职称

 

办公电话

 

电子邮件

 

移动电话

 

网络安全应急

联系人

   

 

职务/职称

 

办公电话

 

电子邮件

 

移动电话

 

   

 

职务/职称

 

办公电话

 

电子邮件

 

移动电话

 

网络安全防护定级备案总体情况

网络与系统单元列表

(注:每个网络与系统单元需单独填写“2-网络与系统单元定级备案信息表”)

网络与系统单元1

 

网络与系统单元2

 

网络与系统单元3

 

……

 

             

 

6.2-网络与系统单元定级备案信息表

系统名称

 

主要功能及服务

 

服务范围

0全国  0省(自治区、直辖市)内  0跨省(自治区、直辖市) 跨     个,分别为:                                                    

自定安全等级

02  03  04 

所在机房1

 

接入地1

 

所在机房2

 

接入地2

 

……

 

主要应用软件

情况

(注:主要包括为对外提供服务开发的应用软件,包括APP等;不含office等通用应用软件)

序号

名称

研发方

当前版本

维护方式

已运行时间

1

 

自行研发

第三方研发       

 

□远程

□本地

 

2

……

 

 

 

 

网络用户信息存储处理情况

0未处理或存储信息    0处理或存储信息,(请提供存储或处理的网络用户信息的类型名称)            

公网IP地址段

 

主要协议和端口

 

接入总带宽(MB

 

所用域名

 

.cn域名相关记录

NS记录

 

A记录

 

域名注册服务机构信息

机构名称

 

联系人及办公电话

 

填表人

 

 填表日期

 

                   

 

材料7:企业网络安全管理制度建立情况相关材料

按照《网络安全法》、《通信网络安全防护管理办法》(工信部令11号)等法律法规要求,网络安全管理制度建立情况应包括企业设置网络安全专门管理机构、企业网络安全主管领导的情况、配备网络安全专门工作人员情况,以及企业建立的网络安全防护管理、安全事件应急、重大事件报告、网络安全应急预案等规章制度情况。其中,网络安全应急预案文本内容应包括:事件应急负责人及联系方式、针对不同等级的网络安全事件制定的应急预案程序与处置流程、说明应急预案启动的条件、发生安全事件后要采取的信息报送工作流程、后期恢复措施等。

 

材料8.网约车互联网平台网络安全防护相关报告

网约车互联网平台应按照《通信网络安全防护管理办法》(工信部令11号)、《电信网和互联网安全等级保护实施指南》等通信行业网络安全防护相关法规和标准要求,开展网络安全防护工作,落实防护措施,及时消除安全隐患,保障网络与系统安全,主要包括网络与系统定级备案、网络安全符合性评测和风险评估,并向通信主管部门提交定级备案报告、符合性评测报告、风险评估及整改报告。

网约车互联网平台网络安全定级备案可在省级通信主管部门指导下采取自主定级方式,网络安全符合性评测报告、风险及整改评估报告可由具备网络安全评估等相应安全服务能力的第三方安全检测机构提供或者企业自行开展。报告的具体内容有:

   8.1网络安全定级报告内容

1.根据《电信网和互联网安全等级保护实施指南(YD/T 1729-2008)》通信行业网络安全防护相关标准要求,对网约车互联网平台进行安全等级划分等活动的概述。总体原则是:按照定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和企业合法权益的损害程度,进行安全等级划分。

2.对网络与系统(定级对象)信息的详细描述,包括:

1)企业特征、业务范围、安全管理基本情况以及其他基本情况;

2)安全技术情况,包括网络与系统所在的物理环境、网络拓扑结构、网络关键设备(包括服务器、安全设备、应用系统等)情况、服务范围、网络处理和传送的信息资产、服务范围和用户类型等信息,网络边界。

3.说明网络安全等级定级理由、定级要素以及安全等级确定结果等。

   8.2网络安全符合性评测报告

1.评估任务及标准概述,其中评估标准包括:

1)《电信网和互联网安全防护管理指南(YD/T 1728-2008)》

2)《电信网和互联网信息服务业务系统安全防护要求(YD/T 2243-2016)》

3)《电信网和互联网信息服务业务系统安全防护检测要求(YD/T 2244-2011)》

4)《电信网和互联网管理安全等级保护要求(YD/T 1756-2008)》

5)《电信网和互联网管理安全等级保护检测要求(YD/T 1757-2008)》

6)《电信网和互联网安全防护基线配置要求  网络设备(YD/T 2698-2014)》

7)《电信网和互联网安全防护基线配置要求  安全设备(YD/T 2699-2014)》

8)《电信网和互联网安全防护基线配置要求  数据库(YD/T 2700-2014)》

9)《电信网和互联网安全防护基线配置要求  操作系统(YD/T 2701-2014)》

10)《电信网和互联网安全防护基线配置要求  中间件(YD/T 2702-2014)》等电信网和互联网安全防护系列标准。

11)《电信网和互联网安全防护基线配置要求  WEB应用系统(YD/T 2703-2014)》

12)《第三方安全服务能力评定准则(YD/T 2669-2013)》

2.符合性评测活动采取的技术措施,如采用访谈、检查、仪表测试、人工测试等方式,对受测网络单元的安全状况以及相关设备、系统潜在的安全隐患进行技术检测。

3.技术检测应包括系统安全加固、网络拓扑、冗余与灾难备份、网络及设备安全策略、设备漏洞、口令安全、介质管理、日志与安全审计等方面。技术检测对象应包括:

