《數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系實施指南》

ICS35.240.99

CCSA00

NSSQ

團(tuán)體標(biāo)準(zhǔn)

T/NSSQXX-2023

數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系實施指南

DataBrokerServiceQualityManagementSystemDeploymentGuide

（征求意見稿）

2023-00-00發(fā)布2023-00-00實施

廣州市南沙區(qū)粵港澳標(biāo)準(zhǔn)化和質(zhì)量發(fā)展促進(jìn)會發(fā)布

T/NSSQXX-2023

數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系實施指南

1范圍

本文件提供了組織建立、實施、維護(hù)和改進(jìn)數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的指導(dǎo)與建議。

本文件適用于所有類型的數(shù)據(jù)經(jīng)紀(jì)人。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

中華人民共和國數(shù)據(jù)安全法

GB/T19000-2016質(zhì)量管理體系基礎(chǔ)和術(shù)語（ISO9000:2015,IDT）

T/NSSQXX-2023數(shù)據(jù)經(jīng)紀(jì)從業(yè)人員評價規(guī)范

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

數(shù)據(jù)data

任何以電子或者其他方式對信息的記錄。

[來源：中華人民共和國數(shù)據(jù)安全法，第三條]

3.2

數(shù)據(jù)經(jīng)紀(jì)databrokerage

數(shù)據(jù)價值洞察、撮合、代理、行紀(jì)、受托加工、合規(guī)評估、安全評估、質(zhì)量評估、定價、模型評估、

需求對接等活動。

[來源：T/NSSQXX-2023，3.2]

3.3

數(shù)據(jù)經(jīng)紀(jì)人databroker

為數(shù)據(jù)提供方和數(shù)據(jù)需求方提供數(shù)據(jù)中介服務(wù)和數(shù)據(jù)增值服務(wù)，并依法收取服務(wù)費的機(jī)構(gòu)。

[來源：T/NSSQXX-2023，3.3]

3.4

數(shù)據(jù)經(jīng)紀(jì)人服務(wù)databrokerservice

指提供數(shù)據(jù)中介服務(wù)和數(shù)據(jù)增值服務(wù)。

3.5

質(zhì)量管理體系databrokerservice

質(zhì)量管理體系包括組織確定其目標(biāo)以及為獲得期望的結(jié)果確定其過程和所需資源的活動。

3

T/NSSQXX-2023

質(zhì)量管理體系管理相互作用的過程和所需的資源，以向有關(guān)相關(guān)方提供價值并實現(xiàn)結(jié)果。

質(zhì)量管理體系能夠使最高管理者通過考慮其決策的長期和短期影響而優(yōu)化資源的利用。

質(zhì)量管理體系給出了在提供產(chǎn)品和服務(wù)方面,針對預(yù)期和非預(yù)期的結(jié)果確定所采取措施的方法。

[來源：GB/T19000-2016，2.2.2]

4組織環(huán)境

4.1理解組織及其環(huán)境

組織宜調(diào)研對數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的實施有需求和產(chǎn)生影響的內(nèi)部因素和外部環(huán)境。組織

的外部環(huán)境主要包括以下方面：

a)國內(nèi)的政策環(huán)境等；

b)與組織相關(guān)的客戶、數(shù)據(jù)交易場所、管理部門、研究機(jī)構(gòu)、同行企業(yè)、數(shù)據(jù)安全相關(guān)人員、技

術(shù)服務(wù)提供商等外部利益相關(guān)方的價值觀和風(fēng)險偏好。

c)數(shù)據(jù)經(jīng)紀(jì)人服務(wù)所面臨的市場競爭和行業(yè)趨勢；

d)技術(shù)發(fā)展和創(chuàng)新對數(shù)據(jù)經(jīng)紀(jì)人服務(wù)的影響；

e)數(shù)據(jù)安全和隱私保護(hù)的要求。

組織的內(nèi)部環(huán)境主要包括以下方面：

a)組織目標(biāo)、方針和實現(xiàn)目標(biāo)的戰(zhàn)略；

b)組織的文化和價值觀；

c)組織的規(guī)模、結(jié)構(gòu)、職能和層級關(guān)系；

d)組織的績效管理；

e)數(shù)據(jù)經(jīng)紀(jì)所涉及資產(chǎn)的規(guī)模、復(fù)雜度；

f)組織的資源管理效果；

g)組織的風(fēng)險管理；

h)組織的內(nèi)部溝通機(jī)制。

4.2理解相關(guān)方的需要和期望

客戶、數(shù)據(jù)交易場所、管理部門、研究機(jī)構(gòu)、同行企業(yè)、數(shù)據(jù)安全相關(guān)人員、技術(shù)服務(wù)提供商等相

