2022大數(shù)據(jù)價(jià)值評(píng)估與安全合規(guī)審查方法

大數(shù)據(jù)價(jià)值評(píng)估與安全合規(guī)審查2023目 錄一、研究計(jì)劃執(zhí)行情況概述 4（一）按計(jì)劃執(zhí)行情況 4（二）研究目標(biāo)完成情況 5二、研究工作主要進(jìn)展、結(jié)果和影響 6（一）主要研究?jī)?nèi)容 6（二）主要研究進(jìn)展 8三、國(guó)內(nèi)外學(xué)術(shù)合作交流等情況 36四、存在的問(wèn)題、建議及其他需要說(shuō)明的情況 36五、項(xiàng)目取得成果的總體情況 36PAGEPAGE10大數(shù)據(jù)價(jià)值評(píng)估與安全合規(guī)審查方法研究摘 要2035發(fā)展對(duì)數(shù)據(jù)價(jià)值標(biāo)準(zhǔn)化的迫切需求，主要做了以下兩方面研究。建是主要考慮不同行業(yè)的法律法規(guī)監(jiān)管要求和業(yè)務(wù)發(fā)展需要不同。通用指標(biāo)包括三增加擴(kuò)展指標(biāo)。在大數(shù)據(jù)價(jià)值評(píng)估方面，提出了數(shù)據(jù)價(jià)值評(píng)估指標(biāo)體系的構(gòu)建方法和評(píng)估的實(shí)結(jié)合的方法。一、研究計(jì)劃執(zhí)行情況概述（一）按計(jì)劃執(zhí)行情況本項(xiàng)目的研究計(jì)劃要點(diǎn)包括：建立大數(shù)據(jù)價(jià)值評(píng)估框架；建立大數(shù)據(jù)價(jià)值評(píng)估指標(biāo)體系；研究數(shù)據(jù)全生命周期的安全合規(guī)評(píng)價(jià)體系；推動(dòng)大數(shù)據(jù)價(jià)值評(píng)估和安全合規(guī)體系的行業(yè)示范應(yīng)用；提出數(shù)據(jù)安全合規(guī)的評(píng)估指標(biāo)體系；提出數(shù)據(jù)安全合規(guī)評(píng)估的評(píng)估實(shí)施方法；提出數(shù)據(jù)安全合規(guī)評(píng)估實(shí)施流程；提出數(shù)據(jù)價(jià)值評(píng)估的實(shí)施流程；研究數(shù)據(jù)價(jià)值評(píng)估指標(biāo)體系構(gòu)建方法；1：表1 計(jì)劃與完成情況序號(hào)計(jì)劃完成情況1建立大數(shù)據(jù)價(jià)值評(píng)估框架分析了大數(shù)據(jù)價(jià)值評(píng)估的挑戰(zhàn)和必要性，在此基礎(chǔ)上提出數(shù)據(jù)價(jià)值評(píng)估的實(shí)施流程，提出適用于數(shù)據(jù)價(jià)值評(píng)估的方法。2建立大數(shù)據(jù)價(jià)值評(píng)估指標(biāo)體系提出數(shù)據(jù)價(jià)值評(píng)估指標(biāo)體系構(gòu)建方法，實(shí)際應(yīng)用中根據(jù)數(shù)據(jù)的類別以及數(shù)據(jù)的不同特性選用不用的指標(biāo)體系構(gòu)建方法。3研究數(shù)據(jù)全生命周期的安全合規(guī)評(píng)價(jià)體系深入分析了國(guó)內(nèi)外數(shù)據(jù)安全合規(guī)面臨的挑戰(zhàn)，從數(shù)據(jù)全生命周期著手，結(jié)合國(guó)內(nèi)國(guó)際法，行業(yè)特點(diǎn)，應(yīng)用特點(diǎn)，同時(shí)關(guān)注、研究相關(guān)的執(zhí)法案例。提出了數(shù)據(jù)安全合規(guī)評(píng)估體系。