针对iso27001信息安全,网约车亮身份

 根据交通部指示,网约车平台应建立信息安全保护制度,加强对个人信息、国家安全信息的保护。个人信息包括驾驶员、约车人和乘客的姓名、联系方式、家庭住址、银行账户或者支付账户、地理位置、出行线路等;国家安全信息包括地理坐标、地理标志物等。

 
  贵阳市昨天公布网约车管理暂行办法,与全国其他城市推出的网约车严苛准入门槛相比,贵阳在车辆轴距、价格、排量、数量管制上的“四无要求”堪称最为开明。与暂行办法一同发布的《网约车信息安全管理暂行办法》,更是国内首个针对网约车信息安全制定的管理办法。以往一些通过网络预约的汽车服务,曾经出现过不少乘客信息被泄露情况,最新出台的《贵阳市网约车信息安全管理暂行办法》明确网约车平台公司的主体责任,要求各家公司必须对所有涉及乘客的姓名、性别、电话号码、身份证号等加密,交易信息所有敏感信息无法通过任何渠道非法获取。此外,平台公司不能超越业务范围收集和使用乘客的位置、金融等个人信息。
 
  关于印发《贵阳市网约车信息安全管理暂行办法》的通知
 
  筑交通[2016]号129号
 
  市直有关部门:
 
  《贵阳市网约车信息安全管理暂行办法》已经市人民政府研究同意,现印发给你们,请遵照执行。
 
  贵阳市网约车信息安全管理暂行办法
 
  第一章总则
 
  第一条为保证我市网约车市场信息安全,维护网络空间公共利益,保护乘坐人、网络平台公司、网约车驾驶员及个体所有人的合法权益,促进网约车市场的有序经营和管理,制定本规定。
 
  第二条在贵阳市从事网约车信息服务的交易双方所涉及的信息安全监督管理,适用本规定。
 
  第三条坚持诚实守信、健康文明的服务行为,形成全社会共同参与、促进信息安全的良好环境。
 
  第四条贵阳市交通委员会、贵阳市公安交通管理局、贵阳市大数据发展管理委员会加强交流与合作,形成合力、齐抓共管,推动网约车市场的安全、开放和有序。
 
  第五条市交通运管部门负责统筹网约车信息的相关监督管理工作。公安部门、大数据管理部门和其他有关部门在各自职责范围内负责安全保护和监督管理工作。
 
  第六条建设、运营网约车平台的公司或者通过网约车平台提供服务的,应当依照法律、法规和国家标准、行业标准的强制性要求,采取技术措施和其他必要措施,保障信息安全、稳定运行,有效应对信息安全事件,防范违法犯罪活动,维护信息数据的完整性、保密性和可用性。
 
  第七条各网约车平台公司应依照在当地运管部门备案的网约车信息管理规定,加强行业自律,提高安全信息保护水平,促进行业健康发展。
 
  第八条任何个人和组织使用网约车平台应当遵守宪法和法律,遵守公共秩序,尊重社会公德,不得利用网约车平台从事危害国家安全、传播淫秽色情信息、扰乱社会秩序、损害公共利益和其他合法权益等活动。
 
  第九条任何个人和组织都有权对危害网约车平台信息安全的行为向交通、大数据委、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
 
  第二章网约车信息安全管理职责
 
  1.网约车平台公司信息安全主体责任
 
  第十条敏感数据的保存。网约车平台公司所产生的所有涉及敏感的内容和字段,其中包括,姓名、性别、电话号码、身份证号等必须通过加密方式存放在数据库中,交易信息所有敏感信息无法通过任何方式非法获取。
 
  第十一条各网约车平台公司应建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护。
 
  第十二条各网约车平台公司收集、使用乘客个人信息,应当遵循合法、正当、必要的原则,不得超越提供网约车业务所必需的范围,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
 
  第十三条各网约车平台公司不得收集与其提供的服务无关的乘客个人信息,不得违反法律、行政法规,并应当依照法律、行政法规的规定或者与用户的约定,处理其保存的个人信息。
 
  第十四条各网约车平台公司收集的驾乘双方信息必须严格保密,不得泄露、篡改、毁损,不得非法出售或者非法向他人提供。
 
  第十五条各网约车平台公司应当建立信息安全投诉、举报平台,公布投诉、举报方式等信息,及时受理并处理有关信息安全的投诉和举报。
 
  第十六条各网约车平台公司是信息安全管理的第一责任人,应切实履行信息安全主体责任,并提供下列安全保护义务,确保保障信息免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
 
  (一)制定内部安全管理制度和操作规程,确定信息安全负责人,落实信息安全保护责任;
 
  (二)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施;
 
  (三)采取记录、跟踪平台运行状态,监测、记录信息安全事件的技术措施,并按照规定留存信息日志;
 
  (四)采取数据分类、重要数据备份和加密等措施;
 
  (五)法律、行政法规规定的其他义务。
 
  第十七条各网约车平台公司应为其产品、服务持续提供安全维护,在双方约定的期间内,不得终止提供信息服务。
 
  第十八条各网约车平台公司为驾驶员办理信息接入、注册服务等手续,或者为驾驶员提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求驾驶员提供真实身份信息。驾驶员不提供真实身份信息及佐证材料的,各网约车平台公司不得为其提供相关服务和证照的申报工作。
 
  第十九条各网约车平台公司的车辆、人员信息经交通、公安审验过后方可对外推送。
 
  第二十条网约车平台公司对关键信息还应当履行下列安全保护义务:
 
  (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
 
  (二)定期对从业人员进行信息安全教育、技术培训和技能考核;
 
