GBT 40685-2021 信息技術服務 數據資產 管理要求

信息技術服務數據資產管理要求2021-10-11發(fā)布2022-05-01實施GB/T40685—2021前言 I 2規(guī)范性引用文件 3術語和定義 4管理總則 24.1管理原則 4.2管理框架 25管理對象 35.1概述 35.2數據資產特征 35.3數據資產信息要素 36管理過程 46.1概述 46.2數據資產目錄管理 46.3數據資產識別 46.4數據資產確權 46.5數據資產應用 56.6數據資產盤點 56.7數據資產變更 6.8數據資產處置 6.9數據資產評估 66.10數據資產審計 66.11數據資產安全管理 77管理保障 77.1概述 77.2組織保障 77.3制度保障 7.4技術保障 7附錄A(資料性)數據資產價值評估的參考方法 A.1市場法 9A.2收益法 9A.3成本法 A.4綜合評估法 參考文獻 I本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國信息技術標準化技術委員會(SAC/TC28)提出并歸口。本文件起草單位：上海計算機軟件技術開發(fā)中心、國信優(yōu)易數據股份有限公司、中國電子技術標準化研究院、上海新炬網絡技術有限公司、星環(huán)信息科技(上海)股份有限公司、上海最會保網絡科技有限公司、北京三維天地科技股份有限公司、北京市計算中心、上海軟中信息技術有限公司、陜西省信息化工程研究院、拉卡拉支付股份有限公司、廣州賽寶認證中心服務有限公司、四川久遠銀海軟件股份有限公司、中興通訊股份有限公司、上海市大數據中心、銀聯智惠信息服務(上海)有限公司、成都市大數據中心、高新興科技集團股份有限公司、深圳市標準技術研究院、上海數據資產運營管理有限公司、上海市國有資產信息中心、上海市教育委員會信息中心、上海市農業(yè)農村委員會信息中心、貴陽市大數據產業(yè)集團有限公司、萬達信息股份有限公司、中匯信息技術(上海)有限公司、上海市大數據股份有限公司、廣州穗能通能源科技有限責任公司、世紀龍信息網絡有限責任公司、四川互鏈科技有限公司、電子科技大學、上海理想信息產業(yè)(集團)有限公司、上海谷航信息科技發(fā)展有限公司、昆侖數智科技有限責任公司、江西省工業(yè)和信息化廳、國信科(河北雄安)科技有限責任公司。1信息技術服務數據資產管理要求本文件規(guī)定了數據資產的管理總則、管理對象、管理過程和管理保障要求。本文件適用于組織的數據資產的應用和管理，使用者包括需要開展數據資產管理工作和提供數據資產管理服務的組織等。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25000.12—2017系統與軟件工程系統與軟件質量要求和評價(SQuaRE)第12部分：數據質量模型GB/T25000.24—2017系統與軟件工程系統與軟件質量要求和評價(SQuaRE)第24部分：數據質量測量GB/T33770.2—2019信息技術服務外包第2部分：數據保護要求GB/T35273—2020信息安全技術個人信息安全規(guī)范GB/T37973—2019信息安全技術大數據安全管理指南3術語和定義下列術語和定義適用于本文件。數據資產dataasset合法擁有或者控制的，能進行計量的，為組織帶來經濟和社會價值的數據資源。[來源：GB/T34960.5—2018,3.管理目標managementobjective根據組織戰(zhàn)略提出的，在一定時期內為數據資產管理活動所設定的目標。數據資產管理過程中管理對象、管理過程及管理保障的集合。注：域內行為服從于一個系統管理的政策。數據資產目錄dataassetcatalog采用分類、分級和編碼等方式描述數據資產特征的一組信息。2數據資產識別dataassetidentification依據管理目標，從現有數據資源中，辨識并登記數據資產的活動。數據資產確權dataassetregistration通過技術手段對組織機構內數據資產的權屬進行登記確認，使其具備時間、身份和內容等屬性的活動。數據資產應用dataassetapplication滿足業(yè)務場景和組織發(fā)展需求，通過共享、流通、使用等方式，促進數據資產增值的活動。