具體分為通用指標(biāo)構(gòu)建，特定指標(biāo)構(gòu)建。特定指標(biāo)構(gòu)建是主要考慮不同行業(yè)的法律法規(guī)監(jiān)管要求和業(yè)務(wù)發(fā)展需要不同。通用指標(biāo)包括三個(gè)一級(jí)指標(biāo)，分別為組織建設(shè)、制度保障、技術(shù)保障。4推動(dòng)大數(shù)據(jù)價(jià)值評(píng)估和安全合規(guī)體系的行業(yè)示范應(yīng)用通過(guò)具體場(chǎng)景的分析，和具體評(píng)估的實(shí)施，推動(dòng)大數(shù)據(jù)價(jià)值和安全合規(guī)研究成果的落地和驗(yàn)證。5論文1篇論文1篇，評(píng)估報(bào)告1份本項(xiàng)目取得了如下研究成果：論文《基于密鑰組合的隱私數(shù)據(jù)保護(hù)方案》1篇，《數(shù)據(jù)流通平臺(tái)安全合規(guī)評(píng)估》報(bào)告1份，與預(yù)期研究成果相符。（二）研究目標(biāo)完成情況項(xiàng)目組緊緊圍繞本項(xiàng)目的研究目標(biāo)開(kāi)展各項(xiàng)研究，從以下幾個(gè)方面都做了深入評(píng)估框架和指標(biāo)體系構(gòu)建方法。取得了一系列研究成果，具體包括如下幾個(gè)方面：研究數(shù)據(jù)安全合規(guī)的必要性；提出數(shù)據(jù)安全合規(guī)的評(píng)估指標(biāo)體系；提出數(shù)據(jù)安全合規(guī)評(píng)估的評(píng)估實(shí)施方法；提出數(shù)據(jù)安全合規(guī)評(píng)估實(shí)施流程；提出數(shù)據(jù)價(jià)值評(píng)估的實(shí)施流程；研究數(shù)據(jù)價(jià)值評(píng)估指標(biāo)體系構(gòu)建方法；針對(duì)數(shù)據(jù)價(jià)值評(píng)估適用的方法進(jìn)行系統(tǒng)研究。完成評(píng)估報(bào)告《數(shù)據(jù)流通平臺(tái)安全合規(guī)評(píng)估》。綜上所述，項(xiàng)目研究已經(jīng)實(shí)現(xiàn)了既定目標(biāo)。二、研究工作主要進(jìn)展、結(jié)果和影響（一）主要研究?jī)?nèi)容5G各國(guó)加快推進(jìn)數(shù)據(jù)領(lǐng)域的立法活動(dòng)，以期通過(guò)制度競(jìng)爭(zhēng)獲得數(shù)據(jù)資源、數(shù)據(jù)監(jiān)管技術(shù)、數(shù)據(jù)規(guī)則話語(yǔ)權(quán)的博弈優(yōu)勢(shì)。全球主要發(fā)達(dá)國(guó)家把數(shù)字經(jīng)濟(jì)作為經(jīng)濟(jì)發(fā)展的重49日，中共中央、國(guó)務(wù)院印發(fā)《關(guān)于構(gòu)建更加完“加快培育數(shù)據(jù)要素市場(chǎng)回顧數(shù)據(jù)發(fā)展的整個(gè)過(guò)程會(huì)發(fā)現(xiàn)，數(shù)據(jù)已經(jīng)成為當(dāng)代的戰(zhàn)略性的資源。從上世紀(jì)1.0IT1.0階段的特征是數(shù)據(jù)信息描繪（映射）現(xiàn)實(shí)。數(shù)據(jù)下幾方面挑戰(zhàn)：1:新技術(shù)催生安全新需求，沖擊傳統(tǒng)合規(guī)體系5G挑戰(zhàn)2:全球化監(jiān)管帶來(lái)合規(guī)難題數(shù)據(jù)安全成為組織合規(guī)的重要內(nèi)容。頒布也在很大程度上填補(bǔ)了立法空缺，但在整個(gè)網(wǎng)絡(luò)安全領(lǐng)域我國(guó)仍存在著立法不足的情況。