附件1-安徽省通信管理局

1、<p>　　通信主管部門網(wǎng)絡(luò)預(yù)約出租汽車線上服務(wù)能力認(rèn)定</p><p><b>　　申請材料模板</b></p><p>　　整體要求：填寫完整，不留空白欄；字跡工整，清晰可辨，提交申請時留下申請負(fù)責(zé)人的聯(lián)系方式</p><p>　　法人代表簽字： </p>

2、<p>　　申報單位：全稱，與營業(yè)執(zhí)照保持一致（蓋章） </p><p>　　申報日期： 年 月 日</p><p>　　材料1：公司基本信息</p><p><b>　　填表說明</b></p><p>　　附件：公司企業(yè)法人營業(yè)執(zhí)照副本、法定代表人身份證原件正反面復(fù)印件；<

3、;/p><p>　　材料2：技術(shù)部門及人員信息</p><p><b>　　填表說明</b></p><p>　　附件：技術(shù)負(fù)責(zé)人、網(wǎng)絡(luò)與信息安全負(fù)責(zé)人、主要技術(shù)人員身份證正反面復(fù)印件或社保部門出具的境外人士工作證明，技術(shù)能力證明材料復(fù)印件(職稱、資質(zhì)證明等)，正式勞動合同復(fù)印件，公司近期為員工所上的社保證明（至少三個月，應(yīng)加蓋社保機構(gòu)紅章）。&l

4、t;/p><p>　　材料3：服務(wù)器、網(wǎng)絡(luò)設(shè)備清單</p><p>　　附件：服務(wù)器、網(wǎng)絡(luò)設(shè)備等設(shè)施的采購或租賃協(xié)議復(fù)印件。</p><p>　　材料4：線上服務(wù)功能說明（可另附頁）</p><p><b>　　填表說明</b></p><p>　　附件：服務(wù)器托管協(xié)議或互聯(lián)網(wǎng)接入?yún)f(xié)議復(fù)印件。<

5、/p><p>　　附件：托管方或接入商經(jīng)營資質(zhì)證明材料復(fù)印件。</p><p>　　附件：配合依法查詢、調(diào)取相關(guān)數(shù)據(jù)信息的功能設(shè)計、工作制度和責(zé)任機構(gòu)、責(zé)任人以及聯(lián)系方式等材料說明。</p><p>　　材料5：平臺軟硬件及數(shù)據(jù)庫說明（可另附頁）</p><p><b>　　填表說明</b></p><p

6、>　　材料6：網(wǎng)約車網(wǎng)絡(luò)安全定級備案信息表</p><p>　　6.1-企業(yè)基本信息表</p><p>　　6.2-網(wǎng)絡(luò)與系統(tǒng)單元定級備案信息表</p><p>　　材料7：企業(yè)網(wǎng)絡(luò)安全管理制度建立情況相關(guān)材料</p><p>　　按照《網(wǎng)絡(luò)安全法》、《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》（工信部令11號）等法律法規(guī)要求，網(wǎng)絡(luò)安全管理制度建立情況

7、應(yīng)包括企業(yè)設(shè)置網(wǎng)絡(luò)安全專門管理機構(gòu)、企業(yè)網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)的情況、配備網(wǎng)絡(luò)安全專門工作人員情況，以及企業(yè)建立的網(wǎng)絡(luò)安全防護(hù)管理、安全事件應(yīng)急、重大事件報告、網(wǎng)絡(luò)安全應(yīng)急預(yù)案等規(guī)章制度情況。其中，網(wǎng)絡(luò)安全應(yīng)急預(yù)案文本內(nèi)容應(yīng)包括：事件應(yīng)急負(fù)責(zé)人及聯(lián)系方式、針對不同等級的網(wǎng)絡(luò)安全事件制定的應(yīng)急預(yù)案程序與處置流程、說明應(yīng)急預(yù)案啟動的條件、發(fā)生安全事件后要采取的信息報送工作流程、后期恢復(fù)措施等。</p><p>　　材料8：

8、網(wǎng)約車互聯(lián)網(wǎng)平臺網(wǎng)絡(luò)安全防護(hù)相關(guān)報告</p><p>　　網(wǎng)約車互聯(lián)網(wǎng)平臺應(yīng)按照《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》（工信部令11號）、《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實施指南》等通信行業(yè)網(wǎng)絡(luò)安全防護(hù)相關(guān)法規(guī)和標(biāo)準(zhǔn)要求，開展網(wǎng)絡(luò)安全防護(hù)工作，落實防護(hù)措施，及時消除安全隱患，保障網(wǎng)絡(luò)與系統(tǒng)安全，主要包括網(wǎng)絡(luò)與系統(tǒng)定級備案、網(wǎng)絡(luò)安全符合性評測和風(fēng)險評估。并向通信主管部門提交定級備案報告、符合性評測報告、風(fēng)險評估及整改報告。<

