ICS 03.220.20 CCS R 80 3502 福 建 省 厦 门 市 地 方 标 准 DB3502/T 046.4—2021 网约车运营服务管理 第 4 部分：信息安全 App-based ride-hailing operation service management—Part 4 :Information security 2021 - 10 - 21 发布 2021 - 11 - 22 实施 厦门市市场监督管理局 发 布 DB3502/T 046.4—2021 目 次 前言 ................................................................................. II 引言 ................................................................................ III 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 总体要求 ........................................................................... 2 5 网约车经营者信息安全 ............................................................... 2 6 线下合作机构信息安全 ............................................................... 6 7 驾驶员和乘客信息安全 ............................................................... 7 8 管理部门信息安全 ................................................................... 7 参考文献 .............................................................................. 9 I DB3502/T 046.4—2021 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是DB3502/T 046《网约车运营服务管理》的第4部分。DB3502/T 046已经发布了以下部分： ——第1部分：运营条件； ——第2部分：服务规范； ——第3部分：运营管理； ——第4部分：信息安全。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由厦门市运输事业发展中心提出。 本文件由厦门市交通运输局归口。 本文件起草单位：厦门市运输事业发展中心、厦门市标准化研究院、厦门未来交通创新研究院、滴 滴出行科技有限公司。 本文件主要起草人：王文杰、王文果、翁明鸿、林少雄、吴珊、沈群红、李钊茜、张晓阳、孙铁、 刘浩、张旭。 本文件为首次发布。 II DB3502/T 046.4—2021 引 言 推进网约车规范化运营，有利于规范我市网约车管理，进一步提升网约车安全和服务水平。制定《网 约车运营服务管理》标准，有助于实现网约车行业规范健康发展，规范各方开展网约车运营服务管理， 满足人民群众高品质出行需求。DB3502/T 046拟由六个部分构成。 ——第1部分：运营条件，目的在于规范网约车经营者、专职网约车、兼职网约车、网约车驾驶员 开展运营所需具备的条件，作为网约车相关主体所遵循的准入依据。 ——第2部分：服务规范，目的在于规范网约车经营者及驾驶员的服务、网约车服务档次要求、遗 失物归还和服务监督管理，作为网约车相关主体开展服务所需遵循的准则。 ——第3部分：运营管理，目的在于规范网约车经营者、线下合作机构的运营管理要求，作为规范 网约车相关主体运营管理的依据。 ——第4部分：信息安全，目的在于规范网约车经营者、线下合作机构、驾驶员、乘客、管理部门 的信息安全要求，作为网约车运营服务管理的信息安全防护依据。 ——第5部分：安全与应急，目的在于规范网约车经营者、线下合作机构的安全与应急要求，作为 网约车运营安全与应急处置依据。 ——第6部分：监督管理，目的在于规范网约车管理部门的监督管理要求，作为管理部门开展网约 车监督管理的依据。 III DB3502/T 046.4—2021 网约车运营服务管理 第 4 部分：信息安全 1 范围 本文件规定了网络预约出租汽车（简称网约车）经营者、网约车线下合作机构、网约车驾驶员、网 约车乘客、网约车管理部门的信息安全要求。 本文件适用于网约车运营服务管理活动中的信息安全防护。