在具體實(shí)施方面，作為網(wǎng)絡(luò)安全基本大法的網(wǎng)絡(luò)安全法配套制度尚不健法的執(zhí)法案例尚不充足，執(zhí)法尺度仍需進(jìn)一步探索和統(tǒng)一。國(guó)際層面，通觀國(guó)際立法趨勢(shì)，不難發(fā)現(xiàn)數(shù)據(jù)已成為國(guó)際空間競(jìng)相爭(zhēng)奪的戰(zhàn)略性積極推行符合本國(guó)利益訴求的國(guó)際社會(huì)數(shù)據(jù)規(guī)則體系成為當(dāng)前國(guó)際的立法趨勢(shì)。隨得組織需要應(yīng)對(duì)不同規(guī)則體系的合規(guī)，大大增加了組織合規(guī)的復(fù)雜性。挑戰(zhàn)3:數(shù)據(jù)價(jià)值指標(biāo)體系構(gòu)建研究工作不足素做簡(jiǎn)單化處理，而要緊密結(jié)合數(shù)據(jù)價(jià)值基本特性，綜合多因素分階段開(kāi)展分析評(píng)標(biāo)體系構(gòu)建的研究工作較少。挑戰(zhàn)4:數(shù)據(jù)價(jià)值評(píng)估方法很難通用慮諸多影響因素，具有高復(fù)雜性和高難度性，很難有通用的評(píng)估方法。針對(duì)上述問(wèn)題及挑戰(zhàn)，本項(xiàng)目的主要研究?jī)?nèi)容包括如下兩個(gè)方面：評(píng)估的評(píng)估實(shí)施方法，數(shù)據(jù)安全合規(guī)評(píng)估實(shí)施流程。數(shù)據(jù)價(jià)值評(píng)估適用的方法進(jìn)行系統(tǒng)研究。（二）主要研究進(jìn)展研究大數(shù)據(jù)全生命周期的安全合規(guī)全合規(guī)評(píng)估的評(píng)估實(shí)施方法，數(shù)據(jù)安全合規(guī)評(píng)估實(shí)施流程。目前，在國(guó)家層面上《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《密碼法》《個(gè)人信息保護(hù)地方層面，各省市出臺(tái)了上百份與政務(wù)數(shù)據(jù)相關(guān)的政策文件，各地都對(duì)政務(wù)數(shù)據(jù)使ISO和國(guó)際電工委員會(huì)IEC內(nèi)方面相關(guān)的數(shù)據(jù)安全和隱私保護(hù)相關(guān)標(biāo)準(zhǔn)主要包括[3][4]據(jù)庫(kù)安全防護(hù)和政務(wù)數(shù)據(jù)全生命周期流轉(zhuǎn)過(guò)程中的風(fēng)險(xiǎn)控制，在數(shù)據(jù)相關(guān)各部門(mén)形感數(shù)據(jù)控制要不斷調(diào)整適應(yīng)現(xiàn)有的狀況，以應(yīng)對(duì)日趨嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)環(huán)境。數(shù)據(jù)安全合規(guī)評(píng)估的必要性5G各國(guó)加快推進(jìn)數(shù)據(jù)領(lǐng)域的立法活動(dòng)，以期通過(guò)制度競(jìng)爭(zhēng)獲得數(shù)據(jù)資源、數(shù)據(jù)監(jiān)管技術(shù)、數(shù)據(jù)規(guī)則話語(yǔ)權(quán)的博弈優(yōu)勢(shì)。