9、;/p><p>　　網(wǎng)約車互聯(lián)網(wǎng)平臺網(wǎng)絡(luò)安全定級備案可在省級通信主管部門指導(dǎo)下采取自主定級方式，網(wǎng)絡(luò)安全符合性評測報告、風(fēng)險及整改評估報告可由具備網(wǎng)絡(luò)安全評估等相應(yīng)安全服務(wù)能力的第三方安全檢測機構(gòu)提供或者企業(yè)自行開展。報告的具體內(nèi)容有：</p><p>　　8.1網(wǎng)絡(luò)安全定級報告內(nèi)容</p><p>　　1.根據(jù)《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實施指南（YD/T 1729-

10、2008）》關(guān)于通信行業(yè)網(wǎng)絡(luò)安全防護(hù)相關(guān)標(biāo)準(zhǔn)要求，對網(wǎng)約車互聯(lián)網(wǎng)平臺進(jìn)行安全等級劃分等活動的概述?？傮w原則是：按照定級對象受到破壞后對國家安全、社會秩序、經(jīng)濟運行、公共利益以及網(wǎng)絡(luò)和企業(yè)合法權(quán)益的損害程度，進(jìn)行安全等級劃分。</p><p>　　2.對網(wǎng)絡(luò)與系統(tǒng)（定級對象）信息的詳細(xì)描述，包括：</p><p>　?。?）企業(yè)特征、業(yè)務(wù)范圍、安全管理基本情況以及其他基本情況；</p&

11、gt;<p>　?。?）安全技術(shù)情況，包括網(wǎng)絡(luò)與系統(tǒng)所在的物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)關(guān)鍵設(shè)備（包括服務(wù)器、安全設(shè)備、應(yīng)用系統(tǒng)等）情況、服務(wù)范圍、網(wǎng)絡(luò)處理和傳送的信息資產(chǎn)、服務(wù)范圍和用戶類型等信息，網(wǎng)絡(luò)邊界。</p><p>　　3.說明網(wǎng)絡(luò)安全等級定級理由、要素以及安全等級確定結(jié)果等。</p><p>　　8.2網(wǎng)絡(luò)安全符合性評測報告</p><p>

12、;　　1.評估任務(wù)及標(biāo)準(zhǔn)概述，其中評估標(biāo)準(zhǔn)包括：</p><p>　　（1）《電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南（YD/T 1728-2008）》</p><p>　?。?）《電信網(wǎng)和互聯(lián)網(wǎng)信息服務(wù)業(yè)務(wù)系統(tǒng)安全防護(hù)要求（YD/T 2243-2016）》</p><p>　　（3）《電信網(wǎng)和互聯(lián)網(wǎng)信息服務(wù)業(yè)務(wù)系統(tǒng)安全防護(hù)檢測要求（YD/T 2244-2011）》</

13、p><p>　?。?）《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)要求（YD/T 1756-2008）》</p><p>　?。?）《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護(hù)檢測要求（YD/T 1757-2008）》</p><p>　?。?）《電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求 網(wǎng)絡(luò)設(shè)備（YD/T 2698-2014）》</p><p>　?。?）《電信網(wǎng)和互聯(lián)網(wǎng)

14、安全防護(hù)基線配置要求 安全設(shè)備（YD/T 2699-2014）》</p><p>　?。?）《電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求 數(shù)據(jù)庫（YD/T 2700-2014）》</p><p>　?。?）《電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求 操作系統(tǒng)（YD/T 2701-2014）》</p><p>　?。?0）《電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求 中間件（YD/

15、T 2702-2014）》等電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)系列標(biāo)準(zhǔn)。</p><p>　?。?1）《電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)基線配置要求 WEB應(yīng)用系統(tǒng)（YD/T 2703-2014）》</p><p>　?。?2）《第三方安全服務(wù)能力評定準(zhǔn)則（YD/T 2669-2013）》</p><p>　　2.符合性評測活動采取的技術(shù)措施，如采用訪談、檢查、儀表測試、人工測試等方式