關(guān)方對數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理的目標(biāo)：

a)客戶獲得高效、達(dá)到預(yù)期效果的服務(wù)質(zhì)量的目標(biāo)；

b)數(shù)據(jù)交易場所保障公平、公正、安全交易的目標(biāo)；

c)管理部門確保數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量的合規(guī)性和風(fēng)險管控的目標(biāo)；

d)研究機(jī)構(gòu)獲得可信度高、具有可復(fù)制性的數(shù)據(jù)和研究結(jié)果的目標(biāo)；

e)同行企業(yè)擁有高效規(guī)范統(tǒng)一的數(shù)據(jù)共享和合作流程的目標(biāo)；

f)數(shù)據(jù)安全相關(guān)人員確保數(shù)據(jù)經(jīng)紀(jì)人服務(wù)的數(shù)據(jù)安全性和合規(guī)性、預(yù)防數(shù)據(jù)泄露和應(yīng)急響應(yīng)風(fēng)險

事件的目標(biāo)；

g)技術(shù)服務(wù)提供商保障數(shù)據(jù)交易系統(tǒng)的高效穩(wěn)定運行和數(shù)據(jù)安全的目標(biāo)。

4.3確定數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的范圍

為確保數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的有效性和適用性，組織應(yīng)確定其范圍，主要包括：

a)服務(wù)范圍。明確數(shù)據(jù)經(jīng)紀(jì)人提供的服務(wù)類型和范圍，如數(shù)據(jù)收集、處理、分析、交易等環(huán)節(jié)，

4

T/NSSQXX-2023

以及涉及的數(shù)據(jù)類別和行業(yè)領(lǐng)域。

b)客戶需求。了解并明確客戶的需求和期望，確保服務(wù)質(zhì)量管理體系能夠滿足客戶的要求。

c)相關(guān)方利益?？紤]數(shù)據(jù)交易場所、管理部門、研究機(jī)構(gòu)、同行企業(yè)、數(shù)據(jù)安全相關(guān)人員、技術(shù)

服務(wù)提供商等相關(guān)方的利益，確保服務(wù)質(zhì)量管理體系能夠與相關(guān)方需求和期望保持一致。

d)法律法規(guī)和標(biāo)準(zhǔn)要求?？紤]適用的法律法規(guī)和行業(yè)標(biāo)準(zhǔn)要求，確保服務(wù)質(zhì)量管理體系符合法律

法規(guī)的要求，并能滿足相關(guān)行業(yè)標(biāo)準(zhǔn)的要求。

e)內(nèi)部流程和資源。明確數(shù)據(jù)經(jīng)紀(jì)人內(nèi)部的關(guān)鍵流程和資源，包括人力、技術(shù)、財務(wù)、信息等，

以確保服務(wù)質(zhì)量管理體系覆蓋關(guān)鍵流程，并能充分利用和管理相關(guān)資源。

f)風(fēng)險管理。識別和評估與數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量相關(guān)的風(fēng)險，包括數(shù)據(jù)安全風(fēng)險、操作風(fēng)險、法

律合規(guī)風(fēng)險等，確保服務(wù)質(zhì)量管理體系能夠妥善管理和控制相關(guān)風(fēng)險。

4.4數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系

組織應(yīng)建立、實施、維護(hù)和持續(xù)改進(jìn)數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系，具體要求主要包括:

a)確定這些過程所需的輸入和期望的輸出；

b)確定數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理過程之間的順序和相互作用；

c)采用適當(dāng)?shù)臏?zhǔn)則和方法，確保數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理過程的有效運行和控制；

