ICS 35.240.60 CCS R 07 中华人民共和国交通运输行业标准 JT/T 1547—2025 交通运输数据安全风险评估指南 Security risk assessment guidance for transportation data 2025-03-10发布 2025-25-01实施 中华人民共和国交通运输部发布 JT/T1547—2025 目 次 前言 范围 2 规范性引用文件 3 术语和定义 4 缩略语 5 原则 6 体系框架 7 方法 8 启动条件 6 流程 附录A(资料性) 常见风险源 60 附录B（资料性） 数据安全风险类型 68 附录C（资料性） 数据安全风险危害程度 70 附录D（规范性） 数据安全风险评分方法 72 附录E（规范性） 数据安全合规重点评估内容 附录F(资料性) 风险评估报告模板 83 附录G（资料性） 数据安全风险常见处置方法 86 参考文献 ...... 95 JT/T1547—2025 前 創言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由交通运输信息通信及导航标准化技术委员会提出并归口。 本文件起草单位：交通运输部科学研究院、中电长城网际系统应用有限公司、北京中安星云软件技 术有限公司、贵州高速数据运营有限公司、重庆数字交通产业集团有限公司、中咨数据有限公司、开元华 创科技（集团)有限公司。 本文件主要起草人：黄海涛、尚赞娣、曹剑东、王涛、淡雅静、郑强、郑金、白紫秀、张钰尧、唐毅、董元帅、 杨洪路、张宾武、刘娜、任江、吕晓婷、黄莉莉、王思源、张平、李剑斌、李俊异、张蕴灵、孙玮泽、吴聪雷。 II JT/T1547—2025 交通运输数据安全风险评估指南 1范围 本文件提出了交通运输数据安全风险评估的原则、体系框架、方法、启动条件和流程等。 本文件适用于交通运输行业数据处理者和第三方评估机构开展数据安全风险评估工作，以及行业 管理部门开展数据安全检查。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T 25069 信息安全技术术语 GB/T20984—2022信息安全技术 信息安全风险评估方法 JT/T1522—2024交通运输数据安全分级和保护要求 3术语和定义 GB/T25069、GB/T×××××界定的以及下列术语和定义适用于本文件。 3.1 交通运输数据 居 transportation data 交通运输建设、运营、服务及管理等单位在履行各级职责过程中直接或通过第三方依法采集、产生、 获取的，以电子或者其他方式记录的各类信息。 3.2 评估域 evaluation domain 实现同一安全评估目标的一系列数据安全风险评估项的集合。 注：一个评估域中包含一个或多个评估子域。 4缩略语 下列缩略语适用于本文件。 API：应用程序编程接口（ApplicationProgrammingInterface） APP：应用（Application） DBA：数据库管理员（DatabaseAdministrator） DDos：分布式拒绝服务攻击（DistributedDenialofServiceAttack） FTP：文件传输协议（FileTransferProtocol） IPSec：IP网络安全性协议（Internet Protocol Security） PIA：个人信息保护影响评估（Privacy ImpactAssessment） SQL：结构化查询语言（StructuredQueryLanguage） SSL：安全套接字层协议（SecureSocketsLayer） 1 JT/T1547—2025 SSH:安全外壳协议(Secure Shell) TLS：传输层安全性协议（Transport LayerSecurity） VPN：虚拟专用网络（VirtualPrivateNetwork） Web：万维网（WorldWideWeb) 5原则 5.1 客观公正 交通运输数据（以下简称“数据”）安全风险评估（以下简称“风险评估”）过程中，根据评估对象实 际情况作出判断和真实的评价。 5.2 可重复可再现 对于相同风险评估内容和风险评估要求，在相同风险评估环境下，采用同样风险评估方法对同一评 估对象的风险评估实施过程进行重复操作，得到相同风险评估结果。 5.3最小影响 在风险评估过程中尽量小地影响评估对象现有业务和信息系统正常运行，最大程度降低对评估对 象造成的干扰和风险。 5.4保密 参与方对风险评估所涉及评估对象的商业信息、客户信息、技术文件等进行严格保密。 6 体系框架 风险评估体系框架（图1）用于识别、执行、分析和评价数据面临的安全风险，主体内容由下列部分 组成： 风险评估对象基本信息； b) 风险评估内容，包括数据处理活动、数据安全管理、数据安全技术和个人信息保护等四个评 估域； c) 风险分析和评价。 7方法 7.1人员访谈 采取调查问卷、现场面谈或远程会议等形式，与评估对象的相关人员进行访谈，了解、分析、取证评 估对象的数据、数据处理活动和数据安全实施等情况，核查规章制度、防护措施、安全责任落实情况。 7.2 文档审核 对数据安全的管理制度、风险评估报告、等保测评报告、商用密码应用安全性评估报告、系统建设与 运维技术文档等进行审核、查验。 7.3 安全核查 核查网络环境、数据库、大数据平台等相关系统和设备的安全策略、配置、防护措施情况。 2