《材料10网络数据安全和用户信息保护自证报告》由会员分享,可在线阅读,更多相关《材料10网络数据安全和用户信息保护自证报告(15页珍藏版)》请在金锄头文库上搜索。
1、附件1通信主管部门网络预约出租汽车线上服务能力认定申请材料模板整体规定:填写完整,不留空白栏;笔迹工整,清晰可辨,提交申请时留下申请负责人的联系方式法人代表签字: 申报单位:全称,与营业执照保持一致(盖章) 申报日期: 年 月 日材料1:公司基本信息公司名称公司法人营业执照注 册 号注册地址法定代表人姓名身份证号法人代表联系方式通信地址技术负责人姓名技术负责人手机技术负责人固话(区号-电话号码)技术负责人电子邮箱联系人姓名联系人手机联系人固话(区号电话号码)联系人电子邮箱公司业务简介填表阐明1.法人代表、技术负责人、联系人的联系方式应真实有效。附件:公司公司法人营业执照副本、法定代表人身份证原
2、件正背面复印件;材料:技术部门及人员信息技术部门名称及职责(可填多种)公司技术及安全负责人名单(至少应涉及专人专岗的技术负责人、网络及信息安全负责人)序号姓名身份证号码职务学历联系电话职称/资质证明公司重要技术人员名单序 号姓名身份证号码职务专业学历联系电话职称/资质证明填表阐明1技术部门应涉及技术研发部门和维护部门。2技术及安全负责人应不少于2人,至少应涉及专人专岗的技术负责人、网络及信息安全负责人。人员姓名、身份证号应与有效期内的身份证信息完全一致,且其职务和联系电话真实有效。4.职称/资质证明涉及行业认证、职业技能鉴定等技术能力证明材料。附件:技术负责人、网络与信息安全负责人、重要技术人
3、员身份证正背面复印件或社保部门出具的境外人士工作证明,技术能力证明材料复印件(职称、资质证明等),正式劳动合同复印件,公司近期为员工所上的社保证明(至少三个月,应加盖社保机构红章)。材料:服务器、网络设备清单设备类型设备型号数量制造商重要性能指标采购或租赁合同附件:服务器、网络设备等设施的采购或租赁合同复印件。材料:线上服务功能阐明(可另附页)平台线上服务简介业务内容描述、服务范畴、目的顾客、收费模式等平台服务功能简介面向乘客和驾驶员功能简介平台信息内容1. 信息种类、内容。2. 数据的采集、存储、传播、使用、加密方式阐明。.信息保护制度设计阐明。监管数据接口功能阐明配合监管部门依法查询、调取
4、数据信息的接口功能阐明接入服务商及接入地服务器放置地IP地址及功能(持续P地址用“-”链接;多种IP地址用“;”隔开)填表阐明1.服务器放置、接入地址精确到机房。公网P地址段要写全,相应系统功能要阐明。3.平台含互联网平台和移动应用程序(A)。附件:服务器托管合同或互联网接入合同复印件。附件:托管方或接入商经营资质证明材料复印件。附件:配合依法查询、调取有关数据信息的功能设计、工作制度和责任机构、负责人以及联系方式等材料阐明。材料:平台软硬件及数据库阐明(可另附页)平台软硬件阐明1.服务平台的软件构成,含软件类型、数量、研发单位或生产商等。2平台架构及网络拓扑(含文字阐明),对外服务链路带宽。
5、3.平台响应速度、最大并发数等性能指标。数据库状况阐明数据库构造(含数据构造、/O等)以及数据库容量、存储参数等性能指标。填表阐明.平台含互联网平台和移动应用程序(AP)。材料6:网约车网络安全定级备案信息表6.1公司基本信息表公司名称网络安全负责人姓 名职务职称办公电话电子邮件移动电话网络安全应急联系人姓 名职务/职称办公电话电子邮件移动电话姓 名职务/职称办公电话电子邮件移动电话网络安全防护定级备案总体状况网络与系统单元列表(注:每个网络与系统单元需单独填写“2-网络与系统单元定级备案信息表”)网络与系统单元1网络与系统单元2网络与系统单元36.网络与系统单元定级备案信息表系统名称重要功能
6、及服务服务范畴0全国 0省(自治区、直辖市)内 0跨省(自治区、直辖市) 跨 个,分别为: 自定安全级别0第2级0第3级 0第4级 所在机房1接入地1所在机房接入地2重要应用软件状况(注:重要涉及为对外提供服务开发的应用软件,涉及APP等;不含offce等通用应用软件)序号名称研发方目前版本维护方式已运营时间自行研发第三方研发 远程本地2网络顾客信息存储解决状况0未解决或存储信息 0解决或存储信息,(请提供存储或解决的网络顾客信息的类型名称) 公网IP地址段重要合同和端口接入总带宽(M)所用域名.n域名有关记录S记录A记录域名注册服务机构信息机构名称联系人及办公电话填表人 填表日期材料7:公司