d)確定必要的資源，并保證其有效供應(yīng)和利用；

e)分配職責(zé)和權(quán)限，明確相關(guān)人員的責(zé)任和職能；

f)管理與風(fēng)險和機(jī)遇相關(guān)的問題；

g)評估數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理過程的績效，并根據(jù)評估結(jié)果進(jìn)行必要的改變；

h)持續(xù)改進(jìn)過程和數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系。

5領(lǐng)導(dǎo)作用

5.1領(lǐng)導(dǎo)作用和承諾

最高管理層應(yīng)履行以下承諾:

a)具有履行職責(zé)所需的經(jīng)營管理能力，熟悉相關(guān)法律、法規(guī)及管理機(jī)構(gòu)的相關(guān)規(guī)定；

b)數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系與組織業(yè)務(wù)戰(zhàn)略保持一致，并將數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系融

入到組織的業(yè)務(wù)流程中；

c)為數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的策劃、建立、實施、維護(hù)和持續(xù)提供支持，如資金、人員、

技術(shù)等資源；

d)開展數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系培訓(xùn)，包括向相關(guān)人員說明體系目標(biāo)、原則和實施細(xì)節(jié)；

e)監(jiān)督數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的實施情況，并確保體系的目標(biāo)得到有效落實；

f)建立有效的內(nèi)外部溝通渠道，定期了解內(nèi)外部人員對數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系方面的反饋，

并及時解決問題和提供支持；

g)制定改進(jìn)計劃、評估改進(jìn)效果和分享最佳實踐，數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系持續(xù)改進(jìn)；

h)建立激勵機(jī)制，激發(fā)員工積極性和創(chuàng)造力；

i)具備持續(xù)學(xué)習(xí)和改進(jìn)的意識，積極關(guān)注行業(yè)發(fā)展動態(tài)和最新的服務(wù)模式，并將學(xué)習(xí)成果應(yīng)用到

數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的實踐中。

5.2方針

5

T/NSSQXX-2023

最高管理層應(yīng)制定數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理方針，該方針應(yīng)滿足:

a)以組織戰(zhàn)略和客戶為中心；

b)為數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系提供指導(dǎo)；

c)兼顧組織的長期發(fā)展和短期發(fā)展；

d)考慮組織的內(nèi)部和外部環(huán)境；

e)持續(xù)改進(jìn)數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系；

f)有利于暢通組織溝通渠道；

g)應(yīng)以書面形式記錄并保留；

5.3崗位、職責(zé)和權(quán)限

最高管理者應(yīng)確保數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理管理體系實施有相應(yīng)的部門、人員、預(yù)算，并具有相應(yīng)

的職責(zé)和權(quán)限:

a)指定服務(wù)質(zhì)量負(fù)責(zé)人，負(fù)責(zé)整體數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量控制，包括監(jiān)測服務(wù)質(zhì)量、收集反饋信息、

制定改進(jìn)措施等；

b)指定數(shù)據(jù)安全負(fù)責(zé)人，負(fù)責(zé)組織制定數(shù)據(jù)安全管理制度并督促落實、組織開展數(shù)據(jù)安全風(fēng)險評

估，督促整改安全隱患、按要求向有關(guān)部門報告數(shù)據(jù)安全保護(hù)和事件處置情況；

c)指定數(shù)據(jù)經(jīng)紀(jì)人員，負(fù)責(zé)具體的數(shù)據(jù)經(jīng)紀(jì)活動，包括數(shù)據(jù)洞察、撮合、代理、合規(guī)評估、安全

評估等，確保按照服務(wù)質(zhì)量管理體系的要求提供高質(zhì)量的數(shù)據(jù)經(jīng)紀(jì)服務(wù)；

d)指定內(nèi)部審核員，負(fù)責(zé)對數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系進(jìn)行內(nèi)部審核，評估體系的有效性和符

合性，提出改進(jìn)建議；

e)指定培訓(xùn)負(fù)責(zé)人，負(fù)責(zé)組織和實施數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系相關(guān)培訓(xùn)，確保數(shù)據(jù)經(jīng)紀(jì)從業(yè)

人員具備必要的知識和技能。

6策劃

6.1應(yīng)對風(fēng)險和機(jī)會的措施

組織應(yīng)根據(jù)4.1中提到的組織環(huán)境因素以及4.2中提到的各種要求，提出應(yīng)對的風(fēng)險和機(jī)遇的措

施，應(yīng)對風(fēng)險的措施主要包括：

a)風(fēng)險識別和評估。對數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理過程中可能出現(xiàn)的各類風(fēng)險進(jìn)行識別和評估，包