  (三)对重要系统和数据库进行容灾备份;
 
  (四)制定信息安全事件应急预案,并定期组织演练;
 
  (五)法律、行政法规规定的其他义务。
 
  第二十一条为国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助。
 
  2.各职能部门信息安全监督工作职责
 
  第二十二条市道路运输管理部门应审核有关信息,并通过证照核发的形式予以认可。核实信息包括:车辆车型、车辆购置价格、车辆卫星定位、车辆营运性保险、从业人员培训等涉及证照发放信息。
 
  第二十三条市道路运输管理部门应将《网络预约出租汽车运输证》,通过信息交换告知公安机关,供公安机关在车辆所有人申请使用性质变更时核验。
 
  第二十四条市道路运输管理部门应对支付信息、位置信息、通讯信息进行监管,确保乘坐信息安全。
 
  (一)市道路运输管理部门督促网约车平台不得以任何方式显示支付乘客的金融信息。
 
  (二)市道路运输管理部门督促北斗卫星定位设备供应商、网约车平台不得向任何单位和个人透露车辆和乘坐人位置信息,严禁位置信息和其他的导航软件及可能透露位置信息的软硬件进行对接。
 
  (三)市道路运输管理部门督促网约车平台对乘客和驾驶员双方的通讯信息进行加密,并设置虚拟号码在订单中使用,监督网约车平台严禁使用其他方式或可能透露乘客联系方式的技术进行通讯对接。
 
  第二十五条市道路运输管理部门按照相关法律法规,准许符合标准的车辆信息、从业人员信息纳入网约车平台,并督促网约车平台公司应用审批同意后的信息实行对外服务。
 
  第二十六条市道路运输管理部门按照交通部技术标准,准许符合技术标准的北斗营运商进入网约车市场安装定位装置,定位装置产生的数据无条件向市道路运输管理部门开放。
 
  第二十七条市公安部门应对以下信息进行核查,并于市道路运输管理部门进行信息交换:从业人员无交通肇事犯罪、危险驾驶犯罪记录,无吸毒记录,无饮酒后驾驶记录,最近连续3个记分周期内没有记满12分记录以及无暴力犯罪记录,
 
  第二十八条市公安部门应将网约车行驶里程达到60万千米强制报废时的信息及时告知交通运输部门,交通运输部门依法注销其《网络预约出租汽车运输证》;
 
  第二十九条市公安部门应依法查询涉及人身安全和违反治安法规的有关信息,对在平台中发生交通重大违法违章和重大治安投诉的信息进行查实。
 
  3.数据存储管理的安全
 
  第三十条信息存储安全性。各网约车平台公司信息存储的基础设施应当在我市区域内存储,并负责在运营中收集运营和个人信息等重要数据。
 
  第三十一条各网约车平台公司在贵阳地区产生的信息数据的安全应当自行或者委托专业机构对其信息的安全性和可能存在的风险每年至少进行一次检测评估,并对检测评估情况及采取的改进措施提出网络安全报告,报送公安网信部门。
 
  第三章信息监测预警与责任处置
 
  第三十二条市道路运输管理机构有权向各网约车平台随时调取服务质量评价、运营轨迹和运行投诉数据,用于加强安全信息分析、收集和通报,建立市级统一的网约车监管平台。
 
  第三十三条凡是发生下列行为经调查属实的,经公安部门调查属实的,终止已经许可的《网络预约出租汽车运输证》。
 
  一是发生一般以上安全生产责任事故的;
 
  二是其他涉及公安部门管理的重大内容;
 
  三是其他行业管理部门的规定
 
  第三十四条凡是发生下列行为经调查属实的,经公安部门调查属实的,终止已经许可的《网络预约出租汽车驾驶员证》
 
  一是因信息透露导致发生私自信息骚扰乘客的;
 
  二是因信息透露导致营运期间违法治安管理规定的;
 
  三是发生毒驾、酒驾行为的,该车辆和人员的信息列入黑名单管理;
 
  四是借助网约车信息平台召集车辆扰乱正常出租车营运秩序的;
 
  五是发生重大服务事件,引发乘客上访、举报还未处置完毕的;
 
  六是对抗行业执法,还未调查处置完毕的车辆人员信息列入黑名单管理;
 
  七是瞒报、谎报、虚报证照申报信息的;
 
  八是其他行业管理部门的规定
 
  第三十五条市交通运管部门、市公安部门建立信息通报制度,并按照规定相互抄送监测预警和处置信息,监测预警信息应实现一月一抄报。
 
  第三十六条市交通运管部门按照行业管理内容,每年度组织专业机构对我市各网约车平台公司的信息安全进行分析,并发布年度运行监测报告。
 
  第三十七条各网约车平台公司对未按规定的要接受限期整改,因信息安全导致的赔偿,要做到先赔先付。对拒不接受整改的,暂停该网约车平台公司在我市的业务申请。
 
  网约车的一系列信息安全事件,是不是对我们企业的iso27001认证带来一些警示呢?
 
  上海赛学iso27001认证公司的合作伙伴,将以保姆式的姿态对中小企业的信息安全进行一次扫描,从信息安全策略到信息安全认证全程跟踪。
 
  上海赛学免费为各大租车公司、网约车平台提供iso27001认证咨询方案,免费为黄浦区|徐汇区|长宁区|静安区|普陀区|虹口区|杨浦区|宝山区|闵行区|嘉定区|浦东新区|松江区|金山区|青浦区企业做上门诊断,出具iso27001认证风险防范策略。
收缩