交通運輸部于2025年3月10日批準發(fā)布了推薦性行業(yè)標準《交通運輸數(shù)據(jù)安全風(fēng)險評估指南》（JT/T 1547—2025）,自2025年5月1日起實施。

一、制定背景

為規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，《數(shù)據(jù)安全法》明確提出要建立數(shù)據(jù)安全風(fēng)險評估機制，要求“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告”。交通運輸作為國民經(jīng)濟的基礎(chǔ)性、先導(dǎo)性、戰(zhàn)略性產(chǎn)業(yè)，是重要的服務(wù)性行業(yè)和現(xiàn)代化經(jīng)濟體系的重要組成部分，一旦被攻擊將引起嚴重的數(shù)據(jù)泄露，不僅會造成巨大經(jīng)濟損失，還會危害國家安全和公共利益。為貫徹落實國家數(shù)據(jù)安全有關(guān)要求，指導(dǎo)交通運輸行業(yè)開展數(shù)據(jù)安全風(fēng)險評估工作，交通運輸部組織相關(guān)單位開展了行業(yè)標準《交通運輸數(shù)據(jù)安全風(fēng)險評估指南》的制定工作。

二、標準的定位和作用

本標準提出了交通運輸數(shù)據(jù)安全風(fēng)險評估的原則、體系框架、方法、啟動條件和流程等，適用于交通運輸行業(yè)數(shù)據(jù)處理者和第三方評估機構(gòu)開展數(shù)據(jù)安全風(fēng)險評估工作，以及行業(yè)管理部門開展數(shù)據(jù)安全檢查。

三、標準主要內(nèi)容

（一）評估原則

綜合考慮數(shù)據(jù)安全風(fēng)險評估的實踐特性以及實施過程中的核心元素，給出了風(fēng)險評估四項原則，分別是：客觀公正、可重復(fù)可再現(xiàn)、最小影響和保密。

（二）體系框架

本標準提出“評估域”的概念，具體劃分為數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)、個人信息保護等四個評估域，根據(jù)每個評估域所涉及的范圍和重點內(nèi)容，具體化分為25個評估子域，302個評估項。

（三）評估方法

給出四種風(fēng)險評估方法，分別是：人員訪談、文檔審核、安全核查和技術(shù)測試。

（四）評估啟動條件

遵循國家法律法規(guī)要求，結(jié)合數(shù)據(jù)安全防護的特性，給出八種風(fēng)險評估啟動條件。

（五）流程

按照評估工作的基本流程，數(shù)據(jù)安全風(fēng)險評估工作分為四個階段，分別是：準備、風(fēng)實施、分析和評價、報告編制。

1.準備

風(fēng)險評估準備工作，除組建評估團隊和制定評估方案兩項工作外，核心是對評估對象進行信息調(diào)研，包括基本情況、數(shù)據(jù)資產(chǎn)基礎(chǔ)情況、數(shù)據(jù)處理活動情況、個人信息處理情況和現(xiàn)行得數(shù)據(jù)安全措施。

2.實施

（1）概述

將所有評估項在各個評估域、評估子域中分布情況做匯總說明，作為后續(xù)整體實施過程索引。

（2）數(shù)據(jù)處理活動評估域 

本標準定義了7個評估子域，共119個評估項。

（3）數(shù)據(jù)安全管理評估域

本標準定義了6個評估子域，共66個評估項。

（4）數(shù)據(jù)安全技術(shù)評估域

本標準定義了7個評估子域，共45個評估項。

（5）個人信息保護評估域

本標準定義了5個評估子域，共72個評估項。

（6）實施結(jié)果

標準中以示例形式，給出實施結(jié)果匯總清單說明，包括評估不符合項數(shù)量和具體不符合內(nèi)容。

3.分析和評價

依照上述的評估實施結(jié)果，將不符合項一一識別出常見得風(fēng)險來源，分析其風(fēng)險類型。分別給出附錄A和B作為對應(yīng)參考。

（1）風(fēng)險識別 

對于不符合項逐條進行對應(yīng)風(fēng)險源識別，以評估域的劃分進行風(fēng)險內(nèi)容的詳細說明與對應(yīng)參照，共給出223個常見風(fēng)險源。

（2）危害程度分析

在綜合分析數(shù)據(jù)價值、風(fēng)險隱患嚴重程度的基礎(chǔ)上，將風(fēng)險危害程度從低到高分為很低、低、中、高、很高5個級別，并以附錄C對數(shù)據(jù)安全風(fēng)險危害程度進行說明。

（3）綜合影響評價

為幫助評估對象直觀了解整體風(fēng)險情況，本標準以附錄D給出了評估量化評分計算參考公式（D.1），以R代表最終風(fēng)險評分分值，分數(shù)越高代表風(fēng)險越大，給出配套的風(fēng)險評分等級表D.2。

R值為累加數(shù)值，是所有評估不符合項和符合項對應(yīng)分值的累加，其中，評估符合項賦值為0，不符合項賦值為Ci，根據(jù)給出的風(fēng)險危害程度等級得分區(qū)間表D.1，按照實際情況對Ci進行賦值。

4.報告編制 

本標準根據(jù)評估分析和評價結(jié)果，對評估對象的整體數(shù)據(jù)安全風(fēng)險評估情況進行報告編制，以附錄F給出報告模板，以附錄G給出常見風(fēng)險處置方法。

（六）附錄

本標準共給出了七個附錄，其中附錄D、E為規(guī)范性，其余為資料性，分別是：

附錄A 常見風(fēng)險源，按照數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)和個人信息保護四個評估域，以表格形式列出常見風(fēng)險源，共計二百二十三項；

附錄B 數(shù)據(jù)安全風(fēng)險類型，按照表格形式共計歸納二十三項；

附錄C 數(shù)據(jù)安全風(fēng)險危害程度，列出五個等級的具體危害描述；

附錄D 數(shù)據(jù)安全風(fēng)險評分方法，對風(fēng)險量化評分給出計算公式，列出分值對應(yīng)等級表；

附錄E 數(shù)據(jù)安全合規(guī)評估內(nèi)容，按照國家法律法規(guī)要求，結(jié)合數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)和個人信息保護四個評估域的評估項，列出數(shù)據(jù)安全合規(guī)評估內(nèi)容，共計六十七項；

附錄F 數(shù)據(jù)安全風(fēng)險評估報告模板，對報告封面、報告基本信息和報告主要內(nèi)容提出了明確要求；

附錄G 數(shù)據(jù)安全風(fēng)險常見處置方法，按照數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)和個人信息保護四個評估域，以表格形式列出常見處置方法，共計一百七十一項。

文稿編纂：交通運輸部科學(xué)研究院    黃海濤

文稿審核：交通運輸信息通信及導(dǎo)航標準化技術(shù)委員會  田士海