針對(duì)iso27001信息安全，網(wǎng)約車亮身份

　　根據(jù)交通部指示，網(wǎng)約車平臺(tái)應(yīng)建立信息安全保護(hù)制度，加強(qiáng)對(duì)個(gè)人信息、國(guó)家安全信息的保護(hù)。個(gè)人信息包括駕駛員、約車人和乘客的姓名、聯(lián)系方式、家庭住址、銀行賬戶或者支付賬戶、地理位置、出行線路等;國(guó)家安全信息包括地理坐標(biāo)、地理標(biāo)志物等。

　　貴陽(yáng)市昨天公布網(wǎng)約車管理暫行辦法，與全國(guó)其他城市推出的網(wǎng)約車嚴(yán)苛準(zhǔn)入門檻相比，貴陽(yáng)在車輛軸距、價(jià)格、排量、數(shù)量管制上的“四無(wú)要求”堪稱最為開(kāi)明。與暫行辦法一同發(fā)布的《網(wǎng)約車信息安全管理暫行辦法》，更是國(guó)內(nèi)首個(gè)針對(duì)網(wǎng)約車信息安全制定的管理辦法。以往一些通過(guò)網(wǎng)絡(luò)預(yù)約的汽車服務(wù)，曾經(jīng)出現(xiàn)過(guò)不少乘客信息被泄露情況，最新出臺(tái)的《貴陽(yáng)市網(wǎng)約車信息安全管理暫行辦法》明確網(wǎng)約車平臺(tái)公司的主體責(zé)任，要求各家公司必須對(duì)所有涉及乘客的姓名、性別、電話號(hào)碼、身份證號(hào)等加密，交易信息所有敏感信息無(wú)法通過(guò)任何渠道非法獲取。此外，平臺(tái)公司不能超越業(yè)務(wù)范圍收集和使用乘客的位置、金融等個(gè)人信息。

　　關(guān)于印發(fā)《貴陽(yáng)市網(wǎng)約車信息安全管理暫行辦法》的通知

　　筑交通[2016]號(hào)129號(hào)

　　市直有關(guān)部門：

　　《貴陽(yáng)市網(wǎng)約車信息安全管理暫行辦法》已經(jīng)市人民政府研究同意，現(xiàn)印發(fā)給你們，請(qǐng)遵照?qǐng)?zhí)行。

　　貴陽(yáng)市網(wǎng)約車信息安全管理暫行辦法

　　第一章總則

　　第一條為保證我市網(wǎng)約車市場(chǎng)信息安全，維護(hù)網(wǎng)絡(luò)空間公共利益，保護(hù)乘坐人、網(wǎng)絡(luò)平臺(tái)公司、網(wǎng)約車駕駛員及個(gè)體所有人的合法權(quán)益，促進(jìn)網(wǎng)約車市場(chǎng)的有序經(jīng)營(yíng)和管理，制定本規(guī)定。

　　第二條在貴陽(yáng)市從事網(wǎng)約車信息服務(wù)的交易雙方所涉及的信息安全監(jiān)督管理，適用本規(guī)定。

　　第三條堅(jiān)持誠(chéng)實(shí)守信、健康文明的服務(wù)行為，形成全社會(huì)共同參與、促進(jìn)信息安全的良好環(huán)境。

　　第四條貴陽(yáng)市交通委員會(huì)、貴陽(yáng)市公安交通管理局、貴陽(yáng)市大數(shù)據(jù)發(fā)展管理委員會(huì)加強(qiáng)交流與合作，形成合力、齊抓共管，推動(dòng)網(wǎng)約車市場(chǎng)的安全、開(kāi)放和有序。

　　第五條市交通運(yùn)管部門負(fù)責(zé)統(tǒng)籌網(wǎng)約車信息的相關(guān)監(jiān)督管理工作。公安部門、大數(shù)據(jù)管理部門和其他有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)安全保護(hù)和監(jiān)督管理工作。

　　第六條建設(shè)、運(yùn)營(yíng)網(wǎng)約車平臺(tái)的公司或者通過(guò)網(wǎng)約車平臺(tái)提供服務(wù)的，應(yīng)當(dāng)依照法律、法規(guī)和國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障信息安全、穩(wěn)定運(yùn)行，有效應(yīng)對(duì)信息安全事件，防范違法犯罪活動(dòng)，維護(hù)信息數(shù)據(jù)的完整性、保密性和可用性。

　　第七條各網(wǎng)約車平臺(tái)公司應(yīng)依照在當(dāng)?shù)剡\(yùn)管部門備案的網(wǎng)約車信息管理規(guī)定，加強(qiáng)行業(yè)自律，提高安全信息保護(hù)水平，促進(jìn)行業(yè)健康發(fā)展。

