DB3502T 046.4-2021網(wǎng)約車運營服務(wù)管理 第4部分：信息安全

ICS03.220.20CCSR80福建3502省廈門市地方標準DBT.4—2021App-basedride-hailingoperationservicemanagement—Part4:Informationsecurity廈門市市場監(jiān)督管理局發(fā)布 前言請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。廈門市交通運輸局歸口。公司。珊、沈群紅、李釗茜、張曉陽、孫鐵、旭。引言管理，營所需具備的條件，作為網(wǎng)約車相關(guān)主體所遵循的準入依據(jù)。展服務(wù)所需遵循的準則?！?部分：安全與應(yīng)急，目的在于規(guī)范網(wǎng)約車經(jīng)營者、線下合作機構(gòu)的安全與應(yīng)急要求，作為網(wǎng)約車運營服務(wù)管理第4部分：信息安全本文件規(guī)定了網(wǎng)絡(luò)預(yù)約出租汽車(簡稱網(wǎng)約車)經(jīng)營者、網(wǎng)約車線下合作機構(gòu)、網(wǎng)約車駕駛員、網(wǎng)適用于網(wǎng)約車運營服務(wù)管理活動中的信息安全防護。范性引用文件，GB25069信息安全技術(shù)術(shù)語GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GBT29245-2012信息安全技術(shù)政府部門信息安全管理基本要求GBT35273-2020信息安全技術(shù)個人信息安全規(guī)范定義GB25069、JT/T1068、DB3502/T046.1-2019、DB3502/T046.2-2019和DB3502/T046.3-2019界informationconfidentialitytegrity確性和一致性均保持不變的程度；系統(tǒng)完整性表征系統(tǒng)在防止非授權(quán)用戶修改或使用資源和防的情況下，系統(tǒng)能履行其操作目的的品質(zhì)。lability被訪問與使用程度的安全屬性。.1.4信息安全管理人員ngperson4總體要求網(wǎng)約車經(jīng)營者、線下合作機構(gòu)、管理部門在運營服務(wù)管理活動中應(yīng)按照本文件要求開展信息安全網(wǎng)約車線下合作機構(gòu)、管理部門的網(wǎng)絡(luò)信息安全保護能力應(yīng)參照GB/T22239-2019的規(guī)定確定等級防網(wǎng)約車經(jīng)營者信息安全安全管理.1.1基本要求練、開展安全檢查及優(yōu)化。.1.2信息安全管理制度5.1.2.15.1.2.25.1.2.35.1.2.45.1.2.5織機構(gòu)、崗位職能和人員職責(zé)。定。的方式向經(jīng)營者內(nèi)部全體人員發(fā)布，并進行版本控制。.1.3信息安全管理機構(gòu)規(guī)定5.1.3.2應(yīng)配備足夠數(shù)量的信息安全管理人員。5.1.3.3應(yīng)根據(jù)各部門和崗位的職責(zé)明確信息安全授權(quán)審批事項、審批部門和批準人。5.1.3.5應(yīng)加強經(jīng)營者內(nèi)部各類管理人員、組織機構(gòu)和信息安全管理機構(gòu)之間的合作和溝通，定期召開協(xié)調(diào)會議，共同協(xié)作處理信息安全問題。據(jù)安5.1.4.1應(yīng)對被錄用的信息安全管理人員的身份、安全背景、專業(yè)資格或資質(zhì)進行審查，并簽署保密務(wù)。5.1.4.4應(yīng)在外部人員接入受控網(wǎng)絡(luò)訪問系統(tǒng)前提出書面申請，批準后由專人開設(shè)賬戶、分配權(quán)限并登記備案，并與外部人員簽訂保密協(xié)議。.1.5信息安全事件處理5.1.5.1應(yīng)形成信息安全事件的監(jiān)控機制，及時發(fā)現(xiàn)系統(tǒng)弱點、可疑事件和安全事件，并向信息安全程，后期恢復(fù)等環(huán)節(jié)的管理職責(zé)。件、信函、電話、推送通知等方式告知受影響的個人信息主體。.1.6應(yīng)急預(yù)案及演練據(jù)恢復(fù)流程等。對系統(tǒng)和數(shù)據(jù)安全相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)，定期開展應(yīng)急預(yù)案演練。.1.7安全檢查5.1.7.1應(yīng)制定信息安全檢查計劃和方案，明確檢查范圍、對象和方法。5.1.7.2應(yīng)定期開展信息安全檢查，記錄檢查活動，分析潛在信息安全風(fēng)險。信息安全.2.1數(shù)據(jù)收集5.2.1.1采集乘客的個人信息，分為乘客必要信息和可選信息，必要信息的采集應(yīng)用于網(wǎng)約車基礎(chǔ)服和乘客可選信息具體如下：a身份信息、位置信息、訂單信息、交易信息、通信設(shè)備信息等。件郵箱等。所移動式向個人信息主體告知采集和使用用戶個人信息的目的、方式、.2.2數(shù)據(jù)傳輸5.2.2.1基本要求車駕駛員與乘客信息數(shù)據(jù)。