括法律合規(guī)風(fēng)險、數(shù)據(jù)安全風(fēng)險、服務(wù)質(zhì)量風(fēng)險等；

b)風(fēng)險控制。采取措施控制和減少已識別的風(fēng)險，例如建立合規(guī)管理體系、加強(qiáng)數(shù)據(jù)安全保護(hù)措

施、優(yōu)化服務(wù)流程等；

c)風(fēng)險監(jiān)測和反饋。建立風(fēng)險監(jiān)測和反饋機(jī)制，及時掌握風(fēng)險動態(tài)，確保風(fēng)險控制的有效性。

應(yīng)對機(jī)遇的措施包括：

a)及時把握市場機(jī)遇。密切關(guān)注市場發(fā)展和行業(yè)趨勢，把握相關(guān)機(jī)遇，及時調(diào)整和優(yōu)化服務(wù)策略；

b)技術(shù)創(chuàng)新和應(yīng)用。積極引入新技術(shù)和工具，提升數(shù)據(jù)經(jīng)紀(jì)人服務(wù)的效能和創(chuàng)新性，滿足客戶不

斷增長的需求和更高的要求；

c)重視合作協(xié)同。與相關(guān)方建立合作伙伴關(guān)系，共享資源和信息，實現(xiàn)合作共贏，拓展市場份額

和服務(wù)范圍；

d)培養(yǎng)人才。重視員工的培養(yǎng)和發(fā)展，提供必要的培訓(xùn)和晉升機(jī)會，培養(yǎng)高素質(zhì)的專業(yè)團(tuán)隊，提

升服務(wù)能力和水平。

6

T/NSSQXX-2023

6.2數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理目標(biāo)

最高管理層應(yīng)建立服務(wù)質(zhì)量管理目標(biāo)，并在組織的相關(guān)職能、層級范圍內(nèi)進(jìn)行宣傳，服務(wù)質(zhì)量管理

目標(biāo)應(yīng):

a)依據(jù)方針設(shè)立；

b)具備可度量和可評估的特性；

c)考慮到法律、法規(guī)、標(biāo)準(zhǔn)和相關(guān)方的要求；

d)可被監(jiān)控、定時評估并適時更新調(diào)整。

6.3實現(xiàn)目標(biāo)的策劃

制定數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理目標(biāo)時要考慮組織的規(guī)模、法律(行政制度)等。為了實現(xiàn)數(shù)據(jù)經(jīng)紀(jì)人

服務(wù)質(zhì)量管理目標(biāo)，組織應(yīng)明確:

a)相關(guān)的責(zé)任人。確定實現(xiàn)數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理目標(biāo)的責(zé)任人和相關(guān)部門，明確其職責(zé)和權(quán)

限；

b)工作計劃。制定具體的工作計劃和落實措施，包括改善流程、提升技術(shù)能力、加強(qiáng)培訓(xùn)等；

c)資源保障。確保所需資源的有效保障，包括財務(wù)投入、技術(shù)支持、人員配備等；

d)時間表。制定詳細(xì)的時間表和里程碑，明確目標(biāo)實施的時間節(jié)點和關(guān)鍵階段，以便監(jiān)控和評估

進(jìn)展情況；

e)結(jié)果評估方法。確定評估數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理目標(biāo)實現(xiàn)情況的方法和指標(biāo)，建立相應(yīng)的績

效評估體系，以便及時發(fā)現(xiàn)問題并采取糾正措施。

7支持

7.1資源

7.1.1總則

組織應(yīng)為數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系分配并維持所需要的各種資源，資源管理主要包括:

a)人力資源。指定適當(dāng)?shù)娜藛T完成數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理分配的任務(wù)，人員應(yīng)具備相應(yīng)的專業(yè)

知識和技能，并定期進(jìn)行培訓(xùn)以提升能力和保持更新；

b)技術(shù)資源。提供必要的技術(shù)設(shè)備和工具，包括數(shù)據(jù)管理系統(tǒng)、安全防護(hù)設(shè)備、數(shù)據(jù)分析工具等，