全球主要發(fā)達(dá)國(guó)家把數(shù)字經(jīng)濟(jì)作為經(jīng)濟(jì)發(fā)展的重202049日，中共中央、國(guó)務(wù)院印發(fā)《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配“加快培育數(shù)據(jù)要素市場(chǎng)2020511日中共”可以說(shuō)，互聯(lián)網(wǎng)場(chǎng)景中，數(shù)據(jù)不再是一座孤島，（空間安全等一系列法律問(wèn)題。數(shù)據(jù)從靜態(tài)安全到動(dòng)態(tài)利用安全的轉(zhuǎn)變使得數(shù)據(jù)安全不再只是傳統(tǒng)信息安全和（三性問(wèn)題健康生態(tài)建立、社會(huì)公共安全乃至國(guó)家安全維護(hù)等諸多數(shù)據(jù)安全合規(guī)問(wèn)題。在諸多的數(shù)據(jù)安全保護(hù)手段當(dāng)中，數(shù)據(jù)安全合規(guī)評(píng)估作為一項(xiàng)能夠有效監(jiān)測(cè)和防范數(shù)據(jù)安全風(fēng)險(xiǎn)的制度約束，助力數(shù)據(jù)要素行業(yè)的健康與可持續(xù)發(fā)展具有重要意三方評(píng)估認(rèn)證等多方面積累了一些實(shí)踐經(jīng)驗(yàn)。估，為構(gòu)建數(shù)據(jù)為關(guān)鍵要素的數(shù)據(jù)經(jīng)濟(jì)保障護(hù)航?？偟膩?lái)說(shuō)，數(shù)據(jù)安全合規(guī)面臨如下挑戰(zhàn)：挑戰(zhàn)1新技術(shù)催生安全新需求，沖擊傳統(tǒng)合規(guī)體系5G挑戰(zhàn)2全球化監(jiān)管帶來(lái)合規(guī)難題不論是國(guó)內(nèi)還是國(guó)際領(lǐng)域，大數(shù)據(jù)安全的監(jiān)管態(tài)勢(shì)均不斷增強(qiáng)。在此背景下，大數(shù)據(jù)安全成為組織合規(guī)的重要內(nèi)容。頒布也在很大程度上填補(bǔ)了立法空缺，但在整個(gè)網(wǎng)絡(luò)安全領(lǐng)域我國(guó)仍存在著立法不足的情況。在具體實(shí)施方面，作為網(wǎng)絡(luò)安全基本大法的網(wǎng)絡(luò)安全法配套制度尚不健法的執(zhí)法案例尚不充足，執(zhí)法尺度仍需進(jìn)一步探索和統(tǒng)一。積極推行符合本國(guó)利益訴求的國(guó)際社會(huì)數(shù)據(jù)規(guī)則體系成為當(dāng)前國(guó)際的立法趨勢(shì)。隨GDPRCLOUD37條的沖突可能會(huì)導(dǎo)致組織在數(shù)據(jù)出境方面面臨巨大的合規(guī)困境。表2部分國(guó)內(nèi)綜合法規(guī)列表序號(hào)名稱1網(wǎng)絡(luò)安全法2中華人民共和國(guó)數(shù)據(jù)安全法3數(shù)據(jù)安全管理辦法4中華人民共和國(guó)個(gè)人信息保護(hù)法5關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例數(shù)據(jù)安全合規(guī)的評(píng)估指標(biāo)體系和評(píng)估實(shí)施方法3個(gè)階段，也有些4關(guān)的執(zhí)法案例[5]規(guī)和相關(guān)標(biāo)準(zhǔn)是規(guī)范不同研發(fā)人員研究大數(shù)據(jù)安全防護(hù)的基礎(chǔ)。本報(bào)告將通過(guò)研究業(yè)務(wù)發(fā)展需要不同。本項(xiàng)目主要研究通用指標(biāo)的構(gòu)建。通用指標(biāo)包括三個(gè)一級(jí)指標(biāo)，分別為組織建設(shè)、制度保障、技術(shù)保障。組織建設(shè)維度：談和查驗(yàn)相關(guān)文件的方式實(shí)現(xiàn)。