數據資產變更dataassetchange通過變更控制流程確保數據資產與目錄信息保持一致的活動。數據資產評估dataassetassessment對組織內數據資產現狀以及質量、價值等進行定量和定性評價的活動。對組織內數據資產的真實性、一致性、正確活動。4管理總則4.1管理原則a)價值導向原則，組織開展數據資產管理是以數據資產保值增值、價值實現為目的；b)權責明確原則，組織明確數據權屬和權限，做到職責劃分清晰、行為可追溯，有利于數據資產保護；c)a)治理先行原則，數據治理是確保數據資產的規(guī)范性、有效性、完整性和一致性等的必要前提，具體可參照GB/T34960.5—2018的規(guī)定執(zhí)行；d)成本效益原則，組織關注業(yè)務運作的效率和效果，平衡數據資產管理相關活動的投入和產出，確保與組織戰(zhàn)略的一致性和匹配性；e)安全合規(guī)原則，組織依據相關法律法規(guī)和行業(yè)監(jiān)管要求，對數據資產進行分級、分類管理，采取有效措施保護數據資產的安全性，防范來自組織內外部的威脅。4.2管理框架數據資產管理框架主要包括組織戰(zhàn)略、目標制定、管理域和價值實現，見圖1。3組織戰(zhàn)略組織戰(zhàn)略管理對象管理過程數據資產日錄管理數據資產評估數據資產審計數據資產安全管理管理保障數措資產識別管理城數據資產盤點數據資產確權數據資產變更數據資產應用數據資產處置價值實現口標制定圖1數據資產管理框架數據資產管理參照組織戰(zhàn)略，綜合考慮組織內外部環(huán)境、業(yè)務、技術和數據等方面要素，以業(yè)務為主線，價值為導向，制定覆蓋組織各個職能和層級的管理目標，通過管理域各項管理活動，推動實現數據資產保值增值，從而挖掘并發(fā)揮其經濟和社會價值。管理域明確了數據資產管理對象，并在組織、制度和技術等方面的管理措施保障下，通過一系列管理過程活動達成制定的管理目標，實現數據資產保值增值。管理域主要包括管理對象、管理過程和管理保障，具體見第5章、第6章、第7章的要求。5管理對象5.1概述數據資產管理的對象是數據資產本身，管理過程中依據數據資產特征進行識別，通過數據資產的信息要素進行描述及管理。5.2數據資產特征數據資產的特征如下：a)可增值，數據資產的價值易發(fā)生變化，可隨著應用場景、用戶數量和使用頻率的增加，其經濟價值和社會價值也會持續(xù)增長；b)可共享，在權限可控的前提下，數據資產可復制，能被組織內外部多個主體共享和應用；c)可控制，為滿足風險可控、運營合規(guī)的要求，數據資產需具備權限可控制、行為可追溯等；d)可量化，數據資產的質量、成本和價值等可計量、可評估。5.3數據資產信息要素數據資產信息要素主要應包括：4b)業(yè)務要素，包括業(yè)務描述、業(yè)務指標、業(yè)務規(guī)則和關聯關系等；c)管理要素，包括數據權屬、分類分級、安全信息、數據溯源、職責權限和應用情況等；d)價值要素，包括市場信息、領域信息、地域信息、應用價值和金融屬性等。6管理過程管理過程規(guī)定了組織實施數據資產管理的一系列活動。數據資產目錄用來記錄和管理數據資產的信息要素。數據資產的識別、確權、應用、盤點、變更和處置是核心管理活動，實現對數據資產的生存周期管理，以及保值、增值。數據資產的評估、審計和安全管理為數據資產的價值發(fā)現、運營合規(guī)和風險控制提供支撐。6.2數據資產目錄管理通過數據資產目錄記錄組織內所有被識別的數據資產信息，支撐數據資產識別、應用、變更、盤點和處置等的全過程管理。數據資產目錄管理應滿足的具體要求如下：a)建立數據資產目錄，記錄數據資產信息要素；b)建立數據資產目錄管理的權限、版本和發(fā)布等控制機制；c)對數據資產進行分類，維度包括但不限于主體、主題和業(yè)務；d)結合數據資產其他管理過程的實施，保障數據資產目錄信息及時有效。