以支持?jǐn)?shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理的各項工作；

c)財務(wù)資源。為數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的建立和運行提供必要的財務(wù)支持，包括資金投入、

預(yù)算安排等；

d)信息資源。確保數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系所需的信息資源的有效獲取、交流和共享，包括

相關(guān)法規(guī)、政策文件、經(jīng)驗案例等。

7.1.2人力資源

組織應(yīng)確保具備適當(dāng)?shù)娜肆Y源來實施和維護(hù)數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系。具體措施主要包括：

a)指定專職人員。指定專門負(fù)責(zé)數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的人員，確保其專注于相關(guān)工作并

具備必要的知識和技能；

b)人員培訓(xùn)。定期進(jìn)行人員培訓(xùn)，包括相關(guān)法規(guī)、質(zhì)量管理知識、數(shù)據(jù)安全等方面的培訓(xùn)，以提

高人員的專業(yè)素養(yǎng)和技能水平；

c)能力評估。定期評估人員的能力和表現(xiàn)，發(fā)現(xiàn)存在的不足并采取相應(yīng)的改進(jìn)措施，以確保人員

能夠勝任其工作職責(zé)。

7

T/NSSQXX-2023

7.1.3技術(shù)資源

組織應(yīng)提供必要的技術(shù)資源來支持?jǐn)?shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的實施和運行。具體措施主要包括：

a)提供技術(shù)設(shè)備。提供適當(dāng)?shù)募夹g(shù)設(shè)備，包括計算機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等，以支持?jǐn)?shù)據(jù)管理、

信息交流和數(shù)據(jù)安全等方面的工作；

b)配備軟件工具。提供適當(dāng)?shù)能浖ぞ吆拖到y(tǒng)，用于數(shù)據(jù)處理、分析、監(jiān)控等工作，以提高工作

效率和質(zhì)量；

c)保障數(shù)據(jù)安全。建立適當(dāng)?shù)臄?shù)據(jù)安全防護(hù)措施，包括防火墻、加密技術(shù)、訪問控制等，以保護(hù)

數(shù)據(jù)的機(jī)密性、完整性和可用性。

7.1.4財務(wù)資源

組織應(yīng)合理安排和使用財務(wù)資源，以支持?jǐn)?shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的建立和運行。具體措施主

要包括：

a)合理安排預(yù)算。合理投入數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系運行所需培訓(xùn)費用、技術(shù)設(shè)備投入、系

統(tǒng)維護(hù)費用等；

b)財務(wù)控制。建立合理的財務(wù)控制機(jī)制，確保財務(wù)資源的有效使用和監(jiān)督，避免浪費和濫用；

c)成本效益評估。定期評估數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的成本效益，優(yōu)化資源配置，提高工作

效率和質(zhì)量。

7.2人員能力

組織應(yīng)確保其人員具備T/NSSQXX-2023中5.1所要求的能力。

7.3意識和培訓(xùn)

組織應(yīng)重視數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的意識和培訓(xùn)，以確保全體員工充分理解和遵守相關(guān)要求，

并具備必要的知識和技能。具體措施主要包括：

a)意識提升。組織應(yīng)定期開展數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的意識提升活動，包括培訓(xùn)、會議、

內(nèi)部宣傳等，以增強(qiáng)員工對于數(shù)據(jù)質(zhì)量、安全性和合規(guī)性的重視；

b)制定培訓(xùn)計劃。制定數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的培訓(xùn)計劃，明確培訓(xùn)內(nèi)容、對象、方式和

頻次，確保員工能夠獲得必要的培訓(xùn)和知識更新；

c)完善培訓(xùn)內(nèi)容。培訓(xùn)內(nèi)容應(yīng)涵蓋數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的相關(guān)要求、流程、工具和技能，

