中央人民政府
豫交文〔2022〕176号
关于印发《河南省网络预约出租汽车经营者线上服务能力认定工作指引》的通知
各省辖市、济源示范区交通运输局、航空港区交通运输主管部门,各省辖市通信发展管理办公室,各省辖市公安局、济源示范区公安局,国家税务总局各省辖市税务局、国家税务总局郑州航空港经济综合实验区、济源产城融合示范区税务局,各省辖市委网信办、济源示范区党工委网信办,中国人民银行各市中心支行、郑州辖区各支行:
为进一步规范我省网约车经营者线上服务能力认定工作,省交通运输厅联合省通信管理局、省公安厅、国家税务总局河南省税务局、省委网信办、中国人民银行郑州中心支行编制了《河南省网络预约出租汽车经营者线上服务能力认定工作指引》,现印发给你们,请认真做好相关工作。
2022年12月30日
河南省交通运输厅
中共河南省委网络安全和信息化委员会办公室
二0二二年十二月
目 录
一、概述............................................................................................ 2
(一)相关概念.......................................................................... 2
(二)申请条件.......................................................................... 2
(三)申请流程.......................................................................... 2
二、申请材料要求............................................................................ 3
(一)申请材料内容及获取途径.............................................. 3
(二)申请材料汇总要求.......................................................... 9
三、申请材料提交及审核.............................................................. 10
(一)申请及受理.................................................................... 10
(二)材料上报及转送............................................................ 10
(三)省级审核........................................................................ 11
(四)意见汇总与材料补充.................................................... 11
四、结果反馈.................................................................................. 12
附件:.............................................................................................. 12
规范发展网络预约出租汽车(简称“网约车”)对于推进出租汽车行业健康稳定发展和满足群众日益增长的多样化的出行需求都具有重要意义。
为进一步规范我省网约车经营者线上服务能力认定工作,优化服务、规范操作,方便网约车经营者,根据《网络预约出租汽车经营服务管理暂行办法》(交通运输部等六部委令2019年第46号)、《关于网络预约出租汽车经营者申请线上服务能力认定工作流程的通知》(交办运〔2016〕143号)和《关于印发<网络预约出租汽车监管信息交互平台总体技术要求(暂行)>的通知》(交办运〔2016〕180号)有关要求,在全面总结前期认定工作的基础上,省交通运输厅联合省通信管理局、省公安厅、国家税务总局河南省税务局、省委网信办、人民银行郑州中心支行组织编制了《河南省网络预约出租汽车经营者线上服务能力认定工作指引》(以下简称《工作指引》)。
本《工作指引》旨在为网约车经营者申请线上服务能力认定提供全过程指导和相关流程说明。
网络预约出租汽车经营者:构建网络服务平台,从事网络预约出租汽车经营服务的企业法人。
网络预约出租汽车经营服务:以互联网技术为依托构建服务平台,整合供需信息,使用符合条件的车辆和驾驶员,提供非巡游的预约出租汽车服务的经营活动。
网络预约出租汽车经营者线上服务能力认定:由网约车平台公司注册地省级交通运输部门商同级通信、公安、税务、网信、人民银行等部门对网络预约出租汽车经营者从事网络预约出租汽车经营服务的线上服务能力进行审核和认定,通过能力认定的,视为具备相关线上服务能力。
(二)申请条件
1.企业注册地在河南省内;
2.具备企业法人资格;
3.首次从事网络预约出租汽车经营。
申请人向企业注册地相应交通运输主管部门提出申请并提交相关材料,企业注册地相应交通运输主管部门将材料逐级报送至省级交通运输主管部门;省级交通运输主管部门将需同级通信、公安、税务、人民银行、网信等部门审核的材料,转送至其审核,对自身审核的事项进行审核;审核完成后,由省级交通运输部门出具最终认定结果(详细流程见附件1)。
(一)申请材料内容及获取途径
申请线上能力认定材料共7大类、14小项。
1.具备互联网平台和信息数据交互处理能力的证明材料。
材料1:技术研发和维护部门架构及人员证明材料。包括身份证明、技术能力证明及工作合同等材料;拟从事网约车业务的服务器及网络设备的采购或者租赁协议,服务器托管协议或互联网接入协议;平台软硬件及最大处理能力、数据库最大存储能力等情况说明。
审核部门:省通信管理局。
标准要求:按照《通信主管部门线上服务能力认定材料说明》(附件2)要求填写。
获取途径:申请人自备。
材料2:面向乘客和驾驶员移动互联网应用程序(APP)的信息内容和服务功能。
审核部门:省交通运输厅、省通信管理局。
标准要求:按照《交通运输主管部门线上服务能力认定材料说明》(附件3)和《通信主管部门线上服务能力认定材料说明》(附件2)要求填写。
获取途径:涉及通信部门的审核内容,申请人需提前向省通信管理局申请开展功能检测,其他部分申请人自备。
2.具备供相关监管部门依法调取查询相关网络数据信息条件的证明材料。
材料3:配合依法查询、调取相关数据信息的功能设计、工作制度和责任机构、责任人以及联系方式等。
审核部门:省交通运输厅、省通信管理局、省公安厅、国家税务总局河南省税务局。
标准要求:按照《交通运输主管部门线上服务能力认定材料说明》(附件3)、《通信主管部门线上服务能力认定材料说明》(附件2)、《公安机关线上服务能力认定材料说明》(附件4)和《税务部门线上能力认定材料说明》(附件5)要求填写。
获取途径:申请人自备。
3.数据库接入情况。
材料4:由国务院交通运输主管部门出具的数据库具备接入交通运输部网约车监管信息交互平台条件的情况说明。服务范围仅为本地区域的,可提供由服务所在地交通运输主管部门出具的具备数据库接入当地监管平台条件的情况说明。
审核部门:省交通运输厅。
标准要求:按照《交通运输主管部门线上服务能力认定材料说明》(附件3)要求填写。
获取途径:申请人需提前向交通部门申请开展数据库接入监管平台测试,按照《总体技术要求》相关内容做好数据库对接技术准备工作,具备接入条件后,填写《网约车监管信息交互平台数据库接入联系函》(附件6)、《企业基本信息表》(附件7)、《网约车平台数据库接入准备情况表》(附件8)提交企业注册地交通运输主管部门并上报交通运输部,同时抄报省级交通运输主管部门。
对申请服务区域为某个城市的平台,应联系服务所在地交通运输主管部门,获得服务所在地交通运输主管部门出具的《具备数据库接入当地监管平台条件的情况说明》。若当地不具备数据库接入能力,仍需接入交通运输部“网络预约出租汽车监管信息交互平台”。
测试联系电话:中国交通通信信息中心010-6529946、18611580029、737868199@qq.com。
上报联系电话:交通运输部运输服务司010-65293718,传真010-65292764,电子邮箱taxi@mot.gov.cn。
4.服务器设置在中国内地的情况说明。
材料5:网络应用、数据等所有服务器机房地址、接入地址、IP地址、用途分工等情况说明。
审核部门:省通信管理局、省公安厅。
标准要求:按照《通信主管部门线上服务能力认定材料说明》(附件2)、《公安机关线上服务能力认定材料说明》(附件4)要求填写。
获取途径:申请人自备。
5.网络安全管理制度和安全保护技术措施文本。
材料6:网络安全等级保护定级报告、专家评审意见、备案证明及测评报告。
审核部门:省公安厅。
