基于區(qū)塊鏈的數(shù)據(jù)資產(chǎn)評(píng)估實(shí)施指南

基于區(qū)塊鏈的數(shù)據(jù)資產(chǎn)評(píng)估實(shí)施指南ImplementationGuidelinesforDataAssetEvaluationBas2023-10-25發(fā)布 I1范圍 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 35評(píng)估過(guò)程 36評(píng)估內(nèi)容 7I標(biāo)準(zhǔn)化研究院、中國(guó)(天津)自由貿(mào)易試驗(yàn)區(qū)政策與產(chǎn)業(yè)創(chuàng)新發(fā)展局三角)研究基地、廣東省投資和信用中心、京東科技信息技術(shù)有限市國(guó)標(biāo)知識(shí)產(chǎn)權(quán)大數(shù)據(jù)中心、中國(guó)光大銀行股份有限公司深圳分行、騰訊科技(深圳)有限公司、深圳前海微眾銀行股份有限公司、XuperCore開(kāi)源工作組、南方電網(wǎng)數(shù)字平臺(tái)科技(廣東)有限公司、中移動(dòng)信息技術(shù)有限公司、大有云鈔科技(北京)有限公司、金蝶軟件(中國(guó))有限公司、中國(guó)移動(dòng)通信集師事務(wù)所、廣西金融職業(yè)技術(shù)學(xué)院、北京市道可特(深圳)律師事務(wù)所、中國(guó)民營(yíng)科技實(shí)業(yè)家協(xié)會(huì)元宇宙工作委員會(huì)、上海靖予霖律師事務(wù)所、西牛數(shù)據(jù)科技服務(wù)(深圳)有限公司、廣東財(cái)經(jīng)大學(xué)數(shù)字經(jīng)濟(jì)慧麗、劉心田、李軍(騰訊)、李克鵬、溫尊權(quán)、王磊、趙紅武、鄧偉平、黃云、楊光、凌敏、張蕾、1僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南20230235-T-469信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T40685—2021信息技術(shù)服務(wù)數(shù)據(jù)資產(chǎn)管理要求GB/T41391—2022信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)收集個(gè)人信息基本要求GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求GB/T42752-2023區(qū)塊鏈和分布式記賬技術(shù)參考架構(gòu)20213310-T-469區(qū)塊鏈和分布式記賬技術(shù)系統(tǒng)測(cè)試規(guī)范20213307-T-469區(qū)塊鏈和分布式記賬技術(shù)應(yīng)用程序接口中間件技術(shù)指南20201615-T-469區(qū)塊鏈和分布式記賬技術(shù)智能合約生命周期管理技術(shù)規(guī)范20201612-T-469區(qū)塊鏈和分布式記賬技術(shù)存證通用服務(wù)指南20210929-T-469區(qū)塊鏈和分布式記賬技術(shù)術(shù)語(yǔ)GB/T42570-2023信息安全技術(shù)區(qū)塊鏈技術(shù)安全框架GB/T42571-2023信息安全技術(shù)區(qū)塊鏈信息服務(wù)安全規(guī)范20221465-T-469信息技術(shù)區(qū)塊鏈和分布式記賬技術(shù)物流追蹤服務(wù)應(yīng)用指南20214285-T-469信息技術(shù)大數(shù)據(jù)數(shù)據(jù)資產(chǎn)價(jià)值評(píng)估2特定主體合法擁有或者控制的、能進(jìn)行貨幣計(jì)量的、且能帶來(lái)直接或者間接經(jīng)濟(jì)利益的數(shù)據(jù)資源。數(shù)據(jù)資產(chǎn)評(píng)估dataassetassessmuent對(duì)組織內(nèi)數(shù)據(jù)資產(chǎn)現(xiàn)狀以及質(zhì)量、價(jià)值等進(jìn)行定量和定性評(píng)價(jià)的活動(dòng)。數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品作為交易對(duì)象，進(jìn)行的以貨幣或貨幣等價(jià)物交換數(shù)據(jù)商品的行為。個(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程。以電子或者其他方式記錄的與已識(shí)別或者可以識(shí)別自然人有關(guān)的各種信息。一旦泄露可能直接影響國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的數(shù)據(jù)。通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別個(gè)人信息所標(biāo)識(shí)的自然人3基于應(yīng)用程序開(kāi)放接口實(shí)現(xiàn)的，用戶無(wú)需安裝即可使用的移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序。