以及數(shù)據(jù)質(zhì)量評估、風(fēng)險管理、數(shù)據(jù)隱私保護(hù)、信息安全管理、合規(guī)監(jiān)管等方面的知識和要求；

d)建立培訓(xùn)記錄和檔案。記錄員工參與培訓(xùn)的情況，包括培訓(xùn)內(nèi)容、時間、參與人員等；

e)定期評估培訓(xùn)效果。收集員工的培訓(xùn)反饋和建議，不斷改進(jìn)培訓(xùn)內(nèi)容和方式，提高培訓(xùn)的針對

性和實效性；

f)鼓勵員工進(jìn)行持續(xù)學(xué)習(xí)和專業(yè)知識更新。提供相應(yīng)的學(xué)習(xí)資源和支持，以保持員工的專業(yè)素養(yǎng)

和行業(yè)敏感性。

7.4溝通

組織應(yīng)建立健全的溝通機(jī)制，具體措施主要包括：

a)建立多樣化的溝通渠道，如會議、郵件、內(nèi)部網(wǎng)站、通訊工具等，以便員工能夠及時獲取和交

流有關(guān)數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的信息；

b)明確溝通的內(nèi)容，如數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的政策、目標(biāo)、流程、變更等重要信息，以

及與服務(wù)質(zhì)量管理相關(guān)的要求、經(jīng)驗分享、成功案例等；

c)確定溝通的頻次和時間安排，保證信息的及時傳遞和更新，避免信息滯后或過于頻繁；

8

T/NSSQXX-2023

d)明確溝通的對象，包括內(nèi)部各部門、團(tuán)隊、員工，以及外部利益相關(guān)方如客戶、合作伙伴、監(jiān)

管機(jī)構(gòu)等，根據(jù)不同的對象選擇合適的溝通方式和內(nèi)容；

e)鼓勵員工提供溝通反饋和建議，建立反饋機(jī)制，及時解決問題和改進(jìn)溝通方式，促進(jìn)信息的雙

向流動和共享。

f)建立溝通記錄和檔案，包括會議紀(jì)要、溝通報告、溝通記錄等，以便追蹤溝通的進(jìn)展和結(jié)果，

并作為溝通的參考和證明。

g)提供相關(guān)溝通技巧和知識的培訓(xùn)，以提升員工的溝通能力和效果，確保溝通的準(zhǔn)確性和有效性。

h)營造積極的溝通文化，鼓勵員工開放、坦誠地交流意見和問題，促進(jìn)團(tuán)隊合作和共同成長。

7.5信息要求

組織的數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系信息應(yīng)包括：

a)范圍；

b)方針和目標(biāo)；

c)流程和程序；

d)文件和記錄；

e)報告和評估；

f)監(jiān)控和測量；

g)變更管理；

h)風(fēng)險管理；

i)信息保護(hù)；

j)持續(xù)改進(jìn)。

7.6文件化信息

7.6.1創(chuàng)建與更新

在創(chuàng)建和更新形成文檔的信息時，組織應(yīng)確保適當(dāng)?shù)?

a)標(biāo)識和說明。在文件中明確標(biāo)識關(guān)鍵信息，如標(biāo)題、日期、作者、版本號等，以確保文件的準(zhǔn)

確性和易識別性；

b)形式和載體。確定文件的形式和載體，如紙質(zhì)文件、電子文件或其他媒體，以滿足信息交流和

存檔的需要；

c)評審和批準(zhǔn)。在文件創(chuàng)建和更新過程中，進(jìn)行評審和批準(zhǔn)，確保文件內(nèi)容的準(zhǔn)確性、完整性和

適用性；

d)變更控制。對于已存在的文件，應(yīng)及時記錄和控制文件的變更，包括修改、修訂或廢棄等，以

保持文件的最新和有效狀態(tài)；

e)記錄和存檔。建立文件的記錄和存檔機(jī)制，確保文件的安全存儲和易于檢索，以便需要時能夠

方便地查閱和使用。

7.6.2文件化信息的控制

為確保數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系文件的控制和管理，組織應(yīng)采取以下措施：

a)文件發(fā)布和分發(fā)。在文件發(fā)布前，進(jìn)行審批和授權(quán)，確保文件的準(zhǔn)確性和適用性，然后進(jìn)行適

當(dāng)?shù)姆职l(fā)，使文件能夠及時傳達(dá)給相關(guān)人員；

b)版本控制。建立版本控制機(jī)制，確保文件的版本變更和更新記錄，包括對不同版本的標(biāo)識、存

儲和使用；

c)變更管理。對文件的任何修改或變更，應(yīng)建立變更管理程序，包括評審、批準(zhǔn)、實施和驗證，

9

T/NSSQXX-2023

以確保變更的有效性和符合要求；

d)訪問控制。建立文件訪問權(quán)限管理制度，確保只有經(jīng)授權(quán)的人員能夠訪問和使用文件，以保護(hù)