标准要求:按照《公安机关线上服务能力认定材料说明》(附件4)要求填写。
获取途径:根据《网络安全等级保护定级指南》确定的保护等级等情况,该材料由平台运营服务企业出具和提供。专家评审意见,依照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》相关要求,由网约车运营商企业组织专家对相关网络保护等级进行评审并出具评审意见。地市级以上公安机关出具《信息系统安全等级保护备案表》、《信息系统安全等级保护备案证明》。网络安全等级测评与检测评估机构出具《网络安全等级保护测评报告》。
材料7:网络安全防护水平、网络与系统定级备案、网络安全符合性测评、风险评估及整改报告、网络数据安全和用户信息保护自证报告满足通信行业网络安全管理相关要求的证明材料。
审核部门:省通信管理局。
标准要求:按照《通信主管部门线上服务能力认定材料说明》(附件2)要求填写。
获取途径:申请人自备。
材料8:具有完备的用户真实身份认证管理制度、措施,个人隐私数据保护措施和数据跨境流动情况说明。
审核部门:省公安厅。
标准要求:按照《公安机关线上服务能力认定材料说明》(附件4)要求填写。
获取途径:申请人自备。
材料9:网络服务平台后台的用户信息、日志记录、留存技术措施,有害信息屏蔽、过滤等安全防范技术措施的说明材料。
审核部门:省通信管理局、省公安厅。
标准要求:按照《通信主管部门线上服务能力认定材料说明》(附件2)、《公安机关线上服务能力认定材料说明》(附件4)要求填写。
获取途径:申请人自备。
材料10:为依法防范、调查恐怖活动提供技术接口的说明材料。
审核部门:省公安厅。
标准要求:按照《公安机关线上服务能力认定材料说明》(附件4)要求填写。
获取途径:申请人提前配合公安机关网安部门开展技术接口建设,已配合公安机关网安部门开展技术接口建设的服务平台,由服务平台运营管理主体所在地公安机关网安部门出具相应证明材料;未开展技术接口建设的服务平台,出具与服务平台运营管理主体所在地公安机关网安部门,配合开展技术接口建设的承诺书和保密协议。
材料11:网络与信息安全保障制度文本、互联网新技术新业务安全评估制度文本、应急处置预案文本,企业保证服务质量、信息和数据安全的承诺书。
审核部门:省通信管理局、省公安厅。
标准要求:按照《通信主管部门线上服务能力认定材料说明》(附件2)、《公安机关线上服务能力认定材料说明》(附件4)要求填写。
获取途径:申请人自备。
材料12:网上内容处置能力证明材料,网约车平台是否具备信息发布、评论跟帖、动员能力的群组等功能的情况说明。企业保证不应用网约车平台发布有害信息,不为企业和个人及其他团体组织发布有害信息提供便利的承诺书。
审核部门:省公安厅、省委网信办。
标准要求:按照《公安机关线上服务能力认定材料说明》(附件4)、《网信主管部门线上服务能力认定材料说明》(附件9)要求填写。
获取途径:申请人自备。
6.提供支付结算服务的银行或者非银行支付机构签订的协议范本。
材料13:企业与银行或非银行支付机构合作业务模式的详细描述。包括企业与银行或非银行支付机构签订的协议文本、企业是否设立资金池、是否为用户开立支付账户等情况的说明。
审核部门:中国人民银行郑州中心支行。
标准要求:按照《人民银行线上服务能力认定材料说明》(附件10)要求填写。
获取途径:申请人自备。
7.其他材料。
材料14:《管理办法》中规定的网络预约出租汽车经营申请表、企业法人营业执照和经营管理制度、安全生产管理制度文本。
审核部门:无需各省级部门审核,供各部门查阅,了解掌握申请单位基本情况。
标准要求:按照《其他线上服务能力认定材料说明》要求填写(附件11)。
获取途径:申请人自备。
1.申请线上能力认定材料7大项,含14小项。申请人需按照1-14项材料的顺序,逐项填写资料编辑成册,申请人认为需另附的“有关材料”可附在最后。
2.各资料目录和正文序号按“一、二……”分层次,需再进一步分层次的序号按“(一)、(二)……”、“1.2.3……”、“(1)(2)……”、“①②……”等逐层分层;需制作封面,编写目录及页码,材料封面需要注明材料名称、申请单位、申请日期,目录与页码对应,方便审阅;申请资料应结构清晰、条理清楚、简洁明确。
3.申请资料应成套提供纸质版一式6份,封面须加盖申请人公章。
1.申请人根据经营区域向企业注册地交通运输主管部门提出申请并提交相关材料。
2.企业注册地交通运输主管部门根据申请人准备工作完成情况、申请材料形式要件齐备程度等,决定是否受理申请;正式受理申请的,向申请人出具受理通知书(附件12)。
3.企业注册地交通运输主管部门在线上服务能力认定办理期间,应及时了解工作进度,对认定时间需要延长的,应当及时通知申请人并告知理由。
1.符合申请条件且证明材料齐全的,企业注册地交通运输主管部门于2个工作日内,提交《申请从事网约车经营线上服务能力证明材料报送函》(附件13)及相关材料至省级交通运输主管部门。
2.省级交通运输主管部门接到申请证明材料后,填写《申请从事网约车经营线上服务能力证明材料转送函》(附件14),并于2个工作日内,将涉及通信、公安、税务、人民银行、网信等部门审核的材料转送至上述部门。转送材料按邮寄、快递等方式送达,并且逐步探索网上办理、联合办公等多种形式提高工作效率。
省级交通运输、通信、公安、税务、网信、人民银行等部门按照各自职责,分别审核以下材料:
1.省交通运输厅负责审核材料2、材料3、材料4;
2.省通信管理局负责审核材料1、材料2、材料3、材料5、材料7、材料9、材料11;
3.省公安厅负责审核材料3、材料5、材料6、材料8、材料9、材料10、材料11、材料12;
4.国家税务总局河南省税务局负责审核材料3;
5.省委网信办负责审核材料12;
6.中国人民银行郑州中心支行负责审核材料13。
负责网约车线上服务能力认定申请受理、办理的各级各部门应当遵守网约车相关法律法规规定,做好有关咨询解答、服务和审核等工作,并遵守依法行政和党风廉政建设有关要求。河南省网约车线上服务能力认定省级各部门联系方式见附件15。网约车平台公司线上服务能力认定工作的相关政策和条件发生变化时,各单位应根据工作职责及时向社会公布。
1.省级通信、税务、公安、网信、人民银行等部门应当在10个工作日内完成材料审核,并填写《申请从事网约车经营线上服务能力审核意见反馈函》(附件16),向省级交通运输主管部门反馈审核意见。省级交通运输主管部门也应当在10个工作日内完成相关材料审核。
2.各相关部门认为申请证明材料不充分的,可直接联系申请人补充。因申请人补充材料造成的时间延误,不计算在相应部门审核材料的时间要求内。
3.因企业注册地和服务器所在地不属同一省份等情况,各部门内部对线上服务能力审核工作需跨省份协同配合的,按各部门要求办理,相关认定时间可以延长10日,受理申请的交通运输主管部门应当及时通知申请人并告知理由。
省级交通运输主管部门自企业注册地交通运输主管部门受理从事网约车经营申请之日(以企业注册地交通运输主管部门向网络预约出租汽车经营者出具受理通知书的日期为准)起18个工作日内,出具网络预约出租汽车经营者线上服务能力认定结果。对各相关部门均反馈通过审核意见的,出具《申请从事网约车经营具备线上服务能力的认定结果》(附件17),对审核不通过的出具《申请从事网约车经营不具备线上服务能力的意见告知书》(附件18),并由受理申请部门送达申请人。对于未通过认定的,由未通过审核项目的负责部门加强对申请企业的指导,整改合格后可再次申报。
附件:1.网络预约出租汽车经营者申请线上服务能力认定工作流程图
2.河南省通信管理局网络预约出租汽车线上服务能力认定申请材料表
3.交通运输主管部门线上服务能力认定材料说明
4.公安机关线上服务能力认定材料说明
5.税务部门线上能力认定材料说明
6.网约车监管信息交互平台数据库接入联系函
7.企业基本信息表
8.网约车平台数据库接入准备情况表
9.网信部门线上服务能力认定材料说明
10.人民银行线上服务能力认定材料说明
11.其他线上服务能力认定材料说明
12.申请网约车经营线上服务能力认定的受理通知书
13.申请从事网约车经营线上服务能力证明材料报送函
14.申请从事网约车经营线上服务能力证明材料转送函
15.河南省网约车线上服务能力认定省级各部门联系方式
16.申请从事网约车经营线上服务能力审核意见反馈函
17.申请从事网约车经营具备线上服务能力的认定结果
18.申请从事网约车经营不具备线上服务能力的意见告知书
附件1
网络预约出租汽车经营者申请线上服务
能力认定工作流程图
附件2
河南省通信管理局网络预约出租汽车线上
服务能力认定申请材料表
整体要求:填写完整,不留空白栏;字迹工整,清晰可辨,
提交申请时留下申请负责人的联系方式
法人代表签字:
申报单位:全称,与营业执照保持一致(盖章)
申报日期: 年 月 日
1.公司基本信息
公司名称 | |||
企业法人营业执照 注 册 号 | 注册地址 | ||
法定代表人姓名 | 身份证号 | ||
法人代表联系方式 | |||
通信地址 | |||
技术负责人姓名 | 技术负责人手机 | ||
