交通运输部于2025年3月10日批准发布了推荐性行业标准《交通运输数据安全风险评估指南》（JT/T 1547—2025）,自2025年5月1日起实施。

一、制定背景

为规范数据处理活动，保障数据安全，《数据安全法》明确提出要建立数据安全风险评估机制，要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告”。交通运输作为国民经济的基础性、先导性、战略性产业，是重要的服务性行业和现代化经济体系的重要组成部分，一旦被攻击将引起严重的数据泄露，不仅会造成巨大经济损失，还会危害国家安全和公共利益。为贯彻落实国家数据安全有关要求，指导交通运输行业开展数据安全风险评估工作，交通运输部组织相关单位开展了行业标准《交通运输数据安全风险评估指南》的制定工作。

二、标准的定位和作用

本标准提出了交通运输数据安全风险评估的原则、体系框架、方法、启动条件和流程等，适用于交通运输行业数据处理者和第三方评估机构开展数据安全风险评估工作，以及行业管理部门开展数据安全检查。

三、标准主要内容

（一）评估原则

综合考虑数据安全风险评估的实践特性以及实施过程中的核心元素，给出了风险评估四项原则，分别是：客观公正、可重复可再现、最小影响和保密。

（二）体系框架

本标准提出“评估域”的概念，具体划分为数据处理活动、数据安全管理、数据安全技术、个人信息保护等四个评估域，根据每个评估域所涉及的范围和重点内容，具体化分为25个评估子域，302个评估项。

（三）评估方法

给出四种风险评估方法，分别是：人员访谈、文档审核、安全核查和技术测试。

（四）评估启动条件

遵循国家法律法规要求，结合数据安全防护的特性，给出八种风险评估启动条件。

（五）流程

按照评估工作的基本流程，数据安全风险评估工作分为四个阶段，分别是：准备、风实施、分析和评价、报告编制。

1.准备

风险评估准备工作，除组建评估团队和制定评估方案两项工作外，核心是对评估对象进行信息调研，包括基本情况、数据资产基础情况、数据处理活动情况、个人信息处理情况和现行得数据安全措施。

2.实施

（1）概述

将所有评估项在各个评估域、评估子域中分布情况做汇总说明，作为后续整体实施过程索引。

（2）数据处理活动评估域 

本标准定义了7个评估子域，共119个评估项。

（3）数据安全管理评估域

本标准定义了6个评估子域，共66个评估项。

（4）数据安全技术评估域

本标准定义了7个评估子域，共45个评估项。

（5）个人信息保护评估域

本标准定义了5个评估子域，共72个评估项。

（6）实施结果

标准中以示例形式，给出实施结果汇总清单说明，包括评估不符合项数量和具体不符合内容。

3.分析和评价

依照上述的评估实施结果，将不符合项一一识别出常见得风险来源，分析其风险类型。分别给出附录A和B作为对应参考。

（1）风险识别 

对于不符合项逐条进行对应风险源识别，以评估域的划分进行风险内容的详细说明与对应参照，共给出223个常见风险源。

（2）危害程度分析

在综合分析数据价值、风险隐患严重程度的基础上，将风险危害程度从低到高分为很低、低、中、高、很高5个级别，并以附录C对数据安全风险危害程度进行说明。

（3）综合影响评价

为帮助评估对象直观了解整体风险情况，本标准以附录D给出了评估量化评分计算参考公式（D.1），以R代表最终风险评分分值，分数越高代表风险越大，给出配套的风险评分等级表D.2。

R值为累加数值，是所有评估不符合项和符合项对应分值的累加，其中，评估符合项赋值为0，不符合项赋值为Ci，根据给出的风险危害程度等级得分区间表D.1，按照实际情况对Ci进行赋值。

4.报告编制 

本标准根据评估分析和评价结果，对评估对象的整体数据安全风险评估情况进行报告编制，以附录F给出报告模板，以附录G给出常见风险处置方法。

（六）附录

本标准共给出了七个附录，其中附录D、E为规范性，其余为资料性，分别是：

附录A 常见风险源，按照数据处理活动、数据安全管理、数据安全技术和个人信息保护四个评估域，以表格形式列出常见风险源，共计二百二十三项；

附录B 数据安全风险类型，按照表格形式共计归纳二十三项；

附录C 数据安全风险危害程度，列出五个等级的具体危害描述；

附录D 数据安全风险评分方法，对风险量化评分给出计算公式，列出分值对应等级表；

附录E 数据安全合规评估内容，按照国家法律法规要求，结合数据处理活动、数据安全管理、数据安全技术和个人信息保护四个评估域的评估项，列出数据安全合规评估内容，共计六十七项；

附录F 数据安全风险评估报告模板，对报告封面、报告基本信息和报告主要内容提出了明确要求；

附录G 数据安全风险常见处置方法，按照数据处理活动、数据安全管理、数据安全技术和个人信息保护四个评估域，以表格形式列出常见处置方法，共计一百七十一项。

文稿编纂：交通运输部科学研究院    黄海涛

文稿审核：交通运输信息通信及导航标准化技术委员会  田士海