交通運輸部于2024年11月8日批準發(fā)布了推薦性行業(yè)標準《交通運輸數(shù)據(jù)安全分級和保護要求》（JT/T 1522—2024）,自2025年3月1日起實行。

一、制定背景

研究制定綜合交通運輸數(shù)據(jù)分類分級標準規(guī)范是《推進綜合交通運輸大數(shù)據(jù)發(fā)展行動綱要（2020-2025年》提出的一項重要任務(wù)。開展數(shù)據(jù)安全管理不能對所有數(shù)據(jù)都采用“一刀切”式的允許或者禁止使用，而是要對數(shù)據(jù)進行區(qū)分管理，劃清不同敏感級別數(shù)據(jù)的界限，針對性地提出相應(yīng)級別的安全保護要求。因此，為貫徹落實國家和部數(shù)據(jù)安全要求，提升行業(yè)數(shù)據(jù)安全管理水平，交通運輸部組織相關(guān)單位開展了行業(yè)標準《交通運輸數(shù)據(jù)安全分級和保護要求》的制定工作。

二、標準的定位和作用

本標準規(guī)定了公路水路交通運輸數(shù)據(jù)安全分級和數(shù)據(jù)保護的要求，適用于公路水路交通運輸數(shù)據(jù)處理者開展非涉密數(shù)據(jù)的安全分級和保護。

本標準是解決當(dāng)前行業(yè)貫徹國家有關(guān)要求、實施數(shù)據(jù)分級保護迫切需要的標準，能夠為行業(yè)各級數(shù)據(jù)處理部門在數(shù)據(jù)安全管理過程中開展數(shù)據(jù)分級和數(shù)據(jù)分級保護提供指導(dǎo)和參考，幫助其了解數(shù)據(jù)分級方法，指導(dǎo)分級保護落地實施，從而有效解決數(shù)據(jù)分級保護沒有依據(jù)的難題。標準的出臺實施，能夠提升行業(yè)數(shù)據(jù)安全治理和數(shù)據(jù)資產(chǎn)防護能力，推動數(shù)據(jù)資源充分利用和安全管理的有效平衡，對交通運輸行業(yè)數(shù)據(jù)安全有序利用具有重要的現(xiàn)實意義。

三、標準主要內(nèi)容

（一）數(shù)據(jù)安全分級要求

1.分級原則

根據(jù)數(shù)據(jù)安全相關(guān)法律法規(guī)要求，遵照數(shù)據(jù)分級管理和保護的思路，同時結(jié)合數(shù)據(jù)不斷變化和流通的實際情況，本標準提出邊界清晰、就高從嚴、綜合研判和適時調(diào)整四項數(shù)據(jù)安全分級原則。

2. 分級級別

在確定分級原則后，本標準首先明確分級級別，提出三個基本級別，即一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)。由于交通運輸數(shù)據(jù)具有涵蓋范圍廣、覆蓋領(lǐng)域多等特點，且絕大多數(shù)數(shù)據(jù)屬于一般數(shù)據(jù)級別，按照上述基本框架的粗獷劃分方式還遠不能滿足行業(yè)數(shù)據(jù)安全精細化保護需求，因此考慮一般數(shù)據(jù)進一步進行分級。

3. 分級要素和安全風(fēng)險分析

本標準則結(jié)合行業(yè)數(shù)據(jù)特點和實際分級需求，將國家標準中提出的規(guī)模、精度和深度作為分級要素，在要素分析基礎(chǔ)上再進行安全風(fēng)險的綜合分析，進而確定數(shù)據(jù)安全級別。

本標準提出了采用定性定量相結(jié)合方式，綜合判定數(shù)據(jù)一旦遭到泄露、篡改、毀損、非法使用或共享所危害的對象及危害的程度的安全風(fēng)險分析方法，并對安全風(fēng)險進行了詳細描述，提出了判斷危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全程度的具體指標。

4. 分級方法

基于分級要素和安全風(fēng)險分析，本標準形成了基本分級規(guī)則和一般數(shù)據(jù)細化分級規(guī)則，明確了各級別與安全風(fēng)險的判定關(guān)系，最終形成對照表格，確保分級的科學(xué)性適用性。

（1）基本分級規(guī)則

按照核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)的定義，本標準將一旦遭到泄露、篡改、毀損、非法使用或共享，對國家安全產(chǎn)生嚴重危害的數(shù)據(jù)判定為核心數(shù)據(jù)；對國家安全產(chǎn)生輕微危害，對經(jīng)濟運行、社會穩(wěn)定、公共健康和安全產(chǎn)生嚴重危害的數(shù)據(jù)判定為重要數(shù)據(jù)；其余數(shù)據(jù)為一般數(shù)據(jù)。