技术负责人固话(区号-电话号码) | 技术负责人电子邮箱 | ||
联系人姓名 | 联系人手机 | ||
联系人固话(区号-电话号码) | 联系人电子邮箱 | ||
公司业务介绍 | |||
填表说明
1.法人代表、技术负责人、联系人的联系方式应真实有效。 |
附件:公司企业法人营业执照副本、法定代表人身份证原件正反面复印件。
2.技术部门及人员信息
技术部门名称及职责 (可填多个) | ||||||||||
公司技术及安全负责人名单 (至少应包括专人专岗的技术负责人、网络及信息安全负责人) | ||||||||||
序 号 | 姓名 | 身份证号码 | 职务 | 学历 | 联系电话 | 职称/资质证明 | ||||
公司主要技术人员名单 | ||||||||||
序 号 | 姓名 | 身份证号码 | 职务 | 专业 | 学历 | 联系电话 | 职称/资质证明 | |||
填表说明
1.技术部门应包括技术研发部门和维护部门。 2.技术及安全负责人应不少于2人,至少应包括专人专岗的技术负责人、网络及信息安全负责人。 3.人员姓名、身份证号应与有效期内的身份证信息完全一致,且其职务和联系电话真实有效。 4.职称/资质证明包括行业认证、职业技能鉴定等技术能力证明材料。 |
附件:技术负责人、网络与信息安全负责人、主要技术人员身份证正反面复印件或社保部门出具的境外人士工作证明,技术能力证明材料复印件(职称、资质证明等),正式劳动合同复印件,公司近期为员工所上的社保证明(至少三个月,应加盖社保机构红章)。
3.服务器、网络设备清单
设备类型 | 设备型号 | 数量 | 制造商 | 主要性能指标 | 采购或租赁协议 |
附件:服务器、网络设备等设施的采购或租赁协议复印件。
4.线上服务功能说明(可另附页)
平台线上服务简介 | 业务内容描述、服务范围、目标用户、收费模式等 |
平台服务功能介绍 | 面向乘客和驾驶员功能介绍 |
平台信息内容 | 1.信息种类、内容。 2.数据的采集、存储、传输、使用、加密方式说明。 3.信息保护制度设计说明。 |
监管数据接口功能说明 | 配合监管部门依法查询、调取数据信息的接口功能说明 |
接入服务商及接入地 | |
服务器放置地 | |
IP地址及功能(连续IP地址用“-”链接;多个IP地址用“;”隔开) |
填表说明
1.服务器放置、接入地址精确到机房。 2.公网IP地址段要写全,对应系统功能要说明。 3.平台含互联网平台和移动应用程序(APP)。 |
附件:服务器托管协议或互联网接入协议复印件。托管方或接入商经营资质证明材料复印件。配合依法查询、调取相关数据信息的功能设计、工作制度和责任机构、责任人以及联系方式等材料说明。
5.平台软硬件及数据库说明(可另附页)
平台软硬件说明 |
1.服务平台的软件构成,含软件类型、数量、研发单位或生产商等。 2.平台架构及网络拓扑(含文字说明),对外服务链路带宽。 3.平台响应速度、最大并发数等性能指标。
|
数据库情况说明 |
数据库结构(含数据结构、I/O等)以及数据库容量、存储参数等性能指标。 |
填表说明
1.平台含互联网平台和移动应用程序(APP)。 |
6.网约车网络安全定级备案信息表
6.1-企业基本信息表
企业名称 | ||||||
网络安全 负责人 | 姓 名 | 职务/职称 | ||||
办公电话 | 电子邮件 | |||||
移动电话 | ||||||
网络安全应急 联系人 | 姓 名 | 职务/职称 | ||||
办公电话 | 电子邮件 | |||||
移动电话 | ||||||
姓 名 | 职务/职称 | |||||
办公电话 | 电子邮件 | |||||
移动电话 | ||||||
网络安全防护定级备案总体情况 | ||||||
网络与系统单元列表 (注:每个网络与系统单元需单独填写“2-网络与系统单元定级备案信息表”) | 网络与系统单元1 | |||||
网络与系统单元2 | ||||||
网络与系统单元3 | ||||||
…… | ||||||
6.2-网络与系统单元定级备案信息表
系统名称 | ||||||||||
主要功能及服务 | ||||||||||
服务范围 | 0全国 0省(自治区、直辖市)内 0跨省(自治区、直辖市) 跨 个,分别为: | |||||||||
自定安全等级 | 0第2级 0第3级 0第4级 | |||||||||
所在机房1 | ||||||||||
接入地1 | ||||||||||
所在机房2 | ||||||||||
接入地2 | ||||||||||
…… | ||||||||||
主要应用软件 情况 (注:主要包括为对外提供服务开发的应用软件,包括APP等;不含office等通用应用软件) | 序号 | 名称 | 研发方 | 当前版本 | 维护方式 | 已运行时间 | ||||
1 | □自行研发 □第三方研发 | □远程 □本地 | ||||||||
2 | …… | |||||||||
网络用户信息存储处理情况 | 0未处理或存储信息 0处理或存储信息,(请提供存储或处理的网络用户信息的类型名称) | |||||||||
公网IP地址段 | ||||||||||
主要协议和端口 | ||||||||||
接入总带宽(MB) | ||||||||||
所用域名 | ||||||||||
.cn域名相关记录 | NS记录 | A记录 | ||||||||
域名注册服务机构信息 | 机构名称 | 联系人及办公电话 | ||||||||
填表人 | 填表日期 | |||||||||
7.企业网络安全管理制度建立情况相关材料
按照《网络安全法》、《通信网络安全防护管理办法》(工信部令第11号)等法律法规要求,网络安全管理制度建立情况应包括企业设置网络安全专门管理机构、企业网络安全主管领导的情况、配备网络安全专门工作人员情况,以及企业建立的网络安全防护管理、安全事件应急、重大事件报告、网络安全应急预案等规章制度情况。其中,网络安全应急预案文本内容应包括:事件应急负责人及联系方式、针对不同等级的网络安全事件制定的应急预案程序与处置流程、说明应急预案启动的条件、发生安全事件后要采取的信息报送工作流程、后期恢复措施等。
8.网约车互联网平台网络安全防护相关报告
网约车互联网平台应按照《通信网络安全防护管理办法》(工信部令第11号)、《电信网和互联网安全等级保护实施指南》等通信行业网络安全防护相关法规和标准要求,开展网络安全防护工作,落实防护措施,及时消除安全隐患,保障网络与系统安全,主要包括网络与系统定级备案、网络安全符合性评测和风险评估。并向通信主管部门提交定级备案报告、符合性评测报告、风险评估及整改报告。
网约车互联网平台网络安全定级备案可在省级通信主管部门指导下采取自主定级方式,网络安全符合性评测报告、风险及整改评估报告可由具备网络安全评估等相应安全服务能力的第三方安全检测机构提供或者企业自行开展。报告的具体内容有:
8.1网络安全定级报告内容
1.根据《电信网和互联网安全等级保护实施指南(YD/T 1729-2008)》关于通信行业网络安全防护相关标准要求,对网约车互联网平台进行安全等级划分等活动的概述。总体原则是:按照定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和企业合法权益的损害程度,进行安全等级划分。
2.对网络与系统(定级对象)信息的详细描述,包括:
(1)企业特征、业务范围、安全管理基本情况以及其他基本情况;
(2)安全技术情况,包括网络与系统所在的物理环境、网络拓扑结构、网络关键设备(包括服务器、安全设备、应用系统等)情况、服务范围、网络处理和传送的信息资产、服务范围和用户类型等信息,网络边界。
3.说明网络安全等级定级理由、要素以及安全等级确定结果等。
8.2网络安全符合性评测报告
1.评估任务及标准概述,其中评估标准包括:
(1)《电信网和互联网安全防护管理指南(YD/T 1728-2008)》
(2)《电信网和互联网信息服务业务系统安全防护要求(YD/T 2243-2016)》
(3)《电信网和互联网信息服务业务系统安全防护检测要求(YD/T 2244-2011)》
(4)《电信网和互联网管理安全等级保护要求(YD/T 1756-2008)》
(5)《电信网和互联网管理安全等级保护检测要求(YD/T 1757-2008)》
(6)《电信网和互联网安全防护基线配置要求 网络设备(YD/T 2698-2014)》
(7)《电信网和互联网安全防护基线配置要求 安全设备(YD/T 2699-2014)》
(8)《电信网和互联网安全防护基线配置要求 数据库(YD/T 2700-2014)》
(9)《电信网和互联网安全防护基线配置要求 操作系统(YD/T 2701-2014)》
(10)《电信网和互联网安全防护基线配置要求 中间件(YD/T 2702-2014)》等电信网和互联网安全防护系列标准。
(11)《电信网和互联网安全防护基线配置要求 WEB应用系统(YD/T2703-2014)》
(12)《第三方安全服务能力评定准则(YD/T 2669-2013)》