組織建設(shè)二級(jí)指標(biāo)包括數(shù)據(jù)安全組織架構(gòu)和人員保障。?數(shù)據(jù)安全組織架構(gòu)：包括兩個(gè)三級(jí)指標(biāo)：數(shù)據(jù)安全管理責(zé)任部門(mén)、數(shù)據(jù)安全管理職責(zé)分工、數(shù)據(jù)安全監(jiān)督檢查。主要關(guān)注組織是否已設(shè)立數(shù)據(jù)安全管理責(zé)任部門(mén)門(mén)，負(fù)責(zé)牽頭承擔(dān)組織內(nèi)部數(shù)據(jù)安全管理工作是否有明確獨(dú)立的數(shù)據(jù)安全管理責(zé)任部門(mén)，負(fù)責(zé)牽頭承擔(dān)規(guī)性評(píng)估等工作而且和各項(xiàng)安全合規(guī)工作執(zhí)行落實(shí)部門(mén)有明確的責(zé)任分工界面。是否建立數(shù)據(jù)安全管理制度執(zhí)行落實(shí)情況監(jiān)督檢查和考核問(wèn)責(zé)制度。發(fā)展和數(shù)據(jù)安全之間做出良好的平衡；管理層是數(shù)據(jù)安全核心實(shí)體部門(mén)及業(yè)務(wù)部門(mén)立審計(jì)部門(mén)組成，負(fù)責(zé)監(jiān)督各項(xiàng)措施的落實(shí)。具體評(píng)估實(shí)施方法如下：數(shù)據(jù)安全管理責(zé)任部門(mén)：可通過(guò)查驗(yàn)組織文件通報(bào)或數(shù)據(jù)安全管理辦法，是否明確數(shù)據(jù)安全管理責(zé)任部（新設(shè)部門(mén)或指定某個(gè)原部門(mén)均可（OA在組織內(nèi)部進(jìn)行流轉(zhuǎn)傳達(dá)。是否明確數(shù)據(jù)安全管理責(zé)任部門(mén)職責(zé)，部門(mén)職責(zé)是否包括但不限于制定數(shù)據(jù)安全管部門(mén)職責(zé)分工：通過(guò)查驗(yàn)組織文件通報(bào)或數(shù)據(jù)安全管理辦法，是否明確劃分?jǐn)?shù)據(jù)安全管理責(zé)任部門(mén)與各項(xiàng)工作執(zhí)行落實(shí)部門(mén)分工界面，工作執(zhí)行落實(shí)部門(mén)是否完整包含數(shù)據(jù)協(xié)同（（業(yè)務(wù)部門(mén)數(shù)據(jù)安全監(jiān)督檢查制度：通過(guò)訪談、文件查驗(yàn)是否明確由責(zé)任部門(mén)定期對(duì)執(zhí)行部門(mén)數(shù)據(jù)安全管理制度執(zhí)行落實(shí)情況和落實(shí)效果進(jìn)行監(jiān)督檢查，是否能夠通過(guò)監(jiān)督檢查及時(shí)發(fā)現(xiàn)問(wèn)題并督促整改，是否將數(shù)據(jù)安全工作執(zhí)行部門(mén)落實(shí)情況和效果納入組織內(nèi)部績(jī)效考核體系。?人員保障：力。根據(jù)不同數(shù)據(jù)安全能力建設(shè)維度匹配不同人員能力要求。安全崗位職責(zé)關(guān)注是否明確相關(guān)人員數(shù)據(jù)安全工作職責(zé)，負(fù)責(zé)具體承擔(dān)落實(shí)數(shù)據(jù)安全管理工作。數(shù)據(jù)安全人員配備關(guān)注是否在數(shù)據(jù)安全管理責(zé)任部門(mén)和相關(guān)部門(mén)配備數(shù)據(jù)安全管理專職人員。具體實(shí)施方法如下：通過(guò)對(duì)《數(shù)據(jù)安全崗位職責(zé)說(shuō)明書(shū)》《人員任命書(shū)》《數(shù)據(jù)安全崗位人員名單》《數(shù)據(jù)安全崗位人員工作記錄文件》等相關(guān)制度和記錄文檔的查驗(yàn)。