7、网络安全管理制度建立状况有关材料按照网络安全法、通信网络安全防护管理措施(工信部令11号)等法律法规规定,网络安全管理制度建立状况应涉及公司设立网络安全专门管理机构、公司网络安全主管领导的状况、配备网络安全专门工作人员状况,以及公司建立的网络安全防护管理、安全事件应急、重大事件报告、网络安全应急预案等规章制度状况。其中,网络安全应急预案文本内容应涉及:事件应急负责人及联系方式、针对不同级别的网络安全事件制定的应急预案程序与处置流程、阐明应急预案启动的条件、发生安全事件后要采用的信息报送工作流程、后期恢复措施等。材料8:网约车互联网平台网络安全防护有关报告网约车互联网平台应按照通信网络安全防护管
8、理措施(工信部令11号)、电信网和互联网安全级别保护实行指南等通信行业网络安全防护有关法规和原则规定,开展网络安全防护工作,贯彻防护措施,及时消除安全隐患,保障网络与系统安全,重要涉及网络与系统定级备案、网络安全符合性评测和风险评估。并向通信主管部门提交定级备案报告、符合性评测报告、风险评估及整治报告。网约车互联网平台网络安全定级备案可在省级通信主管部门指引下采用自主定级方式,网络安全符合性评测报告、风险及整治评估报告可由具有网络安全评估等相应安全服务能力的第三方安全检测机构提供或者公司自行开展。报告的具体内容有: 8.网络安全定级报告内容1根据电信网和互联网安全级别保护实行指南(YDT 12
9、9-)有关通信行业网络安全防护有关原则规定,对网约车互联网平台进行安全级别划分等活动的概述。总体原则是:按照定级对象受到破坏后对国家安全、社会秩序、经济运营、公共利益以及网络和公司合法权益的损害限度,进行安全级别划分。2.对网络与系统(定级对象)信息的具体描述,涉及:()公司特性、业务范畴、安全管理基本状况以及其她基本状况;(2)安全技术状况,涉及网络与系统所在的物理环境、网络拓扑构造、网络核心设备(涉及服务器、安全设备、应用系统等)状况、服务范畴、网络解决和传送的信息资产、服务范畴和顾客类型等信息,网络边界。3阐明网络安全级别定级理由、要素以及安全级别拟定成果等。 8.2网络安全符合性评测报
10、告1.评估任务及原则概述,其中评估原则涉及:(1)电信网和互联网安全防护管理指南(YDT 172-)(2)电信网和互联网信息服务业务系统安全防护规定(YD/ 2243-)()电信网和互联网信息服务业务系统安全防护检测规定(YD/T 224)(4)电信网和互联网管理安全级别保护规定(Y/T 56-)(5)电信网和互联网管理安全级别保护检测规定(D/T175-)()电信网和互联网安全防护基线配备规定 网络设备(D 68-)(7)电信网和互联网安全防护基线配备规定 安全设备(YD/T269-)(8)电信网和互联网安全防护基线配备规定 数据库(YD/ 70-)(9)电信网和互联网安全防护基线配备规定
11、操作系统(YD/T 2701-)(1)电信网和互联网安全防护基线配备规定 中间件(YD/T272-)等电信网和互联网安全防护系列原则。(1)电信网和互联网安全防护基线配备规定 EB应用系统(YT 2703-)(12)第三方安全服务能力评估准则(YD/T 2669-)符合性评测活动采用的技术措施,如采用访谈、检查、仪表测试、人工测试等方式,对受测网络单元的安全状况以及有关设备、系统潜在的安全隐患进行技术检测。.技术检测应涉及系统安全加固、网络拓扑、冗余与劫难备份、网络及设备安全方略、设备漏洞、口令安全、介质管理、日记与安全审计等方面。技术检测对象应涉及:()生产主机:检查生产运营主机的操作系统、
12、数据库、中间件以及第三方软件,涉及账号安全、口令安全、授权安全、We安全、补丁安全、客户信息安全、开放端口安全、安全配备、日记与审计等;(2)网络设备:检查互换机、防火墙等网络设备,涉及账号安全、口令安全、授权安全、Web安全、补丁安全、IP合同安全等;(3)安全防护设备:检查IPS、IS、wb应用防火墙、防do设备等安全防护设备,涉及账号安全、口令安全、授权安全、补丁安全、开放端口安全、eb安全、防护方略配备、告警配备、袭击防护、P合同、日记与审计等;(4)其她:检查与约车重要平台相连的辅助系统的安全性,涉及账号安全、口令安全、授权安全、补丁安全、客户信息安全、We安全、开放端口安全、安全配
13、备、日记与审计等。4符合性评测成果,涉及符合性评测得分、达标率、不达标项阐明,系统的整体安全性与否达到原则规定。 8.风险评估及整治报告1.风险评估过程的描述,涉及:采用的技术评估手段,如工具扫描、远程仪表测试、人工测试等方式;技术评估内容,如漏洞扫描、网络安全性检测、主机安全性检测、应用安全性检测、管理安全性检测和渗入性测试等。2.风险评估分析成果阐明,例如被检测网络与系统的安全隐患类型、漏洞数量和级别、可导致的后果,并附截图证据。3.总结被检网络与系统存在的重要问题,以及针对检测发现的具体问题进行整治的状况。材料:网约车移动应用程序(APP)安全保障能力报告报告需由具有网络安全评估等相应安全服务能力的第三方安全检测机构出具。根据电信和互联网顾客个人信息保护规定(工信部令24号)及移