2.符合性评测活动采取的技术措施,如采用访谈、检查、仪表测试、人工测试等方式,对受测网络单元的安全状况以及相关设备、系统潜在的安全隐患进行技术检测。
3.技术检测应包括系统安全加固、网络拓扑、冗余与灾难备份、网络及设备安全策略、设备漏洞、口令安全、介质管理、日志与安全审计等方面。技术检测对象应包括:
(1)生产主机:检查生产运行主机的操作系统、数据库、中间件以及第三方软件,包括账号安全、口令安全、授权安全、Web安全、补丁安全、客户信息安全、开放端口安全、安全配置、日志与审计等;
(2)网络设备:检查交换机、防火墙等网络设备,包括账号安全、口令安全、授权安全、Web安全、补丁安全、IP协议安全等;
(3)安全防护设备:检查IPS、IDS、web应用防火墙、防dos设备等安全防护设备,包括账号安全、口令安全、授权安全、补丁安全、开放端口安全、Web安全、防护策略配置、告警配置、攻击防护、IP协议、日志与审计等;
(4)其他:检查与约车主要平台相连的辅助系统的安全性,包括账号安全、口令安全、授权安全、补丁安全、客户信息安全、Web安全、开放端口安全、安全配置、日志与审计等。
4.符合性评测结果,包括符合性评测得分、达标率、不达标项说明,系统的整体安全性是否达到标准要求。
8.3风险评估及整改报告
1.风险评估过程的描述,包括:采用的技术评估手段,如工具扫描、远程仪表测试、人工测试等方式;技术评估内容,如漏洞扫描、网络安全性检测、主机安全性检测、应用安全性检测、管理安全性检测和渗透性测试等。
2.风险评估分析结果说明,例如被检测网络与系统的安全隐患类型、漏洞数量和级别、可导致的后果,并附截图证据。
3.总结被检网络与系统存在的主要问题,以及针对检测发现的具体问题进行整改的情况。
9.网约车移动应用程序(APP)安全保障能力报告
报告需由具备网络安全评估等相应安全服务能力的第三方安全检测机构出具。根据《电信和互联网用户个人信息保护规定》(工信部令第24号)及移动应用程序(APP)网络安全相关标准要求,重点证明网约车移动应用程序(APP)中不含恶意代码、在收集用户信息或调用系统权限时已告知并取得用户同意等。对于网约车移动应用程序(APP)后台系统,与网约车互联网平台的要求相同,应提供相应的网络与系统定级备案、网络安全符合性评测、风险评估及整改报告。
网约车相关移动应用程序(APP)安全保障能力报告内容应包括:
1.被测网约车相关移动应用程序(APP)列表,并提供应用软件运营者、主要功能、后台服务器及所在机房等信息。
2.安全检测的主要方法、测试人员组成、测试案例和测试结论等。经检测,应证明移动应用程序(APP)不含有《移动互联网恶意程序描述格式》等标准中所称恶意程序、符合“未经明示且经用户同意,不得实施收集使用用户个人信息等侵害用户合法权益或危害网络安全的行为。”等的规定。
3.报告应证明企业是否采取措施留存其所提供的应用软件、有关版本、上线时间、功能简介、用途、MD5等校验值、服务器接入等信息以备追溯检测,相关信息的留存时间应不短于60日。
10.网络数据安全和用户信息保护自证报告
根据《网络安全法》、《电信和互联网用户个人信息保护规定》(工信部令第24号)、《电信和互联网用户个人电子信息保护通用技术要求和管理要求(YD/T 2692-2014)》等相关法律法规和标准要求,企业应采取适当措施,确保网络数据和用户个人信息安全。报告内容应至少包括以下内容:
1.数据分级分类管理措施情况。重点包括数据分级分类管理制度建设和落实情况,重要数据和用户个人信息的分级分类方法。
2.数据收集环节安全情况。重点包括收集用户个人信息是否符合相关法律法规和相关标准规定;采集用户数据前履行告知义务的情况,采集前获得用户同意的情况;
3.数据传输存储环节安全情况。重点包括重要网络数据和敏感用户个人信息加密传输、存储情况;数据访问控制权限管理和审计情况;数据容灾备份情况。证明在我国境内运营中产生的用户个人信息和重要数据存储在境内,同时具备数据防篡改、防泄露、防窃取等能力。
4.数据使用共享环节安全管理情况。重点包括使用、共享用户个人信息是否符合相关法律法规和相关标准规定;数据处理外包服务安全管理情况;与企业内部涉及重要数据、用户个人信息处理的工作人员签订保密协议或责任书的情况等。
5.数据跨境传输安全管理情况。企业跨境传输数据是否符合《网络安全法》规定。
11.承诺书
XX通信管理局:
我公司承诺:
1.保证提交的全部资料真实有效,复印件与原件相符。如线上服务能力出现重大变更,将及时书面告知通信主管部门并更新相关材料。
2.保证资金、技术人员、各项软硬件设施、公司制度能够满足线上服务能力需求。保证服务质量满足监管要求及客户需求。
3.严格遵守《电信和互联网用户个人信息保护规定》(工信部令第24号令)、《互联网信息服务管理办法》(国务院令第292号)及其他通信行业监管法律、法规和政策,合法从事经营活动。
4.接受各级通信主管部门的行业管理和监督检查,及时按要求报送相关材料。
5.根据电信业务市场监测需要,按照要求向通信主管部门报送相应的监测信息。
6.保证网络安全与信息、数据安全。保证线上服务业务符合国家信息安全的要求;严格执行国家安全管理部门和通信主管部门的安全保密管理规定;严格履行国家要求的网络与信息安全责任。具体包括:
(1)按照通信行业管理部门要求,配备相应数量的专职网络与信息安全管理人员,成立相应的网络与信息安全管理机构,建立健全网络与信息安全保障制度,制定应急处置预案,并定期将相关业务开展情况和网络与信息安全责任落实情况向业务开展地通信行业管理部门报备。
(2)按照相关法律法规及通信行业管理部门要求建立违法违规信息发现和过滤技术手段,能对违法违规信息进行隔离、过滤处置。严格落实违法违规信息发现处置机制,阻断违法违规信息发布,对于已发布的违法违规信息应当立即停止传输,保存有关记录,并向有关主管部门报告。
(3)严格落实重大信息安全事件应急处置和报告制度,对于涉及业务相关数据安全、涉及国家网络信息安全的重大事件进行紧急处置,并上报主管部门。
(4)定期开展信息安全相关法律法规及安全政策文件、配合政府监管机制、信息安全保障制度等方面培训,培养员工信息安全意识,提高员工信息安全工作能力。
(5)网约车平台日志记录、留存技术措施满足《网络安全法》、《互联网信息服务管理办法》等法律法规有关要求。
(6)按照《互联网新技术新业务安全评估指南》(YD/T3169-2016)等通信行业标准,建立互联网新技术新业务安全评估制度,在新技术、业务或应用上线(含合作推广、试点、商用等)时,在基础资源配置、技术实现方式、业务功能或用户规模等方面发生较大变化时,开展网络信息安全评估,积极防范网络信息安全风险,并在安全评估完成30日内向通信主管部门提交书面评估报告。
(7)按照《通信网络安全防护管理办法》(工信部令第11号)等有关要求,制定网络安全防护管理制度,落实网络安全“三同步”、定级备案、符合性评测和风险评估等要求。
(8)按照国家用户信息保护有关法律法规和《电信和互联网用户个人信息保护规定》(工信部令第24号)等要求,开展网络数据和用户信息保护工作,防范重要数据和敏感用户信息泄露。
(9)制定并落实网络安全事件应急预案和网络安全事件应急处置报告制度,明确网络安全事件应急处置机制、网络安全事件上报和网络安全应急演练等要求。发生重大网络安全事件时,于第一时间向通信主管部门报告,并根据通信主管部门要求采取应急处置措施。
(10)当网络安全应急联系人发生变动时,在两个工作日内主动向通信主管部门报备。
本企业网络与信息安全应急联系人及联系方式:
以上承诺如有违反,愿接受通信行业管理部门的依法处罚。
法定代表人签字:
公章:
年 月 日
其他材料:通信主管部门要求提交的其他材料
附件3
交通运输主管部门线上服务能力
认定材料说明
(材料2、3、4)
一、材料2--面向乘客和驾驶员移动互联网应用程序(APP)的信息内容和服务功能
应包含APP下载地址和测试账号等信息;APP司机端功能及信息说明,包括APP功能模块图,司机注册流程图及APP详细操作说明(各页面截图+文字介绍),必须有评价功能;APP乘客端功能及信息说明表,包括APP功能模块图,乘客注册流程图及APP详细操作说明(各页面截图+文字介绍),必须有评价和投诉功能等。
二、材料3--配合依法查询、调取相关数据信息的功能设计、工作制度和责任机构、责任人以及联系方式等
应包含网络服务平台后台数据调取、查询功能可查询的字段项、可查询期限、支持的查询方式及相应反馈结果等,包括协查流程、台账登记、责任机构、责任人及联系方式,是否涵盖基础信息、订单信息、经营信息等数据信息。
三、材料4--提供由国务院交通运输主管部门出具的数据库具备接入交通运输部网约车监管信息交互平台条件的情况说明。只为本地提供服务的平台公司,可提供由服务所在地交通运输主管部门出具的具备数据库接入当地监管平台条件的情况说明