　　第八條任何個(gè)人和組織使用網(wǎng)約車平臺(tái)應(yīng)當(dāng)遵守憲法和法律，遵守公共秩序，尊重社會(huì)公德，不得利用網(wǎng)約車平臺(tái)從事危害國(guó)家安全、傳播淫穢色情信息、擾亂社會(huì)秩序、損害公共利益和其他合法權(quán)益等活動(dòng)。

　　第九條任何個(gè)人和組織都有權(quán)對(duì)危害網(wǎng)約車平臺(tái)信息安全的行為向交通、大數(shù)據(jù)委、公安等部門舉報(bào)。收到舉報(bào)的部門應(yīng)當(dāng)及時(shí)依法作出處理;不屬于本部門職責(zé)的，應(yīng)當(dāng)及時(shí)移送有權(quán)處理的部門。

　　第二章網(wǎng)約車信息安全管理職責(zé)

　　1.網(wǎng)約車平臺(tái)公司信息安全主體責(zé)任

　　第十條敏感數(shù)據(jù)的保存。網(wǎng)約車平臺(tái)公司所產(chǎn)生的所有涉及敏感的內(nèi)容和字段，其中包括，姓名、性別、電話號(hào)碼、身份證號(hào)等必須通過(guò)加密方式存放在數(shù)據(jù)庫(kù)中，交易信息所有敏感信息無(wú)法通過(guò)任何方式非法獲取。

　　第十一條各網(wǎng)約車平臺(tái)公司應(yīng)建立健全用戶信息保護(hù)制度，加強(qiáng)對(duì)用戶個(gè)人信息、隱私和商業(yè)秘密的保護(hù)。

　　第十二條各網(wǎng)約車平臺(tái)公司收集、使用乘客個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，不得超越提供網(wǎng)約車業(yè)務(wù)所必需的范圍，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

　　第十三條各網(wǎng)約車平臺(tái)公司不得收集與其提供的服務(wù)無(wú)關(guān)的乘客個(gè)人信息，不得違反法律、行政法規(guī)，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定或者與用戶的約定，處理其保存的個(gè)人信息。

　　第十四條各網(wǎng)約車平臺(tái)公司收集的駕乘雙方信息必須嚴(yán)格保密，不得泄露、篡改、毀損，不得非法出售或者非法向他人提供。

　　第十五條各網(wǎng)約車平臺(tái)公司應(yīng)當(dāng)建立信息安全投訴、舉報(bào)平臺(tái)，公布投訴、舉報(bào)方式等信息，及時(shí)受理并處理有關(guān)信息安全的投訴和舉報(bào)。

　　第十六條各網(wǎng)約車平臺(tái)公司是信息安全管理的第一責(zé)任人，應(yīng)切實(shí)履行信息安全主體責(zé)任，并提供下列安全保護(hù)義務(wù)，確保保障信息免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

　　(一)制定內(nèi)部安全管理制度和操作規(guī)程，確定信息安全負(fù)責(zé)人，落實(shí)信息安全保護(hù)責(zé)任;

　　(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;

　　(三)采取記錄、跟蹤平臺(tái)運(yùn)行狀態(tài)，監(jiān)測(cè)、記錄信息安全事件的技術(shù)措施，并按照規(guī)定留存信息日志;

　　(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;

　　(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。

　　第十七條各網(wǎng)約車平臺(tái)公司應(yīng)為其產(chǎn)品、服務(wù)持續(xù)提供安全維護(hù)，在雙方約定的期間內(nèi)，不得終止提供信息服務(wù)。

　　第十八條各網(wǎng)約車平臺(tái)公司為駕駛員辦理信息接入、注冊(cè)服務(wù)等手續(xù)，或者為駕駛員提供信息發(fā)布服務(wù)，應(yīng)當(dāng)在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí)，要求駕駛員提供真實(shí)身份信息。駕駛員不提供真實(shí)身份信息及佐證材料的，各網(wǎng)約車平臺(tái)公司不得為其提供相關(guān)服務(wù)和證照的申報(bào)工作。

　　第十九條各網(wǎng)約車平臺(tái)公司的車輛、人員信息經(jīng)交通、公安審驗(yàn)過(guò)后方可對(duì)外推送。

　　第二十條網(wǎng)約車平臺(tái)公司對(duì)關(guān)鍵信息還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：

　　(一)設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查;

　　(二)定期對(duì)從業(yè)人員進(jìn)行信息安全教育、技術(shù)培訓(xùn)和技能考核;

　　(三)對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份;

　　(四)制定信息安全事件應(yīng)急預(yù)案，并定期組織演練;

　　(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。

　　第二十一條為國(guó)家安全和偵查犯罪的需要，偵查機(jī)關(guān)依照法律規(guī)定，可以要求網(wǎng)絡(luò)運(yùn)營(yíng)者提供必要的支持與協(xié)助。