16、，對受測網(wǎng)絡(luò)單元的安全狀況以及相關(guān)設(shè)備、系統(tǒng)潛在的安全隱患進(jìn)行技術(shù)檢測。</p><p>　　3.技術(shù)檢測應(yīng)包括系統(tǒng)安全加固、網(wǎng)絡(luò)拓?fù)洹⑷哂嗯c災(zāi)難備份、網(wǎng)絡(luò)及設(shè)備安全策略、設(shè)備漏洞、口令安全、介質(zhì)管理、日志與安全審計等方面。技術(shù)檢測對象應(yīng)包括：</p><p>　?。?）生產(chǎn)主機：檢查生產(chǎn)運行主機的操作系統(tǒng)、數(shù)據(jù)庫、中間件以及第三方軟件，包括賬號安全、口令安全、授權(quán)安全、Web安全、補丁安

17、全、客戶信息安全、開放端口安全、安全配置、日志與審計等；</p><p>　?。?）網(wǎng)絡(luò)設(shè)備：檢查交換機、防火墻等網(wǎng)絡(luò)設(shè)備，包括賬號安全、口令安全、授權(quán)安全、Web安全、補丁安全、IP協(xié)議安全等；</p><p>　?。?）安全防護(hù)設(shè)備：檢查IPS、IDS、web應(yīng)用防火墻、防dos設(shè)備等安全防護(hù)設(shè)備，包括賬號安全、口令安全、授權(quán)安全、補丁安全、開放端口安全、Web安全、防護(hù)策略配置、告警

18、配置、攻擊防護(hù)、IP協(xié)議、日志與審計等；</p><p>　　（4）其他：檢查與約車主要平臺相連的輔助系統(tǒng)的安全性，包括賬號安全、口令安全、授權(quán)安全、補丁安全、客戶信息安全、Web安全、開放端口安全、安全配置、日志與審計等。</p><p>　　4.符合性評測結(jié)果，包括符合性評測得分、達(dá)標(biāo)率、不達(dá)標(biāo)項說明，系統(tǒng)的整體安全性是否達(dá)到標(biāo)準(zhǔn)要求。</p><p>　　8.

19、3風(fēng)險評估及整改報告</p><p>　　1.風(fēng)險評估過程的描述，包括：采用的技術(shù)評估手段，如工具掃描、遠(yuǎn)程儀表測試、人工測試等方式；技術(shù)評估內(nèi)容，如漏洞掃描、網(wǎng)絡(luò)安全性檢測、主機安全性檢測、應(yīng)用安全性檢測、管理安全性檢測和滲透性測試等。</p><p>　　2.風(fēng)險評估分析結(jié)果說明，例如被檢測網(wǎng)絡(luò)與系統(tǒng)的安全隱患類型、漏洞數(shù)量和級別、可導(dǎo)致的后果，并附截圖證據(jù)。</p>&

20、lt;p>　　3.總結(jié)被檢網(wǎng)絡(luò)與系統(tǒng)存在的主要問題，以及針對檢測發(fā)現(xiàn)的具體問題進(jìn)行整改的情況。</p><p>　　材料9：網(wǎng)約車移動應(yīng)用程序（APP）安全保障能力報告</p><p>　　報告需由具備網(wǎng)絡(luò)安全評估等相應(yīng)安全服務(wù)能力的第三方安全檢測機構(gòu)出具。根據(jù)《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（工信部令24號）及移動應(yīng)用程序（APP）網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)要求，重點證明網(wǎng)約車移動應(yīng)用程

21、序（APP）中不含惡意代碼、在收集用戶信息或調(diào)用系統(tǒng)權(quán)限時已告知并取得用戶同意等。對于網(wǎng)約車移動應(yīng)用程序（APP）后臺系統(tǒng)，與網(wǎng)約車互聯(lián)網(wǎng)平臺的要求相同，應(yīng)提供相應(yīng)的網(wǎng)絡(luò)與系統(tǒng)定級備案、網(wǎng)絡(luò)安全符合性評測、風(fēng)險評估及整改報告。</p><p>　　網(wǎng)約車相關(guān)移動應(yīng)用程序（APP）安全保障能力報告內(nèi)容應(yīng)包括：</p><p>　　1.被測網(wǎng)約車相關(guān)移動應(yīng)用程序（APP）列表，并提供應(yīng)用軟件運