按交通运输部办公厅《关于印发<网络预约出租汽车监管信息交互平台总体技术要求(暂行)>的通知》(交办运〔2016〕180号)等的规定,应在申请前向交通运输部中国交通通信信息中心联系测试接入交通运输部“网络预约出租汽车监管信息交互平台”,申请时附国务院交通运输主管部门出具的数据库具备接入交通运输部网约车监管信息交互平台条件的情况说明;对申请服务区域为某个城市的平台,应联系服务所在地交通运输主管部门出具具备数据库接入当地监管平台条件的情况说明;若当地不具备数据库接入能力,仍需接入交通运输部“网络预约出租汽车监管信息交互平台”。
附件4
公安机关线上服务能力认定材料说明
(材料3、5、6、8、9、10、11、12)
一、材料要求
(一)材料3——配合依法查询、调取相关数据信息的功能设计、工作制度和责任机构、责任人以及联系方式等
应包含网络服务平台后台数据调取、查询功能可查询的字段项、可查询期限、支持的查询方式及相应反馈结果等。案事件协查工作制度,包括协查流程、台账登记、责任机构、责任人及联系方式。
(二)材料5——网络应用、数据等所有服务器机房地址、接入地址、IP地址、用途分工等情况说明
详细说明服务器机房地址(精确到门牌号),所属运营商(包含联系方式)、所有对应IP地址等信息;列明网络拓扑结构图,说明服务网络架构及相关用途;对CDN(内容分发)、云服务等方式部署的,要详细说明所购买服务单位及部署方式。
(三)材料6——网络安全等级保护定级报告、专家评审意见、备案证明及测评报告
1.《网络安全等级保护定级报告》,包括信息系统描述,根据《网络安全等级保护定级指南》确定的保护等级等情况,该材料由平台运营服务企业出具和提供。2.专家评审意见,依照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》相关要求,由网约车运营商企业组织专家对相关网络保护等级进行评审并出具评审意见。3.地市级以上公安机关出具的《信息系统安全等级保护备案表》《信息系统安全等级保护备案证明》。4.网络安全等级测评与检测评估机构出具的《网络安全等级保护测评报告》。
(四)材料8——具有完备的用户真实身份认证管理制度、措施,个人隐私数据保护措施和数据跨境流动情况说明
用户真实身份认证管理制度、措施的文本。个人隐私数据保护措施和数据跨境流动情况说明。
(五)材料9——网络服务平台后台的用户信息、日志记录、留存技术措施,有害信息屏蔽、过滤等安全防范技术措施的说明材料
数据留存内容及说明文本,有害信息屏蔽、过滤等安全防范技术措施的文本。注:用户(司机)注册信息企业需永久留存,其他相关信息需留存不少于六个月。
(六)材料10——为依法防范、调查恐怖活动提供技术接口的说明材料
已配合公安机关网安部门开展技术接口建设的服务平台,由服务平台运营管理主体所在地公安机关网安部门出具相应的证明材料;未开展技术接口建设的服务平台,出具与服务平台运营管理主体所在地公安机关网安部门配合开展技术接口建设的承诺书和保密协议。
(七)材料11——网络与信息安全保障制度文本、互联网新技术新业务安全评估制度文本、应急处置预案文本,企业保证服务质量、信息和数据安全的承诺书
网络与信息安全保障制度,包括信息用户管理、日志留存、信息安全管理、网络安全管理等制度内容;互联网新技术新业务安全评估制度包括,新技术新业务上线报备、安全评审等内容;应急处置预案包括,应急处置工作流程、应急处置团队等,企业保证服务质量、信息和数据安全的承诺书等。
(八)材料12——网上内容处置能力证明材料,网约车平台是否具备信息发布、评论跟帖、动员能力的群组等功能的情况说明。企业保证不应用网约车平台发布有害信息,不为企业和个人及其他团体组织发布有害信息提供便利的承诺书
运营公司出具的关于网约车平台信息发布、评论跟帖、有动员能力的群组等功能的情况说明和拒绝发布有害信息的承诺书。
二、材料模板
(一)网络安全等级保护定级报告
《网络安全等级保护定级报告》
一、XXX信息系统描述
简述确定该系统为定级对象的理由。从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。(注意:如果是网站的话需要提供网站域名和IP地址)
二、XXX信息系统安全保护等级确定(定级方法参见国家标准《网络安全等级保护定级指南》)
(一)业务信息安全保护等级的确定
1、业务信息描述
描述信息系统处理的主要业务信息等。
2、业务信息受到破坏时所侵害客体的确定
说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、信息受到破坏后对侵害客体的侵害程度的确定
说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、业务信息安全等级的确定
依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定
1、系统服务描述
描述信息系统的服务范围、服务对象等。
2、系统服务受到破坏时所侵害客体的确定
说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
3、系统服务受到破坏后对侵害客体的侵害程度的确定
说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
4、系统服务安全等级的确定
依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定
信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定XXX系统安全保护等级为第几级。
信息系统 名称 | 安全保护 等级 | 业务信息 安全等级 | 系统服务 安全等级 |
XXX信息系统 | 第X级 | 第X级 | 第X级 |
(二)信息系统安全等级保护备案表
备案表编号: | ||||||||||||
信息系统安全等级保护
备案表
备 案 单 位: (盖章)
备 案 日 期:
受理备案单位: (盖章)
受 理 日 期:
中华人民共和国公安部监制
填 表 说 明
一、 制表依据。根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;
二、 填表范围。本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;
三、 保存方式。本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;
四、 本表中有选择的地方请在选项左侧“0”划“√”,如选择“其他”,请在其后的横线中注明详细内容;
五、 封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;
六、 封面中备案单位:是指负责运营使用信息系统的法人单位全称;
七、 封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。此项由受理备案的公安机关负责填写并盖章;
八、 表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;
九、 表一05单位负责人:是指主管本单位信息安全工作的领导;
十、 表一06责任部门:是指单位内负责信息系统安全工作的部门;
十一、 表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;
十二、 表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;
十三、 表二05系统网络平台:是指系统所处的网络环境和网络构架情况;
十四、 表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;
十五、 表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;
十六、 表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。01、02项中每一个确定的级别所对应的损害客体及损害程度可多选;
十七、 表三06主管部门:是指对备案单位信息系统负领导责任的行政或业务主管单位或部门。部级单位此项可不填;
十八、 解释:本表由公安部公共信息网络安全监察局监制并负责解释,未经允许,任何单位和个人不得对本表进行改动。
表一 单位基本情况
01单位名称 | |||||||||||||||||||
02单位地址 | 省(自治区、直辖市) 地(区、市、州、盟) 县(区、市、旗)(具体到门牌) | ||||||||||||||||||
03邮政编码 | 04行政区划代码 | ||||||||||||||||||
单位互联网IP地址段 | |||||||||||||||||||
05单位 负责人 | 姓 名 | 职务/职称 | |||||||||||||||||
办公电话 | 电子邮件 | ||||||||||||||||||
06责任部门 | |||||||||||||||||||
07责任部门 联系人 | 姓 名 | 职务/职称 | |||||||||||||||||
办公电话 | 电子邮件 | ||||||||||||||||||