如數(shù)據(jù)安全崗位職責(zé)查驗(yàn)組織數(shù)據(jù)安全崗位職責(zé)說(shuō)明文件或人員任命書(shū)，是否據(jù)保護(hù)工作，提出數(shù)據(jù)安全保護(hù)的對(duì)策建議，監(jiān)督管理制度和措施的執(zhí)行落實(shí)情況等。管理責(zé)任部門(mén)至少配備一名數(shù)據(jù)安全專職人員，相關(guān)工作執(zhí)行落實(shí)部門(mén)至少配備一查驗(yàn)組織數(shù)據(jù)安全崗位人員工作記錄文件，驗(yàn)證組織數(shù)據(jù)安全管理責(zé)任部門(mén)和相關(guān)部門(mén)人員是否按照要求履職。d)組織受理和處置數(shù)據(jù)安全投訴、舉報(bào)。?數(shù)據(jù)識(shí)別：確數(shù)據(jù)存儲(chǔ)系統(tǒng)情況梳理原則和梳理周期?？椣到y(tǒng)全范圍，從組織收集處理用戶個(gè)人信息的核心系統(tǒng)擴(kuò)展到各數(shù)據(jù)處理活動(dòng)相情況進(jìn)行全面區(qū)分，并留存相關(guān)文檔記錄備查。對(duì)已形成的數(shù)據(jù)資產(chǎn)清單定期更新數(shù)據(jù)資產(chǎn)變更臺(tái)賬。?數(shù)據(jù)分級(jí)分類：[7][8][9]，根據(jù)合同規(guī)定和業(yè)務(wù)運(yùn)營(yíng)需要，對(duì)所識(shí)別的數(shù)據(jù)進(jìn)行分類分級(jí)管理。具體評(píng)估實(shí)施方法如下：管控系統(tǒng)類型是否完整覆蓋組織相關(guān)數(shù)據(jù)處理活動(dòng)涉及的平臺(tái)系統(tǒng)。查驗(yàn)組織數(shù)據(jù)（（據(jù)庫(kù)表單打標(biāo)簽等形式分類分級(jí)變更情況進(jìn)行動(dòng)態(tài)更新并留存更新記錄。（打標(biāo)簽等形式）。通過(guò)查驗(yàn)組織數(shù)據(jù)分類分級(jí)策略變更制度，是否明確關(guān)于數(shù)據(jù)分類分級(jí)策略制更情況進(jìn)行記錄。事件應(yīng)急處置：效處置。具體評(píng)估實(shí)施如下：國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的是否按相關(guān)要求向有關(guān)部門(mén)報(bào)告。查驗(yàn)組織是否制定數(shù)據(jù)安全事件應(yīng)急響應(yīng)制度，明確數(shù)據(jù)安全事件應(yīng)急響應(yīng)牽練和維護(hù)等內(nèi)容。查驗(yàn)組織數(shù)據(jù)安全事件應(yīng)急響應(yīng)方案，是否有效結(jié)合了數(shù)據(jù)安全事件場(chǎng)景和等（丟失件評(píng)估、結(jié)束響應(yīng)、應(yīng)急總結(jié)、情況跟蹤等階段。查驗(yàn)組織數(shù)據(jù)安全應(yīng)急演練工作記錄，驗(yàn)證組織業(yè)務(wù)是否根據(jù)數(shù)據(jù)安全事件應(yīng)是否至少一年開(kāi)展一次演練。每個(gè)核心數(shù)據(jù)處理活動(dòng)涉及的平臺(tái)系統(tǒng)是否至少兩年開(kāi)展一次演練。查驗(yàn)組織數(shù)據(jù)安全應(yīng)急響應(yīng)處置記錄，是否在發(fā)生數(shù)據(jù)安全事件時(shí)及時(shí)按照應(yīng)（（（管部門(mén)報(bào)告。?人力資源保障與考核：人員和其他直接責(zé)任人員進(jìn)行問(wèn)責(zé)。?