1)生产主机:检查生产运行主机的操作系统、数据库、中间件以及第三方软件,包括账号安全、口令安全、授权安全、Web安全、补丁安全、客户信息安全、开放端口安全、安全配置、日志与审计等;

2)网络设备:检查交换机、防火墙等网络设备,包括账号安全、口令安全、授权安全、Web安全、补丁安全、IP协议安全等;

3)安全防护设备:检查IPSIDSweb应用防火墙、防dos设备等安全防护设备,包括账号安全、口令安全、授权安全、补丁安全、开放端口安全、Web安全、防护策略配置、告警配置、攻击防护、IP协议、日志与审计等;

4)其他:检查与约车主要平台相连的辅助系统的安全性,包括账号安全、口令安全、授权安全、补丁安全、客户信息安全、Web安全、开放端口安全、安全配置、日志与审计等。

4.符合性评测结果,包括符合性评测得分、达标率、不达标项说明,系统的整体安全性是否达到标准要求。

   8.3风险评估及整改报告

1.风险评估过程的描述,包括:采用的技术评估手段,如工具扫描、远程仪表测试、人工测试等方式;技术评估内容,如漏洞扫描、网络安全性检测、主机安全性检测、应用安全性检测、管理安全性检测和渗透性测试等。

2.风险评估分析结果说明,例如被检测网络与系统的安全隐患类型、漏洞数量和级别、可导致的后果,并附截图证据。

3.总结被检网络与系统存在的主要问题,以及针对检测发现的具体问题进行整改的情况。

 

材料9.网约车相关移动应用程序(APP)安全保障能力报告

报告需由具备网络安全评估等相应安全服务能力的第三方安全检测机构出具。根据《电信和互联网用户个人信息保护规定》(工信部令24号)及移动应用程序(APP)网络安全相关标准要求,重点证明网约车移动应用程序(APP)中不含恶意代码、在收集用户信息或调用系统权限时已告知并取得用户同意等。对于网约车移动应用程序(APP)后台系统,与网约车互联网平台的要求相同,应提供相应的网络与系统定级备案、网络安全符合性评测、风险评估及整改报告。

网约车相关移动应用程序(APP)安全保障能力报告内容应包括:

1.被测网约车相关移动应用程序(APP)列表,并提供应用软件运营者、主要功能、后台服务器及所在机房等信息。

2.安全检测的主要方法、测试人员组成、测试案例和测试结论等。经检测,应证明移动应用程序(APP)不含有《移动互联网恶意程序描述格式》等标准中所称恶意程序、符合“未经明示且经用户同意,不得实施收集使用用户个人信息等侵害用户合法权益或危害网络安全的行为。”等的规定。

3.报告应证明企业是否采取措施留存其所提供的应用软件、有关版本、上线时间、功能简介、用途、MD5等校验值、服务器接入等信息以备追溯检测,相关信息的留存时间应不短于60日。

 

材料10.网络数据安全和用户信息保护自证报告

根据《网络安全法》、《电信和互联网用户个人信息保护规定》(工信部令24号)、《电信和互联网用户个人电子信息保护通用技术要求和管理要求(YD/T 2692-2014)》等相关法律法规和标准要求,企业应采取适当措施,确保网络数据和用户个人信息安全。报告内容应至少包括以下内容:

1、数据分级分类管理措施情况。重点包括数据分级分类管理制度建设和落实情况,重要数据和用户个人信息的分级分类方法。

2、数据收集环节安全情况。重点包括收集用户个人信息是否符合相关法律法规和相关标准规定;采集用户数据前履行告知义务的情况,采集前获得用户同意的情况;

3、数据传输存储环节安全情况。重点包括重要网络数据和敏感用户个人信息加密传输、存储情况;数据访问控制权限管理和审计情况;数据容灾备份情况。证明在我国境内运营中产生的用户个人信息和重要数据存储在境内,同时具备数据防篡改、防泄露、防窃取等能力。

4、数据使用共享环节安全管理情况。重点包括使用、共享用户个人信息是否符合相关法律法规和相关标准规定;数据处理外包服务安全管理情况;与企业内部涉及重要数据、用户个人信息处理的工作人员签订保密协议或责任书的情况等。