移动电话 | |||||||||||||||||||
08隶属关系 | 01中央 02省(自治区、直辖市) 03地(区、市、州、盟) 04县(区、市、旗) 09其他 | ||||||||||||||||||
09单位类型 | 01党委机关 02政府机关 03事业单位 04企业 09其他 | ||||||||||||||||||
10行业类别 | 011电信 012广电 013经营性公众互联网
021铁路 022银行 023海关 024税务 025民航 026电力 027证券 028保险
031国防科技工业 032公安 033人事劳动和社会保障 034财政 035审计 036商业贸易 037国土资源 038能源 039交通 040统计 041工商行政管理 042邮政 043教育 044文化 045卫生 046农业 047水利 048外交 049发展改革 050科技 051宣传 052质量监督检验检疫
099其他 | ||||||||||||||||||
11信息系统 总数 | 个 | 12第二级信息系统数 | 个 | 13第三级信息系统数 | 个 | ||||||||||||||
14第四级信息系统数 | 个 | 15第五级信息系统数 | 个 | ||||||||||||||||
表二( / )信息系统情况
01系统名称 | 02系统编号 | |||||||||||||
03系统 承载 业务 情况 | 业务类型 | 01生产作业 02指挥调度 03管理控制 04内部办公 05公众服务 09其他 | ||||||||||||
业务描述 | ||||||||||||||
04系统 服务 情况 | 服务范围 | 010全国 011跨省(区、市) 跨 个 020全省(区、市) 021跨地(市、区) 跨 个 030地(市、区)内 099其它 | ||||||||||||
服务对象 | 01单位内部人员 02社会公众人员 03两者均包括 09其他 | |||||||||||||
05系统 网络 平台 | 覆盖范围 | 01局域网 02城域网 03广域网 09其他 | ||||||||||||
网络性质 | 01业务专网 02互联网 09其它 | |||||||||||||
06系统互联情况 | 01与其他行业系统连接 02与本行业其他单位系统连接 03与本单位其他系统连接 09其它 | |||||||||||||
07关键产品使用情况 | 序号 | 产品类型 | 数量 | 使用国产品率 | ||||||||||
全部使用 | 全部未使用 | 部分使用及使用率 | ||||||||||||
1 | 安全专用产品 | 0 | 0 | 0 % | ||||||||||
2 | 网络产品 | 0 | 0 | 0 % | ||||||||||
3 | 操作系统 | 0 | 0 | 0 % | ||||||||||
4 | 数据库 | 0 | 0 | 0 % | ||||||||||
5 | 服务器 | 0 | 0 | 0 % | ||||||||||
6 | 其他 | 0 | 0 | 0 % | ||||||||||
08系统采用服务情况 | 序号 | 服务类型 | 服务责任方类型 | |||||||||||
本行业(单位) | 国内其他服务商 | 国外服务商 | ||||||||||||
1 | 等级测评 | 0有0无 | 0 | 0 | 0 | |||||||||
2 | 风险评估 | 0有0无 | 0 | 0 | 0 | |||||||||
3 | 灾难恢复 | 0有0无 | 0 | 0 | 0 | |||||||||
4 | 应急响应 | 0有0无 | 0 | 0 | 0 | |||||||||
5 | 系统集成 | 0有0无 | 0 | 0 | 0 | |||||||||
6 | 安全咨询 | 0有0无 | 0 | 0 | 0 | |||||||||
7 | 安全培训 | 0有0无 | 0 | 0 | 0 | |||||||||
8 | 其它 | 0 | 0 | 0 | ||||||||||
09等级测评单位名称 | ||||||||||||||
10何时投入运行使用 | 年 月 日 | |||||||||||||
11系统是否是分系统 | 0是 0否(如选择是请填下两项) | |||||||||||||
12上级系统名称 | ||||||||||||||
13上级系统所属单位名称 |
| |||||||||||||
表三( / )信息系统定级情况
01确定 业务 信息 安全 保护 等级 | 损害客体及损害程度 | 级别 | ||
0仅对公民、法人和其他组织的合法权益造成损害 | 0第一级 | |||
0对公民、法人和其他组织的合法权益造成严重损害 0对社会秩序和公共利益造成损害 | 0第二级 | |||
0对社会秩序和公共利益造成严重损害 0对国家安全造成损害 | 0第三级 | |||
0对社会秩序和公共利益造成特别严重损害 0对国家安全造成严重损害 | 0第四级 | |||
0对国家安全造成特别严重损害 | 0第五级 | |||
02确定 系统 服务 安全 保护 等级
| 0仅对公民、法人和其他组织的合法权益造成损害 | 0第一级 | ||
0对公民、法人和其他组织的合法权益造成严重损害 0对社会秩序和公共利益造成损害 | 0第二级 | |||
0对社会秩序和公共利益造成严重损害 0对国家安全造成损害 | 0第三级 | |||
0对社会秩序和公共利益造成特别严重损害 0对国家安全造成严重损害 | 0第四级 | |||
0对国家安全造成特别严重损害 | 0第五级 | |||
03信息系统安全保护等级 | 0第一级 0第二级 0第三级 0第四级 0第五级 | |||
04定级时间 | 年 月 日 | |||
05专家评审情况 | 0已评审 0未评审 | |||
06是否有主管部门 | 0有 0无(如选择有请填下两项) | |||
07主管部门名称 | ||||
08主管部门审批定级情况 | 0已审批 0未审批 | |||
09系统定级报告 | 0有 0无 附件名称 | |||
填表人: | 填表日期: 年 月 日 | |||
备案审核民警: 审核日期: 年 月 日
表四( / )第三级以上信息系统提交材料情况
01系统拓扑结构及说明 | 0有 0无 附件名称 |
02系统安全组织机构及管理制度 | 0有 0无 附件名称 |
03系统安全保护设施设计实施方案或改建实施方案 | 0有 0无 附件名称 |
04系统使用的安全产品清单及认证、销售许可证明 | 0有 0无 附件名称 |
05系统等级测评报告 | 0有 0无 附件名称 |
06专家评审情况 | 0有 0无 附件名称 |
07上级主管部门审批意见 | 0有 0无 附件名称 |
(三)信息系统安全等级保护备案证明
(四)日志数据留存规范
日志数据留存规范
1.用户注册信息
序号 | 数据项 | 网站是否留存 | 备注 |
1 | 用户ID | ||
2 | 用户名 | ||
3 | 合作账号类型(第三方账号) | ||
4 | 手机号 | ||
5 | 注册IP | ||
6 | 注册端口 | ||
7 | 移动终端硬件标识/注册MAC | ||
8 | 注册IMSI | ||
9 | 注册IMEI | ||
10 | 头像 | ||
11 | 绑定的支付账号类型 | ||
12 | 注册城市 | ||
13 | 注册时间 | ||
14 | 最后更新时间 |
2.司机注册信息
序号 | 数据项 | 网站是否留存 | 备注 |
1 | 用户ID | ||
2 | 用户名 | ||
3 | 合作账号类型 | ||
4 | 手机号 | ||
5 | 注册IP | ||
6 | 注册端口 | ||
7 | 移动终端硬件标识/注册MAC | ||
8 | 注册IMSI | ||
9 | 注册IMEI | ||
10 | 头像 | ||
11 | 绑定的收款账号类型 | ||
12 | 身份证号 | ||
13 | 车辆ID | ||
14 | 车牌号 | ||
15 | 营运证件号码 | ||
16 | 车身颜色 | ||
17 | 车辆品牌 | ||
18 | 车辆型号 | ||
19 | 车辆所属公司 | ||
20 | 注册城市 | ||
21 | 注册时间 | ||
22 | 最后更新时间 | ||
23 | 车架号 |
3. 登录日志数据留存与报送
序号 | 数据项 | 网站是否留存 | 备注 |
1 | 用户ID | ||
2 | 用户名 | ||
3 | 登录IP | ||
4 | 登录端口号 | ||
5 | 登录移动终端硬件标识/登录MAC | ||
6 | 登录IMEI | ||
7 | 登录IMSI | ||
8 | 登录类型 | ||
9 | 登录时间 | ||
10 | 经纬度 |
4. 订单日志数据留存与报送
序号 | 数据项 | 网站是否留存 | 备注 |
1 | 用户ID | ||
2 | 订单内容(文字) | ||
3 | 订单内容(语音) | ||
4 | 下单时间 | ||
5 | 下单手机号 | ||
