交通運(yùn)輸部于2025年3月10日批準(zhǔn)發(fā)布了推薦性行業(yè)標(biāo)準(zhǔn)《交通運(yùn)輸數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估指南》（JT/T 1547—2025）,自2025年5月1日起實(shí)施。

一、制定背景

為規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，《數(shù)據(jù)安全法》明確提出要建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，要求“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告”。交通運(yùn)輸作為國(guó)民經(jīng)濟(jì)的基礎(chǔ)性、先導(dǎo)性、戰(zhàn)略性產(chǎn)業(yè)，是重要的服務(wù)性行業(yè)和現(xiàn)代化經(jīng)濟(jì)體系的重要組成部分，一旦被攻擊將引起嚴(yán)重的數(shù)據(jù)泄露，不僅會(huì)造成巨大經(jīng)濟(jì)損失，還會(huì)危害國(guó)家安全和公共利益。為貫徹落實(shí)國(guó)家數(shù)據(jù)安全有關(guān)要求，指導(dǎo)交通運(yùn)輸行業(yè)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，交通運(yùn)輸部組織相關(guān)單位開展了行業(yè)標(biāo)準(zhǔn)《交通運(yùn)輸數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估指南》的制定工作。

二、標(biāo)準(zhǔn)的定位和作用

本標(biāo)準(zhǔn)提出了交通運(yùn)輸數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的原則、體系框架、方法、啟動(dòng)條件和流程等，適用于交通運(yùn)輸行業(yè)數(shù)據(jù)處理者和第三方評(píng)估機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，以及行業(yè)管理部門開展數(shù)據(jù)安全檢查。

三、標(biāo)準(zhǔn)主要內(nèi)容

（一）評(píng)估原則

綜合考慮數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的實(shí)踐特性以及實(shí)施過程中的核心元素，給出了風(fēng)險(xiǎn)評(píng)估四項(xiàng)原則，分別是：客觀公正、可重復(fù)可再現(xiàn)、最小影響和保密。

（二）體系框架

本標(biāo)準(zhǔn)提出“評(píng)估域”的概念，具體劃分為數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等四個(gè)評(píng)估域，根據(jù)每個(gè)評(píng)估域所涉及的范圍和重點(diǎn)內(nèi)容，具體化分為25個(gè)評(píng)估子域，302個(gè)評(píng)估項(xiàng)。

（三）評(píng)估方法

給出四種風(fēng)險(xiǎn)評(píng)估方法，分別是：人員訪談、文檔審核、安全核查和技術(shù)測(cè)試。

（四）評(píng)估啟動(dòng)條件

遵循國(guó)家法律法規(guī)要求，結(jié)合數(shù)據(jù)安全防護(hù)的特性，給出八種風(fēng)險(xiǎn)評(píng)估啟動(dòng)條件。

（五）流程

按照評(píng)估工作的基本流程，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作分為四個(gè)階段，分別是：準(zhǔn)備、風(fēng)實(shí)施、分析和評(píng)價(jià)、報(bào)告編制。

1.準(zhǔn)備

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作，除組建評(píng)估團(tuán)隊(duì)和制定評(píng)估方案兩項(xiàng)工作外，核心是對(duì)評(píng)估對(duì)象進(jìn)行信息調(diào)研，包括基本情況、數(shù)據(jù)資產(chǎn)基礎(chǔ)情況、數(shù)據(jù)處理活動(dòng)情況、個(gè)人信息處理情況和現(xiàn)行得數(shù)據(jù)安全措施。

2.實(shí)施

（1）概述

將所有評(píng)估項(xiàng)在各個(gè)評(píng)估域、評(píng)估子域中分布情況做匯總說明，作為后續(xù)整體實(shí)施過程索引。

（2）數(shù)據(jù)處理活動(dòng)評(píng)估域 

本標(biāo)準(zhǔn)定義了7個(gè)評(píng)估子域，共119個(gè)評(píng)估項(xiàng)。

（3）數(shù)據(jù)安全管理評(píng)估域

本標(biāo)準(zhǔn)定義了6個(gè)評(píng)估子域，共66個(gè)評(píng)估項(xiàng)。

（4）數(shù)據(jù)安全技術(shù)評(píng)估域

本標(biāo)準(zhǔn)定義了7個(gè)評(píng)估子域，共45個(gè)評(píng)估項(xiàng)。

（5）個(gè)人信息保護(hù)評(píng)估域

本標(biāo)準(zhǔn)定義了5個(gè)評(píng)估子域，共72個(gè)評(píng)估項(xiàng)。

（6）實(shí)施結(jié)果

標(biāo)準(zhǔn)中以示例形式，給出實(shí)施結(jié)果匯總清單說明，包括評(píng)估不符合項(xiàng)數(shù)量和具體不符合內(nèi)容。

