交通運輸部于2025年3月10日批準發(fā)布了推薦性行業(yè)標準《交通運輸數(shù)據(jù)安全風險評估指南》（JT/T 1547—2025）,自2025年5月1日起實施。

一、制定背景

為規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，《數(shù)據(jù)安全法》明確提出要建立數(shù)據(jù)安全風險評估機制，要求“重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關主管部門報送風險評估報告”。交通運輸作為國民經濟的基礎性、先導性、戰(zhàn)略性產業(yè)，是重要的服務性行業(yè)和現(xiàn)代化經濟體系的重要組成部分，一旦被攻擊將引起嚴重的數(shù)據(jù)泄露，不僅會造成巨大經濟損失，還會危害國家安全和公共利益。為貫徹落實國家數(shù)據(jù)安全有關要求，指導交通運輸行業(yè)開展數(shù)據(jù)安全風險評估工作，交通運輸部組織相關單位開展了行業(yè)標準《交通運輸數(shù)據(jù)安全風險評估指南》的制定工作。

二、標準的定位和作用

本標準提出了交通運輸數(shù)據(jù)安全風險評估的原則、體系框架、方法、啟動條件和流程等，適用于交通運輸行業(yè)數(shù)據(jù)處理者和第三方評估機構開展數(shù)據(jù)安全風險評估工作，以及行業(yè)管理部門開展數(shù)據(jù)安全檢查。

三、標準主要內容

（一）評估原則

綜合考慮數(shù)據(jù)安全風險評估的實踐特性以及實施過程中的核心元素，給出了風險評估四項原則，分別是：客觀公正、可重復可再現(xiàn)、最小影響和保密。

（二）體系框架

本標準提出“評估域”的概念，具體劃分為數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術、個人信息保護等四個評估域，根據(jù)每個評估域所涉及的范圍和重點內容，具體化分為25個評估子域，302個評估項。

（三）評估方法

給出四種風險評估方法，分別是：人員訪談、文檔審核、安全核查和技術測試。

（四）評估啟動條件

遵循國家法律法規(guī)要求，結合數(shù)據(jù)安全防護的特性，給出八種風險評估啟動條件。

（五）流程

按照評估工作的基本流程，數(shù)據(jù)安全風險評估工作分為四個階段，分別是：準備、風實施、分析和評價、報告編制。

1.準備

風險評估準備工作，除組建評估團隊和制定評估方案兩項工作外，核心是對評估對象進行信息調研，包括基本情況、數(shù)據(jù)資產基礎情況、數(shù)據(jù)處理活動情況、個人信息處理情況和現(xiàn)行得數(shù)據(jù)安全措施。

2.實施

（1）概述

將所有評估項在各個評估域、評估子域中分布情況做匯總說明，作為后續(xù)整體實施過程索引。

（2）數(shù)據(jù)處理活動評估域 

本標準定義了7個評估子域，共119個評估項。

（3）數(shù)據(jù)安全管理評估域

本標準定義了6個評估子域，共66個評估項。

（4）數(shù)據(jù)安全技術評估域

本標準定義了7個評估子域，共45個評估項。

（5）個人信息保護評估域

本標準定義了5個評估子域，共72個評估項。

（6）實施結果

標準中以示例形式，給出實施結果匯總清單說明，包括評估不符合項數(shù)量和具體不符合內容。

3.分析和評價

依照上述的評估實施結果，將不符合項一一識別出常見得風險來源，分析其風險類型。分別給出附錄A和B作為對應參考。

（1）風險識別 

對于不符合項逐條進行對應風險源識別，以評估域的劃分進行風險內容的詳細說明與對應參照，共給出223個常見風險源。

（2）危害程度分析

在綜合分析數(shù)據(jù)價值、風險隱患嚴重程度的基礎上，將風險危害程度從低到高分為很低、低、中、高、很高5個級別，并以附錄C對數(shù)據(jù)安全風險危害程度進行說明。

（3）綜合影響評價

為幫助評估對象直觀了解整體風險情況，本標準以附錄D給出了評估量化評分計算參考公式（D.1），以R代表最終風險評分分值，分數(shù)越高代表風險越大，給出配套的風險評分等級表D.2。

R值為累加數(shù)值，是所有評估不符合項和符合項對應分值的累加，其中，評估符合項賦值為0，不符合項賦值為Ci，根據(jù)給出的風險危害程度等級得分區(qū)間表D.1，按照實際情況對Ci進行賦值。

4.報告編制 

本標準根據(jù)評估分析和評價結果，對評估對象的整體數(shù)據(jù)安全風險評估情況進行報告編制，以附錄F給出報告模板，以附錄G給出常見風險處置方法。

（六）附錄

本標準共給出了七個附錄，其中附錄D、E為規(guī)范性，其余為資料性，分別是：

附錄A 常見風險源，按照數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術和個人信息保護四個評估域，以表格形式列出常見風險源，共計二百二十三項；

附錄B 數(shù)據(jù)安全風險類型，按照表格形式共計歸納二十三項；

附錄C 數(shù)據(jù)安全風險危害程度，列出五個等級的具體危害描述；

附錄D 數(shù)據(jù)安全風險評分方法，對風險量化評分給出計算公式，列出分值對應等級表；

附錄E 數(shù)據(jù)安全合規(guī)評估內容，按照國家法律法規(guī)要求，結合數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術和個人信息保護四個評估域的評估項，列出數(shù)據(jù)安全合規(guī)評估內容，共計六十七項；

附錄F 數(shù)據(jù)安全風險評估報告模板，對報告封面、報告基本信息和報告主要內容提出了明確要求；

附錄G 數(shù)據(jù)安全風險常見處置方法，按照數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術和個人信息保護四個評估域，以表格形式列出常見處置方法，共計一百七十一項。

文稿編纂：交通運輸部科學研究院    黃海濤

文稿審核：交通運輸信息通信及導航標準化技術委員會  田士海