6 | 下单端口号 | ||
7 | 下单IP | ||
8 | 下单移动终端硬件标识/下单MAC | ||
9 | 下单IMEI | ||
10 | 下单IMSI | ||
11 | 下单地址 | (下单手机所在GPS或LBS信息) | |
12 | 下单经度 | ||
13 | 下单纬度 | ||
14 | 租约车类型 | ||
15 | 预约上车时间 | ||
16 | 预约上车地址 | ||
17 | 预约上车经纬度 | ||
18 | 预约下车地址 | ||
19 | 预约下车经纬度 |
5.结算日志数据留存
序号 | 数据项 | 网站是否留存 | 备注 |
1 | 订单ID | ||
2 | 乘客用户ID | ||
3 | 司机用户ID | ||
4 | 车辆ID | ||
5 | 接单时间 | ||
6 | 接单经纬度 | ||
7 | 上车时间 | ||
8 | 上车地址 | ||
9 | 上车经纬度 | ||
10 | 下车时间 | ||
11 | 下车地址 | ||
12 | 下车经纬度 | ||
13 | 支付类型 | ||
14 | 支付账号 | ||
15 | 支付时间 |
6. 行驶轨迹日志数据留存
序号 | 数据项 | 网站是否留存 | 备注 |
1 | 订单ID | ||
2 | 时间 | ||
3 | 经纬度 |
7.快递类日志信息数据留存
序号 | 数据项 | 网站是否留存 | 备注 |
1 | 快递单号 | ||
2 | 快递公司 | ||
3 | 用户ID | ||
4 | 收件者姓名 | ||
5 | 收件者手机号码 | ||
6 | 收件者固定电话 | ||
7 | 收件者详细地址 | ||
8 | 寄件者姓名 | ||
9 | 寄件者手机号码 | ||
10 | 寄件者固定电话号码 | ||
11 | 寄件者详细地址 | ||
12 | 寄件订单号 | ||
13 | 寄送物品名称 | ||
14 | 寄运物品的数量 | ||
15 | 快递下单时间 | ||
16 | 快递下单备注 |
(五)安全承诺书(模板)
安全承诺书
根据《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《互联网信息服务管理办法》(国务院令第292号)、《计算机信息网络国际联网安全保护管理办法》(公安部令第33号)、《互联网安全保护技术措施规定》(公安部令第82号)等有关法律法规的规定,我单位将认真落实如下责任:
一、依法开展安全备案工作
根据法律法规的有关要求,在网络正式联通之日起30日内,向公安机关网安部门提交安全备案申请,并填写相关安全备案信息。当备案信息发生变化后,相关情况应于变更后五日内报告属地公安机关网安部门进行更新。
二、建立和完善计算机网络安全组织
(一)建立与本单位信息网络安全保护任务相适应的计算机网络安全组织,明确安全分管领导、部门负责人、对口联系人、联系方式等,并向属地公安机关网安部门进行报备;
(二)计算机网络安全组织主要负责指挥、组织、协调本单位的计算机信息系统安全保护工作,对本单位的计算机信息网络安全统一进行指导管理,落实7×24小时值班,保持与属地公安机关网安部门的联系渠道畅通,保证各项信息网络安全政策、法规在本单位的落实;
(三)计算机网络安全组织应设立信息安全员(至少配备1名,交互式信息服务、音视频聊天服务的网站至少配备2名),安全员必须经过本市公安、劳动部门组织的专门培训,考核合格后持证上岗;
(四)单位安全分管领导、部门负责人、对口联系人、信息安全员、联系方式等信息发生变化时,应在24小时内向属地公安机关网安部门进行更新。
三、落实网络信息安全保护管理制度及安全保护技术措施
(一)建立、完善网上违法有害信息屏蔽过滤技术措施,定期更新违法关键词,关键词屏蔽过滤策略应于10分钟内生效;
(二)建立健全违法信息巡查发现、上报机制,配置信息安全员加强对违法信息的巡查发现,并定期上报违法线索;
(三)建立信息发布审核、登记制度。确保有专人对用户发布的信息进行审查和维护,不制作、复制、发布、传播《互联网信息服务管理办法》第十五条禁止的九类有害信息;
(四)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施,做到用户注册信息记录长期留存,用户使用和系统维护日志信息留存12个月以上,公共信息留存6个月以上;
(五)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;
(六)记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能;
(七)配合公安机关网安部门提供信息安全检查的技术接口,并协助安装技术检查设备;
(八)法律、法规和规章规定应当落实的安全保护管理制度和安全保护技术措施。
四、建立网络信息安全事件上报机制
(一)发现违法信息、危害计算机信息网络安全情形以及计算机信息系统发生重大安全事故的,应当立即采取应急措施,保留有关原始记录,并在30分钟内向属地公安机关网安部门报告;
(二)发生一般案事件的,应在24小时内向属地公安机关网安部门报告。
五、建立应急响应处置工作机制
(一)建立并完善单位的应急响应处置工作机制,安排值班人员作为与公安机关网安部门的第一联系人,落实7×24小时值班,保证通讯畅通,并明确部门负责人为第二联系人,单位法定代表人为第三联系人;
(二)按公安机关通知要求,第一时间对含有违法有害信息内容的网络地址、目录或服务器进行关闭或删除,当公安机关依法查询、追踪和查处通过计算机信息网络实施的违法犯罪活动时,如实提供有关信息、资料及数据文件;
(三)对因未落实应急响应造成影响的人员本单位将追究其责任,如触犯我国有关法律法规的,将依法追究其相应的法律责任。
本单位将自觉接受公安机关网安部门的安全监督、检查和指导,落实对网络信息安全的各项管理要求,若有违反上述承诺的行为,本单位愿意承担相应的法律责任。
单位(盖章):
法人(或授权代理人):
安全分管领导:
部门负责人:
对口联系人:
年 月 日
附件5
税务部门线上能力认定材料说明
(材料3)
材料3——配合依法查询、调取相关数据信息的功能设计、工作制度和责任机构、责任人以及联系方式等
应包含网络服务平台后台数据调取、查询功能可查询的字段项、可查询期限、支持的查询方式及相应反馈结果等,是否涵盖基础信息、订单信息、经营信息等数据信息。纳税人的信用等级不为C级或D级。
附件6
网约车监管信息交互平台数据库
接入联系函
(企业注册地相应交通运输主管部门):
(单位名称)拟从事网约车经营业务,已按照《网约车监管信息交互平台总体技术要求(暂行)》相关要求,完成接口开发和数据库接入联调测试准备工作,具备数据接入条件,现商请与网约车监管信息交互平台开展接入联调测试工作,特此说明。
我公司承诺提供的各项信息真实有效,为此产生的一切法律责任及后果均由我公司承担。
企业负责人:(签字)
联系电话:
电子邮箱:
单位名称:(加盖公章)
年 月 日
附件7
企业基本信息表
企业名称 | ||||
企业注册地址 | ||||
企业法人姓名 | 手机 | |||
企业法人电子邮箱 | 电话 | |||
企业对外联络部门 | ||||
对外联络部门负责人姓名 | 手机 | |||
对外联络部门负责人 电子邮箱 | 电话 | |||
对接技术负责人姓名 | 手机 | |||
对接技术负责人 电子邮箱 | 电话 | |||
企业注册地城市 | ||||
拟运营服务城市 | ||||
平台部署机房所在地 | ||||
平台部署机房具体位置 | ||||
平台联调测试IP地址 | 端口 | |||
平台使用地图厂家 | ||||
位置信息采用的坐标系 | ||||
填报日期: 单位名称(加盖公章)
附件8
网约车平台数据库接入准备情况表
序号 | 接口名称 | 接口开发是否已完成 | 数据内容是否符合接口规范要求 | 预计推送测试数据记录数(条) |
1 | 网约车平台公司基本信息 | |||
2 | 网约车平台公司营运规模 | |||
3 | 网约车平台公司支付信息 | |||
4 | 网约车平台公司服务机构信息 | |||
5 | 网约车平台公司经营许可信息 | |||
6 | 网约车平台公司运价信息 | |||
7 | 车辆基本信息 | |||
8 | 车辆保险信息 | |||
9 | 网约车车辆里程信息 | |||
10 | 驾驶员基本信息 | |||
11 | 网约车驾驶员培训信息 | |||
12 | 驾驶员移动终端信息 | |||
13 | 驾驶员统计信息 | |||
14 | 乘客基本信息 | |||
15 | 订单发起 | |||
16 | 订单成功 | |||
17 | 订单撤销 | |||
18 | 车辆经营上线 | |||
19 | 车辆经营下线 | |||
20 | 经营出发信息 | |||
21 | 经营到达信息 | |||
22 | 经营支付信息 | |||
23 | 驾驶员定位信息 | |||
24 | 车辆定位信息 | |||