3.分析和評(píng)價(jià)

依照上述的評(píng)估實(shí)施結(jié)果，將不符合項(xiàng)一一識(shí)別出常見得風(fēng)險(xiǎn)來源，分析其風(fēng)險(xiǎn)類型。分別給出附錄A和B作為對(duì)應(yīng)參考。

（1）風(fēng)險(xiǎn)識(shí)別 

對(duì)于不符合項(xiàng)逐條進(jìn)行對(duì)應(yīng)風(fēng)險(xiǎn)源識(shí)別，以評(píng)估域的劃分進(jìn)行風(fēng)險(xiǎn)內(nèi)容的詳細(xì)說明與對(duì)應(yīng)參照，共給出223個(gè)常見風(fēng)險(xiǎn)源。

（2）危害程度分析

在綜合分析數(shù)據(jù)價(jià)值、風(fēng)險(xiǎn)隱患嚴(yán)重程度的基礎(chǔ)上，將風(fēng)險(xiǎn)危害程度從低到高分為很低、低、中、高、很高5個(gè)級(jí)別，并以附錄C對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度進(jìn)行說明。

（3）綜合影響評(píng)價(jià)

為幫助評(píng)估對(duì)象直觀了解整體風(fēng)險(xiǎn)情況，本標(biāo)準(zhǔn)以附錄D給出了評(píng)估量化評(píng)分計(jì)算參考公式（D.1），以R代表最終風(fēng)險(xiǎn)評(píng)分分值，分?jǐn)?shù)越高代表風(fēng)險(xiǎn)越大，給出配套的風(fēng)險(xiǎn)評(píng)分等級(jí)表D.2。

R值為累加數(shù)值，是所有評(píng)估不符合項(xiàng)和符合項(xiàng)對(duì)應(yīng)分值的累加，其中，評(píng)估符合項(xiàng)賦值為0，不符合項(xiàng)賦值為Ci，根據(jù)給出的風(fēng)險(xiǎn)危害程度等級(jí)得分區(qū)間表D.1，按照實(shí)際情況對(duì)Ci進(jìn)行賦值。

4.報(bào)告編制 

本標(biāo)準(zhǔn)根據(jù)評(píng)估分析和評(píng)價(jià)結(jié)果，對(duì)評(píng)估對(duì)象的整體數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估情況進(jìn)行報(bào)告編制，以附錄F給出報(bào)告模板，以附錄G給出常見風(fēng)險(xiǎn)處置方法。

（六）附錄

本標(biāo)準(zhǔn)共給出了七個(gè)附錄，其中附錄D、E為規(guī)范性，其余為資料性，分別是：

附錄A 常見風(fēng)險(xiǎn)源，按照數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)和個(gè)人信息保護(hù)四個(gè)評(píng)估域，以表格形式列出常見風(fēng)險(xiǎn)源，共計(jì)二百二十三項(xiàng)；

附錄B 數(shù)據(jù)安全風(fēng)險(xiǎn)類型，按照表格形式共計(jì)歸納二十三項(xiàng)；

附錄C 數(shù)據(jù)安全風(fēng)險(xiǎn)危害程度，列出五個(gè)等級(jí)的具體危害描述；

附錄D 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)分方法，對(duì)風(fēng)險(xiǎn)量化評(píng)分給出計(jì)算公式，列出分值對(duì)應(yīng)等級(jí)表；

附錄E 數(shù)據(jù)安全合規(guī)評(píng)估內(nèi)容，按照國(guó)家法律法規(guī)要求，結(jié)合數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)和個(gè)人信息保護(hù)四個(gè)評(píng)估域的評(píng)估項(xiàng)，列出數(shù)據(jù)安全合規(guī)評(píng)估內(nèi)容，共計(jì)六十七項(xiàng)；

附錄F 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告模板，對(duì)報(bào)告封面、報(bào)告基本信息和報(bào)告主要內(nèi)容提出了明確要求；

附錄G 數(shù)據(jù)安全風(fēng)險(xiǎn)常見處置方法，按照數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)和個(gè)人信息保護(hù)四個(gè)評(píng)估域，以表格形式列出常見處置方法，共計(jì)一百七十一項(xiàng)。

文稿編纂：交通運(yùn)輸部科學(xué)研究院    黃海濤

文稿審核：交通運(yùn)輸信息通信及導(dǎo)航標(biāo)準(zhǔn)化技術(shù)委員會(huì)  田士海