5.2.2.2安全區(qū)域邊界數(shù)據(jù)傳輸網(wǎng)絡(luò)安全區(qū)域邊界應(yīng)符合GB/T22239-2019中規(guī)定的第二級安全要求中關(guān)于邊界防護和訪5.2.2.3緊急情況下數(shù)據(jù)傳輸a急聯(lián)系人以用戶人身安全存在重大風(fēng)險為由，要求網(wǎng)約車經(jīng)營者提供用戶信誠b)網(wǎng)約車經(jīng)營者應(yīng)為用戶提供緊急聯(lián)系人查詢信息授權(quán)功能。用戶授權(quán)緊急聯(lián)系人查詢用戶個。5.2.2.4地圖服務(wù)數(shù)據(jù)傳輸5.2.2.5第三方平臺數(shù)據(jù)傳輸5.2.2.6網(wǎng)絡(luò)支付數(shù)據(jù)傳輸5.2.2.7司乘溝通信息溝通環(huán)節(jié)提供如下保障：b)網(wǎng)約車經(jīng)營者應(yīng)提供司乘間即時通訊服務(wù)，司乘雙方可通過App互相發(fā)送文字或語音信息聯(lián).2.3數(shù)據(jù)存儲國大5.2.3.2應(yīng)對涉及安全類投訴的相關(guān)數(shù)據(jù)進行永久保存。人身份信息、面部識別特征和行程錄音錄像數(shù)據(jù)分開存儲。5.2.3.4采集的行程軌跡和行程錄音錄像數(shù)據(jù)不應(yīng)存儲在辦公終端中，應(yīng)在有安全防護措施的服務(wù)器5.2.3.5應(yīng)部署數(shù)據(jù)容災(zāi)備份系統(tǒng)，關(guān)鍵數(shù)據(jù)宜采取異地備份，采用同步或異步方式實時在線備份數(shù)5.2.3.6應(yīng)制定災(zāi)難恢復(fù)預(yù)案并定期演練，一旦災(zāi)難發(fā)生能在短時間內(nèi)恢復(fù)數(shù)據(jù)，保障信息系統(tǒng)的業(yè).2.4數(shù)據(jù)使用5.2.4.1規(guī)范數(shù)據(jù)使用的范圍駛員信用記錄使用；5.2.4.2個人信息展示輛信息和服務(wù)評價結(jié)果，向駕駛員展示的乘客信息包括乘客手機號碼最后四位和服務(wù)評價結(jié)b提供電話溝通渠道時，應(yīng)使用虛擬電話號碼；c)乘客和駕駛員使用行程分享功能將其行程分享給親友時，向親友分享的信息包括分享人手機；f)應(yīng)對內(nèi)部業(yè)務(wù)系統(tǒng)需展示的用戶個人信息采取去標識化處理，為去標識化信息提供查看完整能的，應(yīng)對查看行為留存審計日志。5.2.4.3用戶畫像使用利；b)根據(jù)用戶畫像進行個性化展示時，應(yīng)顯著區(qū)分個性化展示的內(nèi)容和非個性化展示的內(nèi)容；益。一樣5.2.4.4駕駛員信用記錄使用駕駛員信息記錄時應(yīng)遵循如下要求：信用記錄。合作機構(gòu)信息安全車輛管理線下合作機構(gòu)信息安全管理要求1.11.21.31.41.5立信息安全管理制度，對車輛信息安全開展管理工作。。崗位，負責(zé)實施租賃經(jīng)營服務(wù)中的信息安全管理工作。告，并采取有效補救措施。期開展信息安全檢查，記錄檢查活動，分析潛在信息安全風(fēng)險。信息安全6.1.2.1不應(yīng)泄露網(wǎng)約車車輛車牌號碼、車牌顏色、車輛廠牌、車輛類型、車輛型號、所屬車主、車片、網(wǎng)約車運輸證或兼職網(wǎng)約車備案證等車輛信息。6.1.2.2不應(yīng)泄露車輛保險公司、保險號、保險類型、保險金額、保險生效時間及保險到期時間等信駕駛員管理線下合作機構(gòu)信息安全管理要求管理制度，對駕駛員信息安全開展管理工作。6.2.1.2應(yīng)建立駕駛員信息管理檔案，并按照要求向管理部門報送數(shù)據(jù)信息。全事故時，應(yīng)及時向管理部門報告，并采取有效補救措施。6.2.1.5應(yīng)定期開展信息安全檢查，記錄檢查活動，分析潛在信息安全風(fēng)險。信息安全6.2.2.1采集的駕駛員個人信息主要包括姓名、手機號碼、身份證、駕駛證、行駛證、網(wǎng)約車駕駛員線下管理業(yè)務(wù)所必需的范圍。情權(quán)。2.2.3不應(yīng)泄露網(wǎng)約車駕駛員個人信息。和乘客信息安全乘客不宜向駕駛員透露約車人或乘車人的姓名及聯(lián)系方式等個人信息。駕駛員不應(yīng)詢問和泄露乘客的姓名、聯(lián)系方式、家庭住址、乘車地址、出行線路等個人信息。乘客不應(yīng)詢問和泄露駕駛員的姓名、聯(lián)系方式、家庭地址等個人信息。管理部門信息安全管理要求.1基本要求GBT012中的相關(guān)規(guī)定。.2建立信息泄露報告制度.3安全審計與監(jiān)督8.1.3.1應(yīng)按如下要求對網(wǎng)約車經(jīng)營者開展安全審計與監(jiān)督：b)應(yīng)組織或委托專業(yè)機構(gòu)，對網(wǎng)約車經(jīng)營者在本市產(chǎn)生的信息安全性和可能存在的風(fēng)險每年至網(wǎng)絡(luò)安全報告；c律法規(guī)的要求。8.1.3.2管理部門應(yīng)接受網(wǎng)絡(luò)安全監(jiān)管部門等相關(guān)部門的監(jiān)督管理，并接受社會各界監(jiān)督。信息安全.1數(shù)據(jù)接入管理部門應(yīng)督促網(wǎng)約車經(jīng)營者按照規(guī)定的要求將真實可信、符合行業(yè)監(jiān)管需求的運營服務(wù)數(shù)據(jù)接網(wǎng)約車監(jiān)管平臺。.2數(shù)據(jù)存儲GBT5.7的要求。.3系統(tǒng)防護GBT的要求開展信