（2）一般數(shù)據(jù)分級

本標準依據(jù)國家標準，借鑒其他行業(yè)數(shù)據(jù)分級實踐，統(tǒng)籌考慮數(shù)據(jù)分層級安全防護策略的可實施性，選擇將一般數(shù)據(jù)級別劃分明確為1、2、3三個級別。

（3）重要數(shù)據(jù)和核心數(shù)據(jù)分級

有關(guān)法律法規(guī)和國家標準都未提出對重要數(shù)據(jù)和核心數(shù)據(jù)進一步分級的要求，考慮交通運輸行業(yè)的重要數(shù)據(jù)和核心數(shù)據(jù)種類不多，無需進一步分級管理，本標準不再對其細分。

（4）個人信息分級規(guī)則

本標準參照國家個人信息保護的法律和標準要求對個人信息分級提出了更詳細的參考規(guī)則，并在相應(yīng)附錄中給出個人信息的識別方法、個人信息舉例、個人信息分級示例等。

5. 數(shù)據(jù)分級工作開展步驟

本標準制定了數(shù)據(jù)分級工作的開展步驟，首先明確數(shù)據(jù)分級對象，接下來識別重要數(shù)據(jù)，不屬于重要數(shù)據(jù)的判定為一般數(shù)據(jù)并進一步分級，接著在識別的重要數(shù)據(jù)基礎(chǔ)上進一步識別核心數(shù)據(jù)，屬于核心數(shù)據(jù)的判定為核心數(shù)據(jù)，不屬于核心數(shù)據(jù)的判定為重要數(shù)據(jù)。

6. 數(shù)據(jù)級別適時調(diào)整

隨著數(shù)據(jù)規(guī)模、時效性等因素變化的影響，數(shù)據(jù)級別應(yīng)當(dāng)重新確定，因此本標準對數(shù)據(jù)分級提出適時調(diào)整要求，給出了應(yīng)對數(shù)據(jù)級別進行適時調(diào)整的七類情形。

（二）數(shù)據(jù)保護要求

1. 保護原則

本標準在提出數(shù)據(jù)安全分級方法后，圍繞數(shù)據(jù)處理全流程的各個關(guān)鍵階段，進一步提出差異化的數(shù)據(jù)保護要求，依據(jù)數(shù)據(jù)安全級別采用分級保護思路，保護措施貫穿數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等數(shù)據(jù)處理過程環(huán)節(jié)。

2. 管理制度

按照數(shù)據(jù)安全法，本標準將數(shù)據(jù)處理全過程劃分為數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開和刪除，提出將數(shù)據(jù)安全分級防護要求貫穿至數(shù)據(jù)處理全過程各環(huán)節(jié)的保護要求。針對不同安全級別的數(shù)據(jù)，數(shù)據(jù)處理者應(yīng)依據(jù)相應(yīng)的法規(guī)制度建立必要的安全管理制度、審批制度、應(yīng)急處置制度。

3.分級保護要求

數(shù)據(jù)的安全保護在滿足保護原則和管理制度要求的前提下，還要滿足數(shù)據(jù)安全級別對的分級保護要求，本標準將保護的等級對應(yīng)數(shù)據(jù)安全級別劃分為5級，由低到高依次為：“一般1級數(shù)據(jù)保護要求”、“一般2級數(shù)據(jù)保護要求”、“一般3級數(shù)據(jù)保護要求”、“重要數(shù)據(jù)保護要求”以及“核心數(shù)據(jù)保護要求”，每一級要求都是在上一級要求之上層層“加碼”，以指導(dǎo)相關(guān)部門在實際工作中快速定位不同級別、不同階段的數(shù)據(jù)安全保護具體要求。

四、實施注意事項。

因為行業(yè)標準《交通運輸信息資源目錄體系 第4部分: 公路水路信息資源分類》（JT/T 747.4—2020）和《交通運輸部辦公廳關(guān)于印發(fā)<公路水路交通運輸數(shù)據(jù)分類分級指南>的通知》（交辦科技〔2022〕44號）都對數(shù)據(jù)分類做了規(guī)定，本標準中只規(guī)定了數(shù)據(jù)安全分級和保護要求。因此，本標準實施過程中，與上述兩個文件配套使用。

文稿編纂：交通運輸部科學(xué)研究院    王濤

文稿審核：交通運輸信息通信及導(dǎo)航標準化技術(shù)委員會  田士海