22、營者、主要功能、后臺服務(wù)器及所在機房等信息。</p><p>　　2.安全檢測的主要方法、測試人員組成、測試案例和測試結(jié)論等。經(jīng)檢測，應(yīng)證明移動應(yīng)用程序（APP）不含有《移動互聯(lián)網(wǎng)惡意程序描述格式》等標(biāo)準(zhǔn)中所稱惡意程序、符合“未經(jīng)明示且經(jīng)用戶同意，不得實施收集使用用戶個人信息等侵害用戶合法權(quán)益或危害網(wǎng)絡(luò)安全的行為?！钡鹊囊?guī)定。</p><p>　　3.報告應(yīng)證明企業(yè)是否采取措施留存其所提供

23、的應(yīng)用軟件、有關(guān)版本、上線時間、功能簡介、用途、MD5等校驗值、服務(wù)器接入等信息以備追溯檢測，相關(guān)信息的留存時間應(yīng)不短于60日。</p><p>　　材料10：網(wǎng)絡(luò)數(shù)據(jù)安全和用戶信息保護(hù)自證報告</p><p>　　根據(jù)《網(wǎng)絡(luò)安全法》、《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（工信部令24號）、《電信和互聯(lián)網(wǎng)用戶個人電子信息保護(hù)通用技術(shù)要求和管理要求（YD/T 2692-2014）》等相關(guān)法律

24、法規(guī)和標(biāo)準(zhǔn)要求，企業(yè)應(yīng)采取適當(dāng)措施，確保網(wǎng)絡(luò)數(shù)據(jù)和用戶個人信息安全。報告內(nèi)容應(yīng)至少包括以下內(nèi)容：</p><p>　　1.數(shù)據(jù)分級分類管理措施情況。重點包括數(shù)據(jù)分級分類管理制度建設(shè)和落實情況，重要數(shù)據(jù)和用戶個人信息的分級分類方法。</p><p>　　2.數(shù)據(jù)收集環(huán)節(jié)安全情況。重點包括收集用戶個人信息是否符合相關(guān)法律法規(guī)和相關(guān)標(biāo)準(zhǔn)規(guī)定；采集用戶數(shù)據(jù)前履行告知義務(wù)的情況，采集前獲得用戶同意的

25、情況；</p><p>　　3.數(shù)據(jù)傳輸存儲環(huán)節(jié)安全情況。重點包括重要網(wǎng)絡(luò)數(shù)據(jù)和敏感用戶個人信息加密傳輸、存儲情況；數(shù)據(jù)訪問控制權(quán)限管理和審計情況；數(shù)據(jù)容災(zāi)備份情況。證明在我國境內(nèi)運營中產(chǎn)生的用戶個人信息和重要數(shù)據(jù)存儲在境內(nèi)，同時具備數(shù)據(jù)防篡改、防泄露、防竊取等能力。</p><p>　　4.數(shù)據(jù)使用共享環(huán)節(jié)安全管理情況。重點包括使用、共享用戶個人信息是否符合相關(guān)法律法規(guī)和相關(guān)標(biāo)準(zhǔn)規(guī)定；數(shù)

26、據(jù)處理外包服務(wù)安全管理情況；與企業(yè)內(nèi)部涉及重要數(shù)據(jù)、用戶個人信息處理的工作人員簽訂保密協(xié)議或責(zé)任書的情況等。</p><p>　　5.數(shù)據(jù)跨境傳輸安全管理情況。企業(yè)跨境傳輸數(shù)據(jù)是否符合《網(wǎng)絡(luò)安全法》規(guī)定。</p><p><b>　　材料11：承諾書</b></p><p><b>　　**通信管理局：</b></p

27、><p><b>　　我公司承諾：</b></p><p>　　1.保證提交的全部資料真實有效，復(fù)印件與原件相符。如線上服務(wù)能力出現(xiàn)重大變更，將及時書面告知通信主管部門并更新相關(guān)材料。</p><p>　　2.保證資金、技術(shù)人員、各項軟硬件設(shè)施、公司制度能夠滿足線上服務(wù)能力需求。保證服務(wù)質(zhì)量滿足監(jiān)管要求及客戶需求。</p><p

28、>　　3.嚴(yán)格遵守《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（工業(yè)和信息化部第24號令）、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》（國務(wù)院第292號令）及其他通信行業(yè)監(jiān)管法律、法規(guī)和政策，合法從事經(jīng)營活動。</p><p>　　4.接受各級通信主管部門的行業(yè)管理和監(jiān)督檢查，及時按要求報送相關(guān)材料。</p><p>　　5.根據(jù)電信業(yè)務(wù)市場監(jiān)測需要，按照要求向通信主管部門報送相應(yīng)的監(jiān)測信息。</p&