文件的機(jī)密性和完整性；

e)保留和存檔。制定文件保留和存檔規(guī)定，包括存儲位置、存儲期限和存檔方式，以便對文件進(jìn)

行長期保留和合規(guī)性審計；

f)文件審計和驗證。定期進(jìn)行文件審計和驗證，確保文件的有效性和適用性，并及時更新和調(diào)整

文件內(nèi)容，以滿足不斷變化的需求；

g)保障文件的清晰性和易識別性。確保文件的內(nèi)容清晰明確，格式整齊規(guī)范，易于理解和識別，

避免歧義和誤解的發(fā)生。

8運行

8.1運行策劃和控制

組織應(yīng)計劃、實施并控制數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系管理的運行，具體措施主要包括：

a)明確數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的目標(biāo)。確保目標(biāo)具體、可衡量、可達(dá)成，并與相關(guān)方共享；

b)制定適合數(shù)據(jù)經(jīng)紀(jì)人業(yè)務(wù)的運行策略，確保策略與組織目標(biāo)相一致，并能夠滿足客戶和相關(guān)方

的需求；

c)識別和評估數(shù)據(jù)經(jīng)紀(jì)人服務(wù)過程中的各種風(fēng)險，并制定相應(yīng)的風(fēng)險管理措施，包括風(fēng)險預(yù)防、

監(jiān)控和應(yīng)急響應(yīng)計劃，以降低風(fēng)險發(fā)生的可能性和影響；

d)合理分配和管理數(shù)據(jù)經(jīng)紀(jì)人服務(wù)所需的各種資源；

e)建立適當(dāng)?shù)倪\行控制措施，確保數(shù)據(jù)經(jīng)紀(jì)人的服務(wù)按照既定要求和標(biāo)準(zhǔn)進(jìn)行，并及時采取糾正

措施，以滿足客戶的期望和要求；

f)建立績效評估機(jī)制，定期評估和審查數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系的績效和效果。包括對服務(wù)

質(zhì)量指標(biāo)的監(jiān)測和分析、客戶滿意度調(diào)查、內(nèi)部審核和管理評審等。

8.2應(yīng)急準(zhǔn)備和響應(yīng)

組織應(yīng)完成以下應(yīng)急準(zhǔn)備工作：

a)建立健全全流程數(shù)據(jù)安全管理制度；

b)制定數(shù)據(jù)安全要求和標(biāo)準(zhǔn)、人員安全培訓(xùn)制度；

c)落實內(nèi)部部門對不同類別數(shù)據(jù)提出的安全要求；

d)組織開展安全教育培訓(xùn)，并記錄存檔，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全；

e)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，定期組織應(yīng)急演練，提升數(shù)據(jù)安全事件應(yīng)對能力；

f)對流通交易數(shù)據(jù)建立分級保護(hù)機(jī)制，根據(jù)數(shù)據(jù)定級，為數(shù)據(jù)標(biāo)的和數(shù)據(jù)經(jīng)紀(jì)業(yè)務(wù)中產(chǎn)生的數(shù)據(jù)

提供相應(yīng)強(qiáng)度的安全技術(shù)保障措施。

組織應(yīng)實施以下應(yīng)急響應(yīng)：

a)數(shù)據(jù)經(jīng)紀(jì)人數(shù)據(jù)安全事件發(fā)生后，事發(fā)單位應(yīng)立即啟動應(yīng)急預(yù)案，包括緊急控制，快速評估事

件危害，信息上報，保留證據(jù)；

b)一般及以上數(shù)據(jù)安全事件及時向數(shù)安小組報告。包括事件時間、地點、涉及的基礎(chǔ)網(wǎng)絡(luò)與數(shù)據(jù)