　　2.各職能部門信息安全監(jiān)督工作職責(zé)

　　第二十二條市道路運(yùn)輸管理部門應(yīng)審核有關(guān)信息，并通過(guò)證照核發(fā)的形式予以認(rèn)可。核實(shí)信息包括：車輛車型、車輛購(gòu)置價(jià)格、車輛衛(wèi)星定位、車輛營(yíng)運(yùn)性保險(xiǎn)、從業(yè)人員培訓(xùn)等涉及證照發(fā)放信息。

　　第二十三條市道路運(yùn)輸管理部門應(yīng)將《網(wǎng)絡(luò)預(yù)約出租汽車運(yùn)輸證》，通過(guò)信息交換告知公安機(jī)關(guān)，供公安機(jī)關(guān)在車輛所有人申請(qǐng)使用性質(zhì)變更時(shí)核驗(yàn)。

　　第二十四條市道路運(yùn)輸管理部門應(yīng)對(duì)支付信息、位置信息、通訊信息進(jìn)行監(jiān)管，確保乘坐信息安全。

　　(一)市道路運(yùn)輸管理部門督促網(wǎng)約車平臺(tái)不得以任何方式顯示支付乘客的金融信息。

　　(二)市道路運(yùn)輸管理部門督促北斗衛(wèi)星定位設(shè)備供應(yīng)商、網(wǎng)約車平臺(tái)不得向任何單位和個(gè)人透露車輛和乘坐人位置信息，嚴(yán)禁位置信息和其他的導(dǎo)航軟件及可能透露位置信息的軟硬件進(jìn)行對(duì)接。

　　(三)市道路運(yùn)輸管理部門督促網(wǎng)約車平臺(tái)對(duì)乘客和駕駛員雙方的通訊信息進(jìn)行加密，并設(shè)置虛擬號(hào)碼在訂單中使用，監(jiān)督網(wǎng)約車平臺(tái)嚴(yán)禁使用其他方式或可能透露乘客聯(lián)系方式的技術(shù)進(jìn)行通訊對(duì)接。

　　第二十五條市道路運(yùn)輸管理部門按照相關(guān)法律法規(guī)，準(zhǔn)許符合標(biāo)準(zhǔn)的車輛信息、從業(yè)人員信息納入網(wǎng)約車平臺(tái)，并督促網(wǎng)約車平臺(tái)公司應(yīng)用審批同意后的信息實(shí)行對(duì)外服務(wù)。

　　第二十六條市道路運(yùn)輸管理部門按照交通部技術(shù)標(biāo)準(zhǔn)，準(zhǔn)許符合技術(shù)標(biāo)準(zhǔn)的北斗營(yíng)運(yùn)商進(jìn)入網(wǎng)約車市場(chǎng)安裝定位裝置，定位裝置產(chǎn)生的數(shù)據(jù)無(wú)條件向市道路運(yùn)輸管理部門開(kāi)放。

　　第二十七條市公安部門應(yīng)對(duì)以下信息進(jìn)行核查，并于市道路運(yùn)輸管理部門進(jìn)行信息交換：從業(yè)人員無(wú)交通肇事犯罪、危險(xiǎn)駕駛犯罪記錄，無(wú)吸毒記錄，無(wú)飲酒后駕駛記錄，最近連續(xù)3個(gè)記分周期內(nèi)沒(méi)有記滿12分記錄以及無(wú)暴力犯罪記錄，

　　第二十八條市公安部門應(yīng)將網(wǎng)約車行駛里程達(dá)到60萬(wàn)千米強(qiáng)制報(bào)廢時(shí)的信息及時(shí)告知交通運(yùn)輸部門，交通運(yùn)輸部門依法注銷其《網(wǎng)絡(luò)預(yù)約出租汽車運(yùn)輸證》;

　　第二十九條市公安部門應(yīng)依法查詢涉及人身安全和違反治安法規(guī)的有關(guān)信息，對(duì)在平臺(tái)中發(fā)生交通重大違法違章和重大治安投訴的信息進(jìn)行查實(shí)。

　　3.數(shù)據(jù)存儲(chǔ)管理的安全

　　第三十條信息存儲(chǔ)安全性。各網(wǎng)約車平臺(tái)公司信息存儲(chǔ)的基礎(chǔ)設(shè)施應(yīng)當(dāng)在我市區(qū)域內(nèi)存儲(chǔ)，并負(fù)責(zé)在運(yùn)營(yíng)中收集運(yùn)營(yíng)和個(gè)人信息等重要數(shù)據(jù)。

