通信主管部门网络预约出租汽车线上服务能力认定.docx
《通信主管部门网络预约出租汽车线上服务能力认定.docx》由会员分享,可在线阅读,更多相关《通信主管部门网络预约出租汽车线上服务能力认定.docx(13页珍藏版)》请在冰豆网上搜索。
通信主管部门网络预约出租汽车线上服务能力认定
通信主管部门网络预约出租汽车线上服务能力认定
申请材料模板
整体要求:
填写完整,不留空白栏;字迹工整,清晰可辨,提交申请时留下申请负责人的联系方式
法人代表签字:
申报单位:
全称,与营业执照保持一致(盖章)
申报日期:
年月日
材料1:
公司基本信息
公司名称
企业法人营业执照
注册号
注册地址
法定代表人姓名
身份证号
法人代表联系方式
通信地址
技术负责人姓名
技术负责人手机
技术负责人固话(区号-电话号码)
技术负责人电子邮箱
联系人姓名
联系人手机
联系人固话(区号-电话号码)
联系人电子邮箱
公司业务介绍
填表说明
1.法人代表、技术负责人、联系人的联系方式应真实有效。
附件:
公司企业法人营业执照副本、法定代表人身份证原件正反面复印件;
材料2:
技术部门及人员信息
技术部门名称及职责
(可填多个)
公司技术及安全负责人名单
(至少应包括专人专岗的技术负责人、网络及信息安全负责人)
序号
姓名
身份证号码
职务
学历
联系电话
职称/资质证明
公司主要技术人员名单
序号
姓名
身份证号码
职务
专业
学历
联系电话
职称/资质证明
填表说明
1.技术部门应包括技术研发部门和维护部门。
2.技术及安全负责人应不少于2人,至少应包括专人专岗的技术负责人、网络及信息安全负责人。
3.人员姓名、身份证号应与有效期内的身份证信息完全一致,且其职务和联系电话真实有效。
4.职称/资质证明包括行业认证、职业技能鉴定等技术能力证明材料。
附件:
技术负责人、网络与信息安全负责人、主要技术人员身份证正反面复印件或社保部门出具的境外人士工作证明,技术能力证明材料复印件(职称、资质证明等),正式劳动合同复印件,公司近期为员工所上的社保证明(至少三个月,应加盖社保机构红章)。
材料3:
服务器、网络设备清单
设备类型
设备型号
数量
制造商
主要性能指标
采购或租赁协议
附件:
服务器、网络设备等设施的采购或租赁协议复印件。
材料4:
线上服务功能说明(可另附页)
平台线上服务简介
业务内容描述、服务范围、目标用户、收费模式等
平台服务功能介绍
面向乘客和驾驶员功能介绍
平台信息内容
1.信息种类、内容。
2.数据的采集、存储、传输、使用、加密方式说明。
3.信息保护制度设计说明。
监管数据接口功能说明
配合监管部门依法查询、调取数据信息的接口功能说明
接入服务商及接入地
服务器放置地
IP地址及功能(连续IP地址用“-”链接;多个IP地址用“;”隔开)
填表说明
1.服务器放置、接入地址精确到机房。
2.公网IP地址段要写全,对应系统功能要说明。
3.平台含互联网平台和移动应用程序(APP)。
附件:
服务器托管协议或互联网接入协议复印件。
附件:
托管方或接入商经营资质证明材料复印件。
附件:
配合依法查询、调取相关数据信息的功能设计、工作制度和责任机构、责任人以及联系方式等材料说明。
材料5:
平台软硬件及数据库说明(可另附页)
平台软硬件说明
1.服务平台的软件构成,含软件类型、数量、研发单位或生产商等。
2.平台架构及网络拓扑(含文字说明),对外服务链路带宽。
3.平台响应速度、最大并发数等性能指标。
数据库情况说明
数据库结构(含数据结构、I/O等)以及数据库容量、存储参数等性能指标。
填表说明
1.平台含互联网平台和移动应用程序(APP)。
材料6:
网约车网络安全定级备案信息表
6.1-企业基本信息表
企业名称
网络安全
负责人
姓名
职务/职称
办公电话
电子邮件
移动电话
网络安全应急
联系人
姓名
职务/职称
办公电话
电子邮件
移动电话
姓名
职务/职称
办公电话
电子邮件
移动电话
网络安全防护定级备案总体情况
网络与系统单元列表
(注:
每个网络与系统单元需单独填写“2-网络与系统单元定级备案信息表”)
网络与系统单元1
网络与系统单元2
网络与系统单元3
……
6.2-网络与系统单元定级备案信息表
系统名称
主要功能及服务
服务范围
全国省(自治区、直辖市)内跨省(自治区、直辖市)跨个,分别为:
自定安全等级
第2级第3级第4级
所在机房1
接入地1
所在机房2
接入地2
……
主要应用软件
情况
(注:
主要包括为对外提供服务开发的应用软件,包括APP等;不含office等通用应用软件)
序号
名称
研发方
当前版本
维护方式
已运行时间
1
□自行研发
□第三方研发
□远程
□本地
2
……
网络用户信息存储处理情况
未处理或存储信息处理或存储信息,(请提供存储或处理的网络用户信息的类型名称)
公网IP地址段
主要协议和端口
接入总带宽(MB)
所用域名
.cn域名相关记录
NS记录
A记录
域名注册服务机构信息
机构名称
联系人及办公电话
填表人
填表日期
材料7:
企业网络安全管理制度建立情况相关材料
按照《网络安全法》、《通信网络安全防护管理办法》(工信部令11号)等法律法规要求,网络安全管理制度建立情况应包括企业设置网络安全专门管理机构、企业网络安全主管领导的情况、配备网络安全专门工作人员情况,以及企业建立的网络安全防护管理、安全事件应急、重大事件报告、网络安全应急预案等规章制度情况。