6.3數據資產識別組織應依據管理目標，梳理現有數據資源，基于業(yè)務應用和市場需求，識別數據資產及其信息要素，數據資產識別應滿足的具體要求如下：a)基于業(yè)務應用和市場需求，梳理現有數據資源，識別數據資產及其信息要素，包括基本信息、業(yè)務信息、管理信息和價值信息等；b)在數據資產識別完成后，按照分類、分級，登記到數據資產目錄中，支撐數據資產應用、評估和審計等過程的實施；c)對數據資產的變化進行識別，并執(zhí)行數據資產變更過程。6.4數據資產確權通過技術手段進行數據資產權屬的標識，以便于應用過程中的規(guī)范使用、維權追溯。5數據資產確權的具體要求如下：a)應基于電子認證、區(qū)塊鏈等技術手段，在單一或多方機構共同鑒證下，確認數據資產權屬，應符合GB/T33770.2—2019的規(guī)定；b)在數據資產的使用和提供過程中，宜通過數字簽名、分布式賬本等方式記錄數據資產的身份屬性與時間屬性。6.5數據資產應用圍繞業(yè)務場景，在確保安全、合規(guī)的前提下，識別數據應用的途徑和渠道，建立服務和權責等機制，對數據資產應用過程進行管理，促進其經濟價值和社會價值的實現。數據資產應用應滿足的具體要求如下：a)識別數據資產應用的途徑和渠道，依據業(yè)務需求、管理模式、管理策略和數據敏感度等進行應用等級劃分，并給予相應的保障措施；b)建立數據資產服務保障、效益評估、效果評價等機制；c)確保數據資產應用過程安全可控、合法合規(guī)；d)對數據資產應用的行為進行完整記錄，確?？勺匪?、可審計。6.6數據資產盤點通過數據資產盤點活動，檢查數據資產狀態(tài)，發(fā)現數據資產目錄與數據資產不一致問題，更新數據資產目錄信息，確保數據資產信息一致性、完整性。數據資產盤點應滿足的具體要求如下：a)編制數據資產盤點計劃，明確盤點范圍、要求、程序和時間等；b)安排專人負責數據資產盤點，對盤點人員進行權責界定；c)盤點人員依據數據資產盤點計劃，對數據資產目錄與數據資產的一致性、準確性進行核查，并記錄盤點結果；d)及時對盤點發(fā)現的問題進行分析和處理。6.7數據資產變更當數據資產管理活動或業(yè)務需求觸發(fā)數據資產變化時，應通過變更管理流程確保變更活動有序實施，并及時更新數據資產目錄，確保數據資產目錄信息與實際情況保持一致。數據資產變更應滿足的具體要求如下：6a)建立數據資產變更機制，明確數據資產變更觸發(fā)條件，并有效管控變更過程；b)對提交的數據資產變更進行評審，包括信息的完整性、業(yè)務的必要性、需求的符合度、影響范圍和權屬關系等；c)對數據資產變更影響進行分析，并發(fā)布變更影響通知；d)依據數據資產變更評審結果實施變更，并更新數據資產目錄；e)對變更過程進行記錄，并建立數據資產變更的持續(xù)跟蹤、回顧和改進機制。6.8數據資產處置在符合相關法律法規(guī)和標準規(guī)范的前提下，通過數據資產的銷毀、轉移等，優(yōu)化數據資產配置，降低運營管理成本，挖掘剩余的利用價值。數據資產處置應滿足的具體要求如下：a)建立數據資產處置機制，并有效管控處置過程及風險；b)依據處置需求制定處置計劃，編制處置方案；c)對處置方案開展風險評估和影響分析，并進行評審；d)依據審核通過的處置方案，執(zhí)行處置并記錄，對需要銷毀的數據資產設定留存期。6.9數據資產評估通過開展數據資產評估活動，梳理數據資產現狀，評價數據資產的質量和價值，促進數據資產的質量提升和價值實現。數據資產評估應滿足的具體要求如下：a)建立數據資產評估機制，明確評估目的、范圍、策略和周期等，可采用內部或外部評估；b)基于數據資產評估的目的和范圍等，明確數據資產的權屬、敏感信息和安全合規(guī)要求等；c)對數據資產的質量進行評估，評估內容主要包括準確性、完備性、一致性、確實性和現時性等，評估內容的模型和測量方法應符合GB/T25000.12—2017及GB/T25000.24—2017的規(guī)定；d)對數據資產的經濟和社會價值進行評估，評估方法見附錄A;e)將評估結果及時更新至數據資產目錄，并確保評估過程被記錄、可追溯。6.10數據資產審計監(jiān)督組織數據資產管理過程的執(zhí)行，評價數據資產管理的風險，保障數據資產管理和應用的合規(guī)。