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB 25069 信息安全技术 术语 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 29245-2012 信息安全技术 政府部门信息安全管理基本要求 GB/T 35273-2020 信息安全技术 个人信息安全规范 DB 3502/T 046.1-2019 网约车运营服务管理 第1部分：运营条件 DB 3502/T 046.2-2019 网约车运营服务管理 第2部分：服务规范 DB 3502/T 046.3-2019 网约车运营服务管理 第3部分：运营管理 3 术语和定义 GB 25069、JT/T 1068、DB3502/T 046.1-2019、DB3502/T 046.2-2019和DB 3502/T 046.3-2019界 定的以及下列术语和定义适用于本文件。 用户 user 使用网约车服务的个人，通常包括乘客和驾驶员。乘客包括约车人和乘车人。 保密性 information confidentiality 确保信息只被授权人员访问。 完整性 integrity 包括数据完整性和系统完整性。数据完整性表征数据所具有的特性，即无论数据形式作何变化，数 据的准确性和一致性均保持不变的程度；系统完整性表征系统在防止非授权用户修改或使用资源和防 止授权用户不正确地修改或使用资源的情况下，系统能履行其操作目的的品质。 可用性 availability 表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。 1 DB3502/T 046.4—2021 约车人 booking person 向网络服务平台发送预约用车请求的人，可以不是乘车人。 4 总体要求 网约车经营者、线下合作机构、管理部门在运营服务管理活动中应按照本文件要求开展信息安全 管理工作，确保网约车运营服务管理的信息安全，并接受相关部门、社会各界的监督。 网约车经营者、线下合作机构、管理部门在个人信息处理活动中应遵循合法、正当、必要的原则， 并参照 GB/T 35273-2020 中的要求执行。 网约车经营者的网络信息安全保护能力应不低于 GB/T 22239-2019 中规定的第二级等级防护要求； 网约车线下合作机构、管理部门的网络信息安全保护能力应参照 GB/T 22239-2019 的规定确定等级防 护或相关要求。 5 网约车经营者信息安全 安全管理 5.1.1 基本要求 应确保网约车信息的保密性、可用性和完整性，包括但不限于建立安全管理制度、设立安全管理岗 位、处理安全事件、编制应急预案及演练、开展安全检查及优化。 5.1.2 信息安全管理制度 5.1.2.1 展管理。 5.1.2.2 5.1.2.3 5.1.2.4 5.1.2.5 应建立符合 GB/T 22239-2019 中第二级及以上安全要求的安全管理制度，对信息安全工作开 应明确网约车经营者信息安全保护的组织机构、岗位职能和人员职责。 应对网约车运营服务过程中的信息安全管理流程，信息安全操作规范予以明确。 应设置专门的部门及人员负责信息安全管理制度的制定。 信息安全管理制度应通过正式、有效的方式向经营者内部全体人员发布，并进行版本控制。 5.1.3 信息安全管理机构 5.1.3.1 应设立信息安全管理工作的职能部门，设立信息安全主管、安全管理各岗位负责人，并规定 各负责人职责。 5.1.3.2 应配备足够数量的信息安全管理人员。 5.1.3.3 应根据各部门和岗位的职责明确信息安全授权审批事项、审批部门和批准人。 5.1.3.4 应针对系统变更、物理访问、系统接入、数据传输和数据使用等事项执行信息安全审批过程。 5.1.3.5 应加强经营者内部各类管理人员、组织机构和信息安全管理机构之间的合作和沟通，定期召 开协调会议，共同协作处理信息安全问题。 5.1.3.6 应定期进行信息安全管理工作检查与审核，检查内容包括系统日常运行，系统漏洞和数据安 全等情况。 5.1.4 信息安全管理人员 2 DB3502/T 046.4—2021 5.1.4.1 应对被录用的信息安全管理人员的身份、安全背景、专业资格或资质进行审查，并签署保密 协议。 5.1.4.2 应及时终止离岗人员的所有访问权限，收回各种工作证件、钥匙及经营者提供的软硬件设备， 并要求继续履行保密义务。 5.1.4.3 应对经营者内部各类工作人员进行信息安全教育和培训，宣贯信息安全责任和惩戒措施。 5.1.4.4 应在外部人员接入受控网络访问系统前提出书面申请，批准后由专人开设账户、分配权限并 登记备案，并与外部人员签订保密协议。 5.1.5 信息安全事件处理 5.1.5.1 应形成信息安全事件的监控机制，及时发现系统弱点、可疑事件和安全事件，并向信息安全 管理部门报告。 5.1.5.2 应建立信息安全事件报告和处理制度，明确不同类型和影响的事件报告、响应和处置流程， 规定信息安全事件现场处理、事件报告和后期恢复等环节的管理职责。 5.1.5.3 应在信息安全事件响应和处置过程中，分析和鉴定事件产生原因，收集证据，记录处理过程，