制度執(zhí)行審計(jì)：審計(jì)報(bào)告。數(shù)據(jù)安全審計(jì)制度核驗(yàn)是否制定了數(shù)據(jù)安全審計(jì)制度，是否針對(duì)數(shù)據(jù)生命周期（（異常操作的定義計(jì)問(wèn)題整改跟蹤等內(nèi)容；組織是否定期開(kāi)展安全審計(jì)和整改工作，及時(shí)消除安全隱患?？椣嚓P(guān)數(shù)據(jù)處理活動(dòng)涉及的平臺(tái)系統(tǒng)。核驗(yàn)組織是否建立數(shù)據(jù)安全審計(jì)平臺(tái)，可要求組織演示組織是否已建設(shè)安全審的范圍，配置相應(yīng)的審計(jì)策略（模型）；數(shù)據(jù)安全審計(jì)報(bào)告查驗(yàn)組織數(shù)據(jù)安全審計(jì)制度，核查數(shù)據(jù)安全審計(jì)的內(nèi)容是否（數(shù)據(jù)非授權(quán)訪問(wèn)（或轉(zhuǎn)移一年內(nèi)實(shí)現(xiàn)數(shù)據(jù)處理活動(dòng)涉及的平臺(tái)系統(tǒng)安全審計(jì)工作全覆蓋。審計(jì)數(shù)據(jù)記錄內(nèi)容據(jù)安全審計(jì)報(bào)告，驗(yàn)證組織數(shù)據(jù)安全管理責(zé)任部門(mén)是否針對(duì)有關(guān)問(wèn)題協(xié)調(diào)數(shù)據(jù)安全存異常情況處置記錄。技術(shù)保障包括過(guò)程保障和網(wǎng)絡(luò)安全防護(hù)保障。網(wǎng)絡(luò)安全防護(hù)保障：志管理。下面以訪問(wèn)控制管理和日志管理為例說(shuō)明具體評(píng)估實(shí)施過(guò)程。權(quán)限管理：臺(tái)系統(tǒng)權(quán)限管控，業(yè)務(wù)支撐系統(tǒng)訪問(wèn)控制。具體評(píng)估實(shí)施方法如下；數(shù)據(jù)訪問(wèn)權(quán)限管理要求查驗(yàn)組織數(shù)據(jù)訪問(wèn)權(quán)限管理制度，是否明確數(shù)據(jù)處理活明確數(shù)據(jù)處理賬號(hào)操作的審批要求和操作流程；是否建立并定期更新組織數(shù)據(jù)處理活動(dòng)平臺(tái)系統(tǒng)權(quán)限分配表,是否對(duì)能夠處理用戶個(gè)人信息的業(yè)務(wù)系統(tǒng)賬號(hào)進(jìn)行定期梳理，并對(duì)崗位角色的權(quán)限進(jìn)行規(guī)范。數(shù)據(jù)處理活動(dòng)平臺(tái)系統(tǒng)賬號(hào)管理通過(guò)演示組織賬號(hào)生命周期管理流程，驗(yàn)證針和注銷申請(qǐng)審批流程，并記錄審批過(guò)程和結(jié)果。數(shù)據(jù)處理活動(dòng)平臺(tái)系統(tǒng)權(quán)限管控通過(guò)技術(shù)驗(yàn)證組織數(shù)據(jù)處理活動(dòng)平臺(tái)系統(tǒng)賬號(hào)權(quán)限分配是否遵循“”否按照角色或用戶組進(jìn)行授權(quán)，是否嚴(yán)格控制超級(jí)管理員權(quán)限賬號(hào)數(shù)量。業(yè)務(wù)支撐系統(tǒng)訪問(wèn)控制：通過(guò)技術(shù)驗(yàn)證組織業(yè)務(wù)支撐系統(tǒng)是否通過(guò)基于IP或MAC身份認(rèn)證和權(quán)限控制；通過(guò)技術(shù)驗(yàn)證組織業(yè)務(wù)支撐系統(tǒng)是否配置口令復(fù)雜度策略，8統(tǒng)是否對(duì)口令遺忘的申請(qǐng)和重置流程實(shí)施嚴(yán)格管理，口令重置流程是否存在業(yè)務(wù)邏加密傳輸、加密存儲(chǔ)等方式保護(hù)賬號(hào)口令安全。