JT-T-1275-2019交通运输信息系统安全风险评估指南.docx

ICS35.040

L80

备案号：

中华人民共和国交通运输行业标准

JT/T1275—2019

交通运输信息系统安全风险评估指南

Securityriskassessmentguidancefortransportationinformationsystem

2019-07-05发布

2019-10-01实施

中华人民共和国交通运输部发布

JT/T1275—2019

目次

前言 Ⅱ

1范围 1

2规范性引用文件 1

3术语和定义 1

4风险评估总体要求 3

4.1工作组织 3

4.2实施要求 3

4.3实施原则 3

4.4实施形式 3

4.5实施方法 3

4.6信息系统生命周期各阶段的风险评估 4

5风险评估实施 4

5.1评估原理 4

5.2实施流程 4

5.3评估准备 4

5.4资产识别 4

5.5威胁识别 5

5.6脆弱性识别 8

5.7风险分析 9

5.8风险处理计划 10

5.9风险评估文件记录 10

附录A(资料性附录)交通运输信息系统安全风险评估实施团队角色和职责 12

I

Ⅱ

JT/T1275—2019

前言

本标准按照GB/T1.1—2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由交通运输信息通信及导航标准化技术委员会提出并归口。

本标准起草单位：中国交通通信信息中心。

1

JT/T1275—2019

交通运输信息系统安全风险评估指南

1范围

本标准规定了交通运输信息系统安全风险评估的总体要求及实施要求。

本标准适用于交通运输信息系统安全风险的评估和管理。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T20984—2007信息安全技术信息安全风险评估规范

3术语和定义

GB/T20984界定的以及下列术语和定义适用于本文件。为便于使用，以下重复列出了GB/T

20984中的部分术语和定义。

3.1

资产asset

对行业具有价值的信息或资源，是安全策略保护的对象。

[GB/T20984—2007,定义3.1]

3.2

资产价值assetvalue

资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要

内容。

[GB/T20984—2007,定义3.2]

3.3

可用性availability

数据或资源的特性，被授权实体按要求能访问和使用数据或资源。

[GB/T20984—2007,定义3.3]

3.4

机密性confidentiality

数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。

[GB/T20984—2007,定义3.5]

3.5

完整性integrity

保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。[GB/T20984—2007,定义3.10]

2

JT/T1275—2019

3.6

信息安全风险informationsecurityrisk

人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对行业造

成的影响。

[GB/T20984—2007,定义3.6]

3.7

安全风险评估securityriskassessment

依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对行业造成的

影响。

[GB/T20984—2007,定义3.7]

3.8

检查评估inspectionassessment

由被评估行业的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其

管理进行的具有强制性的检查活动。

[GB/T20984—2007,定义3.9]

3.9

自评估self-assessment

由信息系统所有者自身发起，参