5、数据跨境传输安全管理情况。企业跨境传输数据是否符合《网络安全法》规定。

 

材料11:承诺书

 

**通信管理局:

我公司承诺

    一、本公司保证所提交的全部资料真实有效,附件复印件与原件相符。如材料涉及的线上服务能力出现重大变更,将及时书面告知通信主管部门。

二、保证资金、技术人员、各项软硬件设施、公司制度能够满足线上服务能力需求。保证服务质量满足监管要求及客户需求;保证网络安全与信息、数据安全。

三、严格遵守《电信和互联网用户个人信息保护规定》(工业和信息化部第24号令)、《互联网信息服务管理办法》(国务院第292号令)及其他电信监管法律、法规和政策,合法从事经营活动。

四、接受各级通信主管部门的行业管理和监督检查,及时按要求报送相关材料。

五、根据电信业务市场监测需要,按照要求向通信主管部门报送相应的监测信息。

六、保证线上服务业务符合国家信息安全的要求,严格执行国家安全管理部门和通信主管部门的安全保密管理规定。严格履行国家要求的网络与信息安全责任。包括:     

1.按照通信行业管理部门要求,配备相应数量的专职网络与信息安全管理人员,成立相应的网络与信息安全管理机构,建立健全网络与信息安全保障制度,制定应急处置预案,并定期将相关业务开展情况和网络与信息安全责任落实情况向业务开展地通信行业管理部门报备。
    2.
按照相关法律法规及通信行业管理部门要求建立违法违规信息发现和过滤技术手段,能对违法违规信息进行隔离、过滤处置。严格落实违法违规信息发现处置机制,阻断违法违规信息发布,对于已发布的违法违规信息应当立即停止传输,保存有关记录,并向有关主管部门报告。
    3.
严格落实重大信息安全事件应急处置和报告制度,对于涉及业务相关数据安全、涉及国家网络信息安全的重大事件进行紧急处置,并上报主管部门。
    4.
定期开展信息安全相关法律法规及安全政策文件、配合政府监管机制、信息安全保障制度等方面培训,培养员工信息安全意识,提高员工信息安全工作能力。
    5.
网约车平台日志记录、留存技术措施满足《网络安全法》、《互联网信息服务管理办法》等法律法规有关要求。

6.按照《互联网新技术新业务安全评估指南》(TD/T3169-2016)等通信行业标准,建立互联网新技术新业务安全评估制度,在新技术、业务或应用上线(含合作推广、试点、商用等)时,在基础资源配置、技术实现方式、业务功能或用户规模等方面发生较大变化时,开展网络信息安全评估,积极防范网络信息安全风险,并在安全评估完成30日内向通信主管部门提交书面评估报告。
    7.
按照《通信网络安全防护管理办法》(工信部令第11号)等有关要求,制定网络安全防护管理制度,落实网络安全“三同步”、定级备案、符合性评测和风险评估等要求。

8.按照国家用户信息保护有关法律法规和《电信和互联网用户个人信息保护规定》(工信部令第24号)等要求,开展网络数据和用户信息保护工作,防范重要数据和敏感用户信息泄露。
    9.
制定并落实网络安全事件应急预案和网络安全事件应急处置报告制度,明确网络安全事件应急处置机制、网络安全事件上报和网络安全应急演练等要求。发生重大网络安全事件时,于第一时间向通信主管部门报告,并根据通信主管部门要求采取应急处置措施。
    10.
本企业网络与信息安全应急联系人及联系方式:

                                            

当应急联系人发生变动时,在两个工作日内主动向申请机关报备。

 

以上承诺如有违反,愿接受通信行业管理部门的依法处罚。

 

法定代表人签字:            

                                               公章:

                     二〇           

 

 

 

其他材料:通信主管部门要求提交的其他材料

 

 

本篇文章共有1页 当前为第1
上一篇:贵州省增值电信业务许可证企业名单(截止2017年3月16日)
下一篇:贵州省通信管理局关于开展2016年度增值电信业务经营许可证年检工作的通知
相关信息
· 贵州省通信管理局召开传达学习省十二次党代会精神暨2017年全面从严治党工作会 2017-04-27
· 国家计算机网络应急技术处理协调中心贵州分中心2017年招聘工作人员面试公告 2017-04-25
· 警惕不法分子冒充贵州省通信管理局工作人员实施电话诈骗 2017-04-17
· 贵州省通信行业2017年第一季度通信用户申诉情况报告 2017-04-11
· 贵州省通信管理局关于收回96188等3个电信网短号码的公示 2017-04-05
· 2017年贵州省信息通信业工作会在贵阳召开 2017-04-05
· 贵州省通信管理局关于收回96519等3个电信网短号码的公示 2017-04-03
版权所有:贵州省通信管理局  技术支持:贵州博虹科技
联系地址:贵阳市宝山北路39号 邮政编码:550001
黔ICP备05000001号