數據資產審計應滿足的具體要求如下：a)建立覆蓋數據資產管理全過程的審計機制，根據需求制定審計計劃；7b)審計對象包括數據資產管理的制度、流程和相應的過程記錄；c)審計內容包括與法律法規(guī)、標準和規(guī)章制度等的符合性，權屬的可證性以及過程的合規(guī)性；d)審計結果包括審計范圍、審計問題、審計評價及建議等，宜以審計報告形式提供。6.11數據資產安全管理建立管理手段與技術手段相結合、面向數據生存周期的數據資產安全管理機制，制定數據資產安全管理流程，明確組織人員的管理要求，確保數據資產安全可控。數據資產安全管理的具體要求如下：a)應按照數據資產的敏感度和重要程度等進行分類分級，應符合GB/T37973—2019的規(guī)定；b)應建立安全管理團隊，建立安全管理機制，開展監(jiān)督檢查，并確保職責分離；d)應采取數據脫敏等方式對敏感數據進行保護，涉及個人信息安全應符合GB/T35273—2020的規(guī)定；e)宜通過技術手段對數據資產進行標記與溯源，實現生存周期的風險可控。7管理保障7.1概述管理保障規(guī)定了數據資產管理活動的資源條件保障，包括組織、制度和技術等方面。7.2組織保障組織保障具體要求如下：a)應成立數據資產管理領導小組，指定高層管理者擔任組長；b)應建立數據資產管理監(jiān)督小組，定期開展檢查和考核；c)應組建數據資產管理團隊，明確崗位責任，確定數據資產管理責任人；d)宜選擇有資質的第三方機構開展數據資產評估及審計；e)宜定期對數據資產管理的干系人開展培訓，培訓內容包括法律法規(guī)、管理制度和崗位技能等。7.3制度保障制度保障應滿足的具體要求如下：a)制定數據資產的管理制度，并持續(xù)改進；b)明確各過程的管理要求、標準流程和操作規(guī)范；c)建立工作考核機制，并納入相關部門的績效考核；d)明確交付物的范圍、內容、形式和管理規(guī)程；e)建立經費保障機制，經費預算納入組織的整體預算計劃。7.4技術保障技術保障具體要求如下：8a)應支持數據資產目錄管理，實現數據資產的可查詢、可追溯；b)應支持數據資產敏感度分析和敏感信息處理；c)宜支持數據資產價值評估和質量評估；d)宜支持數據資產管理過程中交付物的管理。9(資料性)數據資產價值評估的參考方法A.1市場法市場法是把相對成熟的市場近期成交的類似參照系價格作為參考，并對有差異的因素加以修正，得出待估數據資產評估值。市場法一般包括篩選和調整兩步。篩選是在市場上尋找與待估數據資產相同或相似的參照數據；調整是通過比較待估數據資產和參照數據資產來確定調整系數，得到待估數據資產的價值，可考慮數據資產的質量、地域、使用時間、市場潛力、經濟形勢和財務準則等因素。見公式(A.1):式中：P——待評估數據資產的價值，單位為元；P——參照數據的市場平均價格，單位為元；a;——第i個價值指標變量的權重(%);X;——第i個價值指標變量(%);n——價值指標的個數(個)。A.2收益法A.2.1概述收益法又稱收益現值法，是待評估數據資產的經濟價值和社會價值之和。其中，經濟價值(社會價值),是把待評估數據資產剩余壽命期內的預期未來經濟收益(社會收益),按照一定的折現率折成現期經濟價值(社會價值),從而確定其價值。收益法是基于數據未來的獲利能力，能夠體現數據的內在價值，契合數據資產價值評估的目的。見公式(A.2):式中：P——待評估數據資產的價值，單位為元；α?——數據經濟價值在數據資產價值中的權重(%);P?——基于收益法計算的數據資產的經濟價值，單位為元；α?數據社會價值在數據資產價值中的權重(%);P?——基于收益法計算的數據資產的社會價值，單位為元。A.2.2數據資產的經濟價值數據資產經濟價值見公式(A.3):式中：P?——基于收益法計算的數據資產的經濟價值，單位為元；R?待評估數據資產第t年的預期經濟收益，單位為元；n?——剩余經濟價值壽命，是指待評估數據資產還能產生經濟價值的剩余時間，單位為年；r?——經濟折現率，將預計未來收益折算成現值的比率，體現數據資產的財務成本(%)。A.2.3數據資產的社會價值數據資產社會價值見公式(A.4):式中：P?——基于收益法計算的數據資產的社會價值，單位為元；R?——待評估數據資產第t年的預期社會效益，單位為元?？捎蓴祿蚕韮r值、政府治理價值、數據產業(yè)價值和數據環(huán)境價值等加權得到。數據共享價值例如