交通運輸部于2025年3月10日批準發布了推薦性行業標準《交通運輸數據安全風險評估指南》（JT/T 1547—2025）,自2025年5月1日起實施。

一、制定背景

為規范數據處理活動，保障數據安全，《數據安全法》明確提出要建立數據安全風險評估機制，要求“重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告”。交通運輸作為國民經濟的基礎性、先導性、戰略性產業，是重要的服務性行業和現代化經濟體系的重要組成部分，一旦被攻擊將引起嚴重的數據泄露，不僅會造成巨大經濟損失，還會危害國家安全和公共利益。為貫徹落實國家數據安全有關要求，指導交通運輸行業開展數據安全風險評估工作，交通運輸部組織相關單位開展了行業標準《交通運輸數據安全風險評估指南》的制定工作。

二、標準的定位和作用

本標準提出了交通運輸數據安全風險評估的原則、體系框架、方法、啟動條件和流程等，適用于交通運輸行業數據處理者和第三方評估機構開展數據安全風險評估工作，以及行業管理部門開展數據安全檢查。

三、標準主要內容

（一）評估原則

綜合考慮數據安全風險評估的實踐特性以及實施過程中的核心元素，給出了風險評估四項原則，分別是：客觀公正、可重復可再現、最小影響和保密。

（二）體系框架

本標準提出“評估域”的概念，具體劃分為數據處理活動、數據安全管理、數據安全技術、個人信息保護等四個評估域，根據每個評估域所涉及的范圍和重點內容，具體化分為25個評估子域，302個評估項。

（三）評估方法

給出四種風險評估方法，分別是：人員訪談、文檔審核、安全核查和技術測試。

（四）評估啟動條件

遵循國家法律法規要求，結合數據安全防護的特性，給出八種風險評估啟動條件。

（五）流程

按照評估工作的基本流程，數據安全風險評估工作分為四個階段，分別是：準備、風實施、分析和評價、報告編制。

1.準備

風險評估準備工作，除組建評估團隊和制定評估方案兩項工作外，核心是對評估對象進行信息調研，包括基本情況、數據資產基礎情況、數據處理活動情況、個人信息處理情況和現行得數據安全措施。

2.實施

（1）概述

將所有評估項在各個評估域、評估子域中分布情況做匯總說明，作為后續整體實施過程索引。

（2）數據處理活動評估域 

本標準定義了7個評估子域，共119個評估項。

（3）數據安全管理評估域

本標準定義了6個評估子域，共66個評估項。

（4）數據安全技術評估域

本標準定義了7個評估子域，共45個評估項。

（5）個人信息保護評估域

本標準定義了5個評估子域，共72個評估項。

（6）實施結果

標準中以示例形式，給出實施結果匯總清單說明，包括評估不符合項數量和具體不符合內容。

3.分析和評價

依照上述的評估實施結果，將不符合項一一識別出常見得風險來源，分析其風險類型。分別給出附錄A和B作為對應參考。

（1）風險識別 

對于不符合項逐條進行對應風險源識別，以評估域的劃分進行風險內容的詳細說明與對應參照，共給出223個常見風險源。

（2）危害程度分析

在綜合分析數據價值、風險隱患嚴重程度的基礎上，將風險危害程度從低到高分為很低、低、中、高、很高5個級別，并以附錄C對數據安全風險危害程度進行說明。

（3）綜合影響評價

為幫助評估對象直觀了解整體風險情況，本標準以附錄D給出了評估量化評分計算參考公式（D.1），以R代表最終風險評分分值，分數越高代表風險越大，給出配套的風險評分等級表D.2。

R值為累加數值，是所有評估不符合項和符合項對應分值的累加，其中，評估符合項賦值為0，不符合項賦值為Ci，根據給出的風險危害程度等級得分區間表D.1，按照實際情況對Ci進行賦值。

4.報告編制 

本標準根據評估分析和評價結果，對評估對象的整體數據安全風險評估情況進行報告編制，以附錄F給出報告模板，以附錄G給出常見風險處置方法。

（六）附錄

本標準共給出了七個附錄，其中附錄D、E為規范性，其余為資料性，分別是：

附錄A 常見風險源，按照數據處理活動、數據安全管理、數據安全技術和個人信息保護四個評估域，以表格形式列出常見風險源，共計二百二十三項；

附錄B 數據安全風險類型，按照表格形式共計歸納二十三項；

附錄C 數據安全風險危害程度，列出五個等級的具體危害描述；

附錄D 數據安全風險評分方法，對風險量化評分給出計算公式，列出分值對應等級表；

附錄E 數據安全合規評估內容，按照國家法律法規要求，結合數據處理活動、數據安全管理、數據安全技術和個人信息保護四個評估域的評估項，列出數據安全合規評估內容，共計六十七項；

附錄F 數據安全風險評估報告模板，對報告封面、報告基本信息和報告主要內容提出了明確要求；

附錄G 數據安全風險常見處置方法，按照數據處理活動、數據安全管理、數據安全技術和個人信息保護四個評估域，以表格形式列出常見處置方法，共計一百七十一項。

文稿編纂：交通運輸部科學研究院    黃海濤

文稿審核：交通運輸信息通信及導航標準化技術委員會  田士海