區(qū)塊鏈blockchain一種有多方共同維護(hù)，使用密碼學(xué)保證傳輸和訪問(wèn)安全，能夠?qū)崿F(xiàn)數(shù)據(jù)一致性、防篡改、防抵賴的4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)SDK:軟件開(kāi)發(fā)工具包(SoftwareDevelopmentKit)CIIO:關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(CriticalInformationInfrastructureOperator)5評(píng)估過(guò)程5.1.1評(píng)估方案制定評(píng)估準(zhǔn)備階段應(yīng)首先制訂評(píng)估方案，評(píng)估方案的制訂是一個(gè)不斷確認(rèn)的過(guò)程，至少應(yīng)完成以下工作a)評(píng)估團(tuán)隊(duì)?wèi)?yīng)完成評(píng)估團(tuán)隊(duì)的組建，包括評(píng)估實(shí)施機(jī)構(gòu)與被評(píng)估機(jī)構(gòu)的人員數(shù)量、專業(yè)組成以及溝通機(jī)制的確認(rèn)等。評(píng)估團(tuán)隊(duì)相關(guān)各方成員應(yīng)具備可支撐評(píng)估開(kāi)展的法律、技術(shù)、安全管理、業(yè)務(wù)規(guī)則等方面的相關(guān)專業(yè)知識(shí)和技能，如具有區(qū)塊鏈、隱私計(jì)算等方面的專業(yè)能力，以及數(shù)據(jù)資產(chǎn)評(píng)估的專業(yè)知識(shí)和實(shí)踐經(jīng)驗(yàn)，可承擔(dān)相關(guān)的評(píng)估和配合工作。評(píng)估團(tuán)隊(duì)開(kāi)展數(shù)據(jù)資產(chǎn)評(píng)估業(yè)務(wù)，應(yīng)當(dāng)獨(dú)立進(jìn)行分析和估算并形成專業(yè)意見(jiàn)，拒絕委托人或者其他相關(guān)當(dāng)事人的干預(yù)，不得直接以預(yù)先設(shè)定的價(jià)值作為評(píng)估結(jié)論。b)評(píng)估范圍應(yīng)根據(jù)評(píng)估目的和評(píng)估對(duì)象來(lái)確定評(píng)估內(nèi)容的邊界。在某些情況下，評(píng)估對(duì)象可能不是一個(gè)特定的組織機(jī)構(gòu)，而是某些數(shù)據(jù)、某個(gè)項(xiàng)目、某個(gè)業(yè)務(wù)、某筆交易、某個(gè)信息系統(tǒng)或是一個(gè)數(shù)據(jù)處理的生命周期等。例如，委托方為達(dá)到境外上市或投資收購(gòu)等目的而進(jìn)行的數(shù)據(jù)資產(chǎn)評(píng)估，可根據(jù)實(shí)際情況對(duì)評(píng)估內(nèi)容進(jìn)行裁剪輯或補(bǔ)充。4b)與數(shù)據(jù)供應(yīng)商和第三方公司簽訂的協(xié)議、合同、文件范本和實(shí)例以及對(duì)供應(yīng)商的審查文件。f)已發(fā)生過(guò)的網(wǎng)絡(luò)安全攻擊、系統(tǒng)中斷、信息泄露等5h)收集、存儲(chǔ)、處理數(shù)據(jù)的設(shè)備、人力成本，以及前期的研發(fā)成本等。i)權(quán)屬資料、數(shù)據(jù)資產(chǎn)信息要素、財(cái)務(wù)會(huì)計(jì)信息和其他資料并進(jìn)行核查驗(yàn)證、分析整理和記錄。2)可利用公共或?qū)Ｓ镁W(wǎng)絡(luò)搜索引擎對(duì)被評(píng)估對(duì)象散布在互聯(lián)網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)上的相關(guān)信息進(jìn)b)組織內(nèi)部的業(yè)務(wù)負(fù)責(zé)人、技術(shù)負(fù)責(zé)人、數(shù)據(jù)安全負(fù)責(zé)人以及法律合規(guī)負(fù)責(zé)人。6e)必要時(shí)，問(wèn)題的嚴(yán)重性級(jí)別。b)評(píng)估聲明：評(píng)估結(jié)果的適用范圍、約束、假設(shè)以及免責(zé)聲明。c)是否采用成本法、收益法、市場(chǎng)法、期權(quán)定價(jià)法等。a)是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的專項(xiàng)分析意見(jiàn)。7a)組織與客戶、供應(yīng)商和其它合作方的模式(提供方、接收方、共同處理等)。b)組織在數(shù)據(jù)處理或是交易鏈中所處的角色(收集方、使用方、交易中介方等)。c)組織是數(shù)據(jù)處理平臺(tái)的建設(shè)者還是運(yùn)營(yíng)者，或兩者兼有。b)對(duì)受托方的資格審查的相關(guān)記錄。