29、gt;<p>　　6.保證網(wǎng)絡(luò)安全與信息、數(shù)據(jù)安全。保證線上服務(wù)業(yè)務(wù)符合國家信息安全的要求；嚴(yán)格執(zhí)行國家安全管理部門和通信主管部門的安全保密管理規(guī)定；嚴(yán)格履行國家要求的網(wǎng)絡(luò)與信息安全責(zé)任。具體包括： </p><p>　　（1）按照通信行業(yè)管理部門要求，配備相應(yīng)數(shù)量的專職網(wǎng)絡(luò)與信息安全管理人員，成立相應(yīng)的網(wǎng)絡(luò)與信息安全管理機構(gòu),建立健全網(wǎng)絡(luò)與信息安全保障制度，制定應(yīng)急處置預(yù)案，并定期將相關(guān)

30、業(yè)務(wù)開展情況和網(wǎng)絡(luò)與信息安全責(zé)任落實情況向業(yè)務(wù)開展地通信行業(yè)管理部門報備。 （2）按照相關(guān)法律法規(guī)及通信行業(yè)管理部門要求建立違法違規(guī)信息發(fā)現(xiàn)和過濾技術(shù)手段，能對違法違規(guī)信息進(jìn)行隔離、過濾處置。嚴(yán)格落實違法違規(guī)信息發(fā)現(xiàn)處置機制，阻斷違法違規(guī)信息發(fā)布，對于已發(fā)布的違法違規(guī)信息應(yīng)當(dāng)立即停止傳輸，保存有關(guān)記錄，并向有關(guān)主管部門報告。 （3）嚴(yán)格落實重大信息安全事件應(yīng)急處置和報告制度，對于涉及業(yè)務(wù)相關(guān)數(shù)據(jù)安全、涉及國家網(wǎng)絡(luò)信息安全

31、的重大事件進(jìn)行緊急處置，并上報主管部門。 （4）定期開展信息安全相關(guān)法律法規(guī)及安全政策文件、配合政府監(jiān)管機制、信息安全保障制度等方面培訓(xùn)，培養(yǎng)員工信息安全意識，提高員工信息安全工作能力。 （5）網(wǎng)約車平臺日志記錄、留存技術(shù)措施滿足《網(wǎng)絡(luò)安全法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律法規(guī)有關(guān)要求。</p><p>　　（6）按照《互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估指南》（YD/T3169-2016）等通信行業(yè)標(biāo)

32、準(zhǔn),建立互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估制度，在新技術(shù)、業(yè)務(wù)或應(yīng)用上線（含合作推廣、試點、商用等）時，在基礎(chǔ)資源配置、技術(shù)實現(xiàn)方式、業(yè)務(wù)功能或用戶規(guī)模等方面發(fā)生較大變化時，開展網(wǎng)絡(luò)信息安全評估，積極防范網(wǎng)絡(luò)信息安全風(fēng)險，并在安全評估完成30日內(nèi)向通信主管部門提交書面評估報告。 （7）按照《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》（工信部令第11號）等有關(guān)要求，制定網(wǎng)絡(luò)安全防護(hù)管理制度，落實網(wǎng)絡(luò)安全“三同步”、定級備案、符合性評測和風(fēng)險評估等要求。&

33、lt;/p><p>　?。?）按照國家用戶信息保護(hù)有關(guān)法律法規(guī)和《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（工信部令第24號）等要求，開展網(wǎng)絡(luò)數(shù)據(jù)和用戶信息保護(hù)工作，防范重要數(shù)據(jù)和敏感用戶信息泄露。 （9）制定并落實網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案和網(wǎng)絡(luò)安全事件應(yīng)急處置報告制度，明確網(wǎng)絡(luò)安全事件應(yīng)急處置機制、網(wǎng)絡(luò)安全事件上報和網(wǎng)絡(luò)安全應(yīng)急演練等要求。發(fā)生重大網(wǎng)絡(luò)安全事件時，于第一時間向通信主管部門報告，并根據(jù)通信主管部門要求采

34、取應(yīng)急處置措施。 （10）當(dāng)網(wǎng)絡(luò)安全應(yīng)急聯(lián)系人發(fā)生變動時，在兩個工作日內(nèi)主動向通信主管部門報備。</p><p>　　本企業(yè)網(wǎng)絡(luò)與信息安全應(yīng)急聯(lián)系人及聯(lián)系方式：</p><p>　　以上承諾如有違反，愿接受通信行業(yè)管理部門的依法處罰。</p><p>　　法定代表人簽字： </p><p><b>