25 | 乘客评价信息 | |||
26 | 乘客投诉信息 | |||
27 | 驾驶员处罚信息 | |||
28 | 驾驶员信誉信息 | |||
29 | 私人小客车合乘信息服务平台基本信息 | |||
30 | 私人小客车合乘驾驶员行程发布 | |||
31 | 私人小客车合乘订单 | |||
32 | 私人小客车合乘订单支付 | |||
33 | 文件接口 |
备注说明:
1.数据内容是否符合接口规范要求:填写平台公司对上报数据内容与《总体技术要求》接口规范数据项要求的符合性自查结果。
(1)接口有必填要求的数据项都应有值且符合格式要求,部分数据项在技术对接时如不具备(如网约车驾驶员证编号),允许填写测试数据。
(2)数据应符合业务关联性要求。例如:订单信息中的车辆、驾驶员信息应与车辆、驾驶员接口上报数据一致;经营支付信息中的订单号与订单接口上报数据一致,运价类型与运价信息接口一致等。
2.预计推送测试数据记录数:填写该接口将要上报的记录条数。
填报日期: 单位名称(加盖公章)
附件9
网信部门线上能力认定材料说明
(材料12)
材料12——网上内容处置能力证明材料,网约车平台是否具备信息发布、评论跟帖、动员能力的群组等功能的情况说明。企业保证不应用网约车平台发布有害信息,不为企业和个人及其他团体组织发布有害信息提供便利的承诺书
运营公司出具的关于网约车平台信息发布、评论跟帖、有动员能力的群组等功能的情况说明和拒绝发布有害信息的承诺书。
附件10
人民银行线上服务能力认定材料说明
(材料13)
材料13——企业与银行或非银行支付机构合作业务模式的详细描述,包括企业与银行或非银行支付机构签订的协议文本、企业是否设立资金池、是否为用户开立支付账户等情况的说明(应包含但不限于以下内容):
一、企业与银行或非银行支付机构合作业务模式的详细描述。至少应包含以下内容:(一)网约车业务模式说明。对业务流程、合作方式进行全面描述;(二)账户开立情况说明。包括是否开立账户、账户开立方式和条件、账户功能、使用范围、出入金方式等;(三)支付流程说明。包括网约车平台公司与银行或非银行支付机构、乘客、驾驶人、其他相关方之间的资金流转过程和支付业务合作模式。
二、企业与提供支付结算服务的银行或非银行支付机构签订的合作协议复印件,并加盖双方公章。
三、企业对是否设立资金池的说明。
四、是否为用户开立支付账户的说明。
五、提供材料的真实性承诺函。
六、人民银行要求的其他相关材料。
附件11
其他线上服务能力认定材料说明
(材料14,含网络预约出租汽车经营申请表、企业法人营业执照和经营管理制度、安全生产管理制度文本)
一、网络预约出租汽车经营申请表
应依据《网络预约出租汽车经营服务管理暂行办法》(交通运输部等六部委令2019年第46号),按首次申请从事网约车经营,根据经营区域向企业注册地相应交通运输主管部门提交的《网络预约出租汽车经营申请表》(见附件)。
二、企业法人营业执照
应提供企业法人营业执照正本或副本,同时符合“五证合一、一码一证”的要求,即使用统一社会信用代码。
三、经营管理制度文本
应包含平台管理、平台技术服务及应急保障、服务规范及质量标准、投诉处理、企业采用的会计制度、会计核算方法等。
四、安全生产管理制度文本
应包含确保网络及信息安全、信息数据安全、用户资金安全、平台应急处置等。
受理申请机关专用
网络预约出租汽车经营申请表 |
说明 1.申请从事网络预约出租汽车经营应当按照《网络预约出租汽车经营服务管理暂行办法》的有关规定向相应出租汽车行政主管部门提出申请,填写本表,并同时提交其他相关材料。2.本表可向各级出租汽车行政主管部门免费索取,也可自行从交通运输部网站(www.mot.gov.cn)下载打印。3.本表需用钢笔填写或者计算机打印,请用正楷,要求字迹工整。 |
申请人基本信息
申请人名称 要求填写企业(公司)全称 负责人姓名 经办人姓名 通信地址
邮 编 电 话 手 机 电子邮箱 |
申请材料核对表 请在□内划√
1.网络预约出租汽车经营申请表(本表) □ 2.投资人、负责人身份、资信证明及其复印件 □ 经办人的身份证明及其复印件和委托书 □ 3.企业法人营业执照 □ 属于分支机构的应当提供营业执照 □ 4.具备互联网平台和信息数据交互及处理能力的证明材料 □ 5.具备供相关监管部门依法调取查询相关网络数据信息条件的证明材料 □ 6.数据库接入情况 □ 7.服务器设置在中国内地的情况说明 □ 8.网络安全管理制度和安全保护技术措施文本 □ 9.提供支付结算服务的银行或者非银行支付机构签订的协议范本 □ 10.服务所在地办公场所、管理人员等信息 □ 11.经营管理制度、安全生产管理制度和服务质量保障制度文本 □ 12.法律法规要求提供的其他材料 □
只有上述材料齐全有效后,你的申请才能受理 声明 我声明本表及其他相关材料中提供的信息均真实可靠。 我知悉如此表中有故意填写的虚假信息,我取得的经营许可将被撤销。 我承诺将遵守国家有关法律、行政法规及其他相关规章的规定。 负责人签名 _______________ 日期 __________________ 负责人职位 _______________ |
附件12
申请网约车经营
线上服务能力认定的受理通知书
(申请单位名称):
你司(单位)于 年 月 日向我局递交网络预约出租汽车线上服务能力认定申请已收悉。经审查,你司(单位)的申请材料符合相关要求,根据《网络预约出租汽车经营服务管理暂行办法》第六条之规定,现予以受理。
特此通知。
联系人:
联系电话:
电子邮箱:
(交通运输局公章)
年 月 日
附件13
申请从事网约车经营
线上服务能力证明材料报送函
我单位收到 (申请单位名称) 提交的从事网约车经营线上服务能力认定申请,经初步审核,符合报送相关规定,并于 年 月 日正式受理申请,现将其线上服务能力材料报送贵厅审核。
特此函达。
联系人: ,电话: 。
申请单位联系人: ,电话: 。
(交通运输局公章)
年 月 日
附件14
申请从事网约车经营
线上服务能力证明材料转送函
省委网信办、省公安厅、省通信管理局、国家税务总局河南省税务局、人民银行郑州中心支行:
根据《关于网络预约出租汽车经营者申请线上服务能力认定工作流程的通知》(交办运〔2016〕143号)及相关规定,现将 (申请单位名称) 申请网约车经营线上服务能力认定相关材料转送你单位,请按照职责予以审核认定,并于 年 月 日前将审核意见反馈我厅。
联系人: ;联系电话: 。
电子邮箱: 。
申请单位联系人: ;联系电话: 。
(交通运输厅公章)
年 月 日
附件15
河南省网约车线上服务能力认定省级各部门联系方式
省级部门名称 | 部门处室名称 | 办公地址 | 联系电话 |
河南省交通运输厅 | 运输管理处 | 郑州市郑东新区农业南路100号 | 0371-87166762 |
河南省运输事业发展中心 | 出租汽车处 | 郑州市郑东新区农业南路100号 | 0371-87165288 |
河南省通信管理局 | 信息通信管理处 | 郑州市金水区民航路8号 | 0371-65333399 |
河南省公安厅 | 网安总队 | 郑州市金水区金水路9号 | 0371-65882240 |
河南省委网信办 | 应急处 | 郑州市金水区金水路16号河南省工会大厦 | 0371-65905748 |
国家税务总局河南省税务局 | 货物和劳务税处 | 郑州市金水区熊儿河路85号 | 0371-81906213 |
人民银行郑州中心支行 | 人行支付结算处 | 郑东新区商务外环路21号 | 0371-69089782 |
附件16
申请从事网约车经营
线上服务能力审核意见反馈函
你厅于 年 月 日转送的 (申请单位名称)申请网约车经营线上服务能力认定相关材料第 项,经审核, (符合/不符合)《关于网络预约出租汽车经营者申请线上服务能力认定工作流程的通知》(交办运〔2016〕143号)及相关规定。(若不符合,请注明不符合原因)
不符合原因:
1.……;
2.……(可附页)。
联系人: ;联系电话: 。
电子邮箱: 。
(单位印章)
年 月 日
附件17
申请从事网约车经营
具备线上服务能力的认定结果
(申请单位名称) 于 年 月 日向 (企业注册地交通运输主管部门)提出从事网约车经营申请。其中,线上服务能力材料经 省(交通运输部门)、(通信部门)、(公安机关)、(人民银行分支机构)、(税务机关)、(网信部门)审核,符合《网络预约出租汽车经营服务管理暂行办法》及相关规定,具备线上服务能力,服务区域为 □全国 □城市: 。
(交通运输厅公章)
年 月 日
附件18
申请从事网约车经营
不具备线上服务能力的意见告知书
(申请单位名称) 于 年 月 日向 (企业注册地交通运输主管部门)。其中,线上服务能力材料经 省(交通运输部门)、(通信部门)、(公安机关)、(人民银行分支机构)、(税务机关)、(网信部门)审核,不符合《网络预约出租汽车经营服务管理暂行办法》及相关规定,不具备线上服务能力。
整改意见如下:
1.……;
2.……(可附页)。
请按照上述意见整改,整改完成后重新提交申请。
(交通运输厅公章)
年 月 日
打印
关闭