包括行政許可、授權(quán)范圍、質(zhì)量管理體系等。據(jù)安全要求、數(shù)據(jù)處理目的、處理期限、處理方式、信全影響評(píng)估活動(dòng)應(yīng)依據(jù)GB/T39335—2028a)必要時(shí)，對(duì)委托方的資格審查的相關(guān)記d)相關(guān)情況下(如合同無(wú)效、中止、處理完成后等)數(shù)據(jù)的返還、刪除、銷毀的相關(guān)實(shí)施和確認(rèn)b)共同處理數(shù)據(jù)各方的權(quán)利、義務(wù)的約定。c)依法承擔(dān)相關(guān)法律責(zé)任的約定。a)通知數(shù)據(jù)來(lái)源數(shù)據(jù)(可能為組織或個(gè)人),處理方發(fā)生變化的相關(guān)信息(名稱/姓名、聯(lián)系方式等)。a)數(shù)據(jù)資源來(lái)源應(yīng)符合合法、正當(dāng)、必要、誠(chéng)信原則。a)數(shù)據(jù)分類分級(jí)的依據(jù)對(duì)相關(guān)評(píng)估依據(jù)要求的符合性。如：3)結(jié)合對(duì)個(gè)人權(quán)益影響分析的結(jié)果(宜參照GB/T39335—2020表D3)對(duì)個(gè)人信息數(shù)據(jù)進(jìn)行b)對(duì)不同分級(jí)的數(shù)據(jù)分別實(shí)施不同的管理和技術(shù)保護(hù)措施的合理性。9b)收集個(gè)人信息的授權(quán)同意情況，宜參照GB/T35272—20205.4、GB/T41479—20225.2以及1)用戶授權(quán)(告知—同意)使用的展示時(shí)機(jī)、形式(顯著、醒目、非默認(rèn)同意)和內(nèi)容的規(guī)3)應(yīng)用系統(tǒng)實(shí)際收集內(nèi)容與其宣稱的隱私政策、用戶協(xié)議等內(nèi)容的一致性。a)對(duì)數(shù)據(jù)及其副本存儲(chǔ)所采取的安全措施，宜參照GB/T41479—20225.3以及評(píng)1)技術(shù)保護(hù)措施的要求，如加密算法、訪問(wèn)控制、安全審計(jì)、個(gè)人信b)數(shù)據(jù)及其副本的存儲(chǔ)地點(diǎn)滿足數(shù)據(jù)本地化存儲(chǔ)和數(shù)據(jù)跨境的評(píng)估依據(jù)要求的情況。a)數(shù)據(jù)的使用和加工獲得相關(guān)方的授權(quán)文件并b)數(shù)據(jù)實(shí)際使用、加工的方式和范圍符合約定。a)數(shù)據(jù)提供和接收方的審核，應(yīng)符合本標(biāo)準(zhǔn)7.2.1的要求。b)數(shù)據(jù)傳輸和提供的安全措施和協(xié)議約定，宜參照GB/T41479—20225.6-5.7以及法律和相關(guān)e)向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的2)交易的數(shù)據(jù)對(duì)象應(yīng)符合GB/T37932—20196的相4)應(yīng)對(duì)數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)留存的交易雙方的審查、a)公開(kāi)前的影響評(píng)估情況。如是否對(duì)危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和c)處理已公開(kāi)的個(gè)人信息，對(duì)個(gè)人權(quán)益有重大影響的，應(yīng)按評(píng)估依據(jù)a)對(duì)符合GB/T41479—20225.13、GB/T35273—20208.3、8.5和評(píng)估依據(jù)要求的數(shù)據(jù)進(jìn)行刪e)適用時(shí)，拒絕刪除或注銷用戶給出反饋的情況，應(yīng)包括：2)拒絕理由，如依據(jù)的法律法規(guī)、行業(yè)監(jiān)管要求等。參照GB/T41479—20226.1、6.2的要求進(jìn)行審核。個(gè)人信息處理者應(yīng)公開(kāi)個(gè)人信息保注：履行個(gè)人信息保護(hù)職責(zé)的部門包括：國(guó)家網(wǎng)信部門和縣級(jí)以上地方人民政府有關(guān)部門。國(guó)家網(wǎng)信部門的職責(zé)是統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作。b)責(zé)任機(jī)構(gòu)，包括機(jī)構(gòu)的崗職位設(shè)置、運(yùn)行經(jīng)費(fèi)、獨(dú)立性以及開(kāi)展相關(guān)工作的運(yùn)行記錄等。a)管理體系，包括總體要求、機(jī)構(gòu)設(shè)置及職責(zé)、基本原則等。b)處理流程管理，包括數(shù)據(jù)收集、使用、傳輸、提供、存儲(chǔ)、刪除等管理要求。