其中,网络安全应急预案文本内容应包括:
事件应急负责人及联系方式、针对不同等级的网络安全事件制定的应急预案程序与处置流程、说明应急预案启动的条件、发生安全事件后要采取的信息报送工作流程、后期恢复措施等。
材料8:
网约车互联网平台网络安全防护相关报告
网约车互联网平台应按照《通信网络安全防护管理办法》(工信部令11号)、《电信网和互联网安全等级保护实施指南》等通信行业网络安全防护相关法规和标准要求,开展网络安全防护工作,落实防护措施,及时消除安全隐患,保障网络与系统安全,主要包括网络与系统定级备案、网络安全符合性评测和风险评估。
并向通信主管部门提交定级备案报告、符合性评测报告、风险评估及整改报告。
网约车互联网平台网络安全定级备案可在省级通信主管部门指导下采取自主定级方式,网络安全符合性评测报告、风险及整改评估报告可由具备网络安全评估等相应安全服务能力的第三方安全检测机构提供或者企业自行开展。
报告的具体内容有:
8.1网络安全定级报告内容
1.根据《电信网和互联网安全等级保护实施指南(YD/T1729-2008)》关于通信行业网络安全防护相关标准要求,对网约车互联网平台进行安全等级划分等活动的概述。
总体原则是:
按照定级对象受到破坏后对国家安全、社会秩序、经济运行、公共利益以及网络和企业合法权益的损害程度,进行安全等级划分。
2.对网络与系统(定级对象)信息的详细描述,包括:
(1)企业特征、业务范围、安全管理基本情况以及其他基本情况;
(2)安全技术情况,包括网络与系统所在的物理环境、网络拓扑结构、网络关键设备(包括服务器、安全设备、应用系统等)情况、服务范围、网络处理和传送的信息资产、服务范围和用户类型等信息,网络边界。
3.说明网络安全等级定级理由、要素以及安全等级确定结果等。
8.2网络安全符合性评测报告
1.评估任务及标准概述,其中评估标准包括:
(1)《电信网和互联网安全防护管理指南(YD/T1728-2008)》
(2)《电信网和互联网信息服务业务系统安全防护要求(YD/T2243-2016)》
(3)《电信网和互联网信息服务业务系统安全防护检测要求(YD/T2244-2011)》
(4)《电信网和互联网管理安全等级保护要求(YD/T1756-2008)》
(5)《电信网和互联网管理安全等级保护检测要求(YD/T1757-2008)》
(6)《电信网和互联网安全防护基线配置要求网络设备(YD/T2698-2014)》
(7)《电信网和互联网安全防护基线配置要求安全设备(YD/T2699-2014)》
(8)《电信网和互联网安全防护基线配置要求数据库(YD/T2700-2014)》
(9)《电信网和互联网安全防护基线配置要求操作系统(YD/T2701-2014)》
(10)《电信网和互联网安全防护基线配置要求中间件(YD/T2702-2014)》等电信网和互联网安全防护系列标准。
(11)《电信网和互联网安全防护基线配置要求WEB应用系统(YD/T2703-2014)》
(12)《第三方安全服务能力评定准则(YD/T2669-2013)》
2.符合性评测活动采取的技术措施,如采用访谈、检查、仪表测试、人工测试等方式,对受测网络单元的安全状况以及相关设备、系统潜在的安全隐患进行技术检测。
3.技术检测应包括系统安全加固、网络拓扑、冗余与灾难备份、网络及设备安全策略、设备漏洞、口令安全、介质管理、日志与安全审计等方面。
技术检测对象应包括:
(1)生产主机:
检查生产运行主机的操作系统、数据库、中间件以及第三方软件,包括账号安全、口令安全、授权安全、Web安全、补丁安全、客户信息安全、开放端口安全、安全配置、日志与审计等;
(2)网络设备:
检查交换机、防火墙等网络设备,包括账号安全、口令安全、授权安全、Web安全、补丁安全、IP协议安全等;
(3)安全防护设备:
检查IPS、IDS、web应用防火墙、防dos设备等安全防护设备,包括账号安全、口令安全、授权安全、补丁安全、开放端口安全、Web安全、防护策略配置、告警配置、攻击防护、IP协议、日志与审计等;
(4)其他:
检查与约车主要平台相连的辅助系统的安全性,包括账号安全、口令安全、授权安全、补丁安全、客户信息安全、Web安全、开放端口安全、安全配置、日志与审计等。
4.符合性评测结果,包括符合性评测得分、达标率、不达标项说明,系统的整体安全性是否达到标准要求。
8.3风险评估及整改报告
1.风险评估过程的描述,包括:
采用的技术评估手段,如工具扫描、远程仪表测试、人工测试等方式;技术评估内容,如漏洞扫描、网络安全性检测、主机安全性检测、应用安全性检测、管理安全性检测和渗透性测试等。
2.风险评估分析结果说明,例如被检测网络与系统的安全隐患类型、漏洞数量和级别、可导致的后果,并附截图证据。
3.总结被检网络与系统存在的主要问题,以及针对检测发现的具体问题进行整改的情况。
材料9:
网约车移动应用程序(APP)安全保障能力报告
报告需由具备网络安全评估等相应安全服务能力的第三方安全检测机构出具。
根据《电信和互联网用户个人信息保护规定》(工信部令24号)及移动应用程序(APP)网络安全相关标准要求,重点证明网约车移动应
升级会员 