安全信息系統(tǒng)名稱、事件原因、信息來源、事件類型及性質(zhì)、危害和損失程度、影響單位及業(yè)務(wù)、事件

發(fā)展趨勢、處置措施等。

c)數(shù)安小組提出相應(yīng)級別響應(yīng)建議，啟動指揮體系，掌握事件動態(tài)，檢查影響范圍，及時通報情

10

T/NSSQXX-2023

況。

d)行應(yīng)急處置，包括控制事態(tài)、消除隱患、恢復(fù)系統(tǒng)、調(diào)查取證、發(fā)布信息，建立部門間數(shù)據(jù)安

全事件應(yīng)急處置聯(lián)動機(jī)制。

e)應(yīng)急處置結(jié)束后，事發(fā)單位和其他機(jī)構(gòu)做好善后處置工作，及時處理征用的物資和設(shè)備。給予

參與處置的工作人員以及緊急調(diào)集、征用的物資補(bǔ)助或補(bǔ)償。事發(fā)單位迅速制訂基礎(chǔ)網(wǎng)絡(luò)、信息系統(tǒng)的

重建和恢復(fù)計劃，盡快恢復(fù)受損網(wǎng)絡(luò)和系統(tǒng)，確保業(yè)務(wù)正常運行。

f)調(diào)查評估。由相關(guān)部門進(jìn)行調(diào)查處理和總結(jié)評估。調(diào)查報告應(yīng)對事件的起因、性質(zhì)、影響、責(zé)

任等進(jìn)行分析評估，提出處理意見和改進(jìn)措施。

g)事件調(diào)查和總結(jié)評估應(yīng)在應(yīng)急響應(yīng)結(jié)束后30天內(nèi)完成。

h)事件總結(jié)。事發(fā)單位應(yīng)牽頭組織專家，與數(shù)安小組組成事件調(diào)查組，全面調(diào)查事發(fā)原因及處置

過程，查清網(wǎng)絡(luò)與系統(tǒng)損失情況，總結(jié)經(jīng)驗教訓(xùn)，不斷改進(jìn)數(shù)據(jù)安全事件應(yīng)急管理工作。相關(guān)報告應(yīng)在

30個工作日內(nèi)報送給數(shù)安小組。

9績效評價

9.1監(jiān)視、測量、分析和評價

組織應(yīng)在服務(wù)過程中，對服務(wù)質(zhì)量管理體系的運行情況和影響服務(wù)質(zhì)量的關(guān)鍵特性進(jìn)行監(jiān)視、測量、

分析和評價，及時發(fā)現(xiàn)問題，采取措施。組織監(jiān)視、測量與分析的重點內(nèi)容宜包括:

a)對數(shù)據(jù)經(jīng)紀(jì)人服務(wù)質(zhì)量管理體系會造成影響的業(yè)務(wù)、法律或其他要求的變更情況；

b)服務(wù)響應(yīng)時間；

c)客戶和利益相關(guān)方的滿意度；

d)內(nèi)部審核結(jié)果。

9.2內(nèi)部審核

數(shù)據(jù)服務(wù)質(zhì)量管理體系應(yīng)定期進(jìn)行內(nèi)部審核，明確以下內(nèi)容:

a)內(nèi)部審核目的。包括評估和驗證服務(wù)質(zhì)量管理體系的有效性、合規(guī)性和符合性，及時發(fā)現(xiàn)潛在

問題、改進(jìn)機(jī)會和風(fēng)險，確保持續(xù)改進(jìn)和符合相關(guān)法規(guī)和標(biāo)準(zhǔn)的要求；

b)內(nèi)部審核范圍。涵蓋組織架構(gòu)、流程和程序、數(shù)據(jù)安全和保護(hù)、服務(wù)交付和響應(yīng)、客戶投訴處

理、內(nèi)部培訓(xùn)和意識等方面，覆蓋整個服務(wù)過程，從數(shù)據(jù)采集和處理到數(shù)據(jù)交付和客戶支持的全過程；

c)內(nèi)部審核計劃與實施。制定內(nèi)部審核計劃，明確頻率、范圍和參與人員，經(jīng)過培訓(xùn)的內(nèi)部審核

員或團(tuán)隊執(zhí)行，采用多種方法，如文件審查、數(shù)據(jù)分析、現(xiàn)場檢查、訪談等；

d)內(nèi)部審核報告與追蹤。編制內(nèi)部審核報