2)適用時(shí)，個(gè)人信息按敏感程度的分類e)數(shù)據(jù)安全風(fēng)險(xiǎn)管理機(jī)制，包括開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、共享、預(yù)警檢測(cè)等機(jī)報(bào)告、定期實(shí)施應(yīng)急演練等措施?？蓞⒄誈B/T41479—20226.3的要求進(jìn)行審核。h)數(shù)據(jù)出境管理，適用時(shí)，對(duì)數(shù)據(jù)出境條件、數(shù)據(jù)出境自評(píng)估及程序的要求。i)網(wǎng)絡(luò)安全審查，適用時(shí)，制定并落實(shí)網(wǎng)絡(luò)安全審查相關(guān)的管理制度和程序。4)適用時(shí)，對(duì)未成年人和兒童信息保護(hù)a)定期的安全檢測(cè)，包括網(wǎng)絡(luò)、主機(jī)、應(yīng)用等層面的安全掃描和安全配置的檢c)防御措施，防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊等危害網(wǎng)絡(luò)安全行為的措施有效性檢d)數(shù)據(jù)備份，包括備份的內(nèi)容、范圍、形式(全備份、增量備份、差分備份等)、備份地點(diǎn)(本地、異地)、備份及時(shí)性以及備份有效性驗(yàn)證等。e)《加密，包括加密的內(nèi)容、算法的強(qiáng)度、算法的使用(如必須使用國(guó)密算法的場(chǎng)景)、密鑰的管f)去標(biāo)識(shí)化，適用時(shí)，對(duì)個(gè)人信息去標(biāo)識(shí)化的情況，宜參照GB/T37964—20195、6部分的要求g)訪問(wèn)控制，數(shù)據(jù)訪問(wèn)和操作前對(duì)訪問(wèn)者進(jìn)行鑒別與授權(quán)的記錄和檢測(cè)。有多少業(yè)務(wù)需依賴SaaS;評(píng)估對(duì)象對(duì)于自身業(yè)務(wù)數(shù)據(jù)的控制能力；評(píng)估對(duì)象是否充分利用現(xiàn)應(yīng)對(duì)評(píng)估對(duì)象的人員管理及安全教育落實(shí)情況進(jìn)行評(píng)估，內(nèi)容應(yīng)包括：a)人員簽保密協(xié)議的情況，如保密內(nèi)容、保密范圍、保密期限、獎(jiǎng)懲措施等。b)人員上崗前的審查情況，如工作履歷、技術(shù)能力、人員資質(zhì)、教育學(xué)習(xí)等。c)人員在崗期間的安全意識(shí)、工作技能、管理制度的培訓(xùn)及培訓(xùn)有效性考核情況。d)人員離崗后按照相關(guān)管理要求進(jìn)行離崗交接、審計(jì)、脫密等措施執(zhí)行的情況。6.4.5網(wǎng)絡(luò)安全及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)應(yīng)對(duì)評(píng)估對(duì)象實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)情況進(jìn)行評(píng)估，內(nèi)容應(yīng)包括：a)評(píng)估對(duì)象的定級(jí)和備案情況。須按GB/T22240的要求對(duì)定級(jí)結(jié)果進(jìn)行復(fù)核。b)對(duì)于確定為二級(jí)以上的網(wǎng)絡(luò)信息系統(tǒng)，須對(duì)等級(jí)保護(hù)備案情況、測(cè)評(píng)的頻率進(jìn)行確認(rèn)。c)對(duì)于確定為三級(jí)及以上系統(tǒng)、面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)以及關(guān)鍵信息基礎(chǔ)設(shè)施按頻率開(kāi)展密碼評(píng)估工作的情況進(jìn)行確認(rèn)。d)處理重要數(shù)據(jù)的系統(tǒng)應(yīng)滿足三級(jí)以上網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求，處理核心數(shù)據(jù)的系統(tǒng)依照有關(guān)評(píng)估依據(jù)要求從嚴(yán)保護(hù)。e)必要時(shí)，網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)措施和測(cè)評(píng)整改符合要求的情況，應(yīng)按GB/T22239對(duì)應(yīng)級(jí)別的相關(guān)要求進(jìn)行審核和檢測(cè)。f)如評(píng)估對(duì)象有已被認(rèn)定或可能被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的情況，還應(yīng)按GB/T39204的相關(guān)要求進(jìn)行審核和檢測(cè)。6.4.6數(shù)據(jù)出境安全合規(guī)適用時(shí)，應(yīng)對(duì)評(píng)估對(duì)象數(shù)據(jù)出境的情況進(jìn)行評(píng)估，評(píng)估內(nèi)容包括：a)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的