　　第三十一條各網(wǎng)約車平臺(tái)公司在貴陽(yáng)地區(qū)產(chǎn)生的信息數(shù)據(jù)的安全應(yīng)當(dāng)自行或者委托專業(yè)機(jī)構(gòu)對(duì)其信息的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，并對(duì)檢測(cè)評(píng)估情況及采取的改進(jìn)措施提出網(wǎng)絡(luò)安全報(bào)告，報(bào)送公安網(wǎng)信部門。

　　第三章信息監(jiān)測(cè)預(yù)警與責(zé)任處置

　　第三十二條市道路運(yùn)輸管理機(jī)構(gòu)有權(quán)向各網(wǎng)約車平臺(tái)隨時(shí)調(diào)取服務(wù)質(zhì)量評(píng)價(jià)、運(yùn)營(yíng)軌跡和運(yùn)行投訴數(shù)據(jù)，用于加強(qiáng)安全信息分析、收集和通報(bào)，建立市級(jí)統(tǒng)一的網(wǎng)約車監(jiān)管平臺(tái)。

　　第三十三條凡是發(fā)生下列行為經(jīng)調(diào)查屬實(shí)的，經(jīng)公安部門調(diào)查屬實(shí)的，終止已經(jīng)許可的《網(wǎng)絡(luò)預(yù)約出租汽車運(yùn)輸證》。

　　一是發(fā)生一般以上安全生產(chǎn)責(zé)任事故的;

　　二是其他涉及公安部門管理的重大內(nèi)容;

　　三是其他行業(yè)管理部門的規(guī)定

　　第三十四條凡是發(fā)生下列行為經(jīng)調(diào)查屬實(shí)的，經(jīng)公安部門調(diào)查屬實(shí)的，終止已經(jīng)許可的《網(wǎng)絡(luò)預(yù)約出租汽車駕駛員證》

　　一是因信息透露導(dǎo)致發(fā)生私自信息騷擾乘客的;

　　二是因信息透露導(dǎo)致?tīng)I(yíng)運(yùn)期間違法治安管理規(guī)定的;

　　三是發(fā)生毒駕、酒駕行為的，該車輛和人員的信息列入黑名單管理;

　　四是借助網(wǎng)約車信息平臺(tái)召集車輛擾亂正常出租車營(yíng)運(yùn)秩序的;

　　五是發(fā)生重大服務(wù)事件，引發(fā)乘客上訪、舉報(bào)還未處置完畢的;

　　六是對(duì)抗行業(yè)執(zhí)法，還未調(diào)查處置完畢的車輛人員信息列入黑名單管理;

　　七是瞞報(bào)、謊報(bào)、虛報(bào)證照申報(bào)信息的;

　　八是其他行業(yè)管理部門的規(guī)定

　　第三十五條市交通運(yùn)管部門、市公安部門建立信息通報(bào)制度，并按照規(guī)定相互抄送監(jiān)測(cè)預(yù)警和處置信息，監(jiān)測(cè)預(yù)警信息應(yīng)實(shí)現(xiàn)一月一抄報(bào)。

　　第三十六條市交通運(yùn)管部門按照行業(yè)管理內(nèi)容，每年度組織專業(yè)機(jī)構(gòu)對(duì)我市各網(wǎng)約車平臺(tái)公司的信息安全進(jìn)行分析，并發(fā)布年度運(yùn)行監(jiān)測(cè)報(bào)告。

　　第三十七條各網(wǎng)約車平臺(tái)公司對(duì)未按規(guī)定的要接受限期整改，因信息安全導(dǎo)致的賠償，要做到先賠先付。對(duì)拒不接受整改的，暫停該網(wǎng)約車平臺(tái)公司在我市的業(yè)務(wù)申請(qǐng)。

　　網(wǎng)約車的一系列信息安全事件，是不是對(duì)我們企業(yè)的iso27001認(rèn)證帶來(lái)一些警示呢?

　　上海賽學(xué)iso27001認(rèn)證公司的合作伙伴，將以保姆式的姿態(tài)對(duì)中小企業(yè)的信息安全進(jìn)行一次掃描，從信息安全策略到信息安全認(rèn)證全程跟蹤。

　　上海賽學(xué)免費(fèi)為各大租車公司、網(wǎng)約車平臺(tái)提供iso27001認(rèn)證咨詢方案，免費(fèi)為黃浦區(qū)|徐匯區(qū)|長(zhǎng)寧區(qū)|靜安區(qū)|普陀區(qū)|虹口區(qū)|楊浦區(qū)|寶山區(qū)|閔行區(qū)|嘉定區(qū)|浦東新區(qū)|松江區(qū)|金山區(qū)|青浦區(qū)企業(yè)做上門診斷，出具iso27001認(rèn)證風(fēng)險(xiǎn)防范策略。