日志管理：權(quán)限控制。具體評(píng)估實(shí)施方法如下：但不限于數(shù)據(jù)授權(quán)訪問(wèn)、批量復(fù)制、開(kāi)放共享、銷毀及數(shù)據(jù)接口調(diào)用等環(huán)節(jié)日志。6是否定期對(duì)網(wǎng)絡(luò)日志進(jìn)行備份，防止數(shù)據(jù)安全事件導(dǎo)致的日志被刪除。修改和覆蓋。>過(guò)程保障：存儲(chǔ)是指數(shù)據(jù)以任何形式在組織中進(jìn)行存儲(chǔ)的階段。數(shù)據(jù)使用是指組織使用數(shù)據(jù)的據(jù)徹底刪除且無(wú)法通過(guò)任何手段恢復(fù)的過(guò)程。數(shù)據(jù)全生命周期的指標(biāo)和具體業(yè)務(wù)緊密相關(guān)，在評(píng)估過(guò)程中，對(duì)于不適用的階段可以忽略。數(shù)據(jù)收集：品和服務(wù)所必需的個(gè)人信息，不應(yīng)因用戶拒絕提供該類產(chǎn)品和服務(wù)所必需的個(gè)人信14礎(chǔ)上提供數(shù)據(jù)。具體評(píng)估實(shí)施方法如下：數(shù)據(jù)收集合法正當(dāng)，查驗(yàn)組織具體業(yè)務(wù)用戶協(xié)議或隱私政策文件中業(yè)務(wù)功能及務(wù)場(chǎng)景是否進(jìn)一步依據(jù)相應(yīng)的合規(guī)要求進(jìn)行合規(guī)風(fēng)險(xiǎn)的評(píng)估，并防范收集過(guò)程中可能存在的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。通過(guò)技術(shù)驗(yàn)證組織業(yè)務(wù)是否明確數(shù)據(jù)采集過(guò)程中個(gè)人信息規(guī)報(bào)告，是否根據(jù)規(guī)則在業(yè)務(wù)系統(tǒng)中定期執(zhí)行數(shù)據(jù)收集合規(guī)性查驗(yàn)。用戶數(shù)據(jù)收集明示同意，通過(guò)查驗(yàn)組織具體業(yè)務(wù)用戶協(xié)議或隱私政策文件中業(yè)導(dǎo)用戶數(shù)據(jù)主體同意收集用戶數(shù)據(jù)的行為。組織如果通過(guò)在線方式進(jìn)行用戶個(gè)人敏感信息采集，通過(guò)技術(shù)驗(yàn)證業(yè)務(wù)是否使用有效加密手段保障用戶在線提交信息的安全性。停止收集，通過(guò)隱私政策或用戶協(xié)議檢查組織業(yè)務(wù)是否按照法律法規(guī)和相關(guān)標(biāo)通過(guò)技術(shù)驗(yàn)證組織業(yè)務(wù)是否為用戶提供注銷號(hào)碼或賬號(hào)的服務(wù)，并且在用戶注銷賬號(hào)時(shí)不得設(shè)置過(guò)多不合理的注銷條件（如需要提交非必要的個(gè)人敏感信息）。數(shù)據(jù)存儲(chǔ)及傳輸：儲(chǔ)數(shù)據(jù)時(shí)，應(yīng)按要求采取安全措施并以合同進(jìn)行約定。安全措施并以合同進(jìn)行約定。具體評(píng)估實(shí)施方法如下：明確網(wǎng)絡(luò)安全域劃分策略；數(shù)據(jù)傳輸安全策略制定是否充分考慮了各數(shù)據(jù)存儲(chǔ)平臺(tái)MAC地址、IP地址或端口號(hào)綁定等方式避免“安全三同步”（查驗(yàn)組織數(shù)據(jù)存儲(chǔ)環(huán)節(jié)相關(guān)制度文件，組織是否制定各類數(shù)據(jù)存儲(chǔ)系統(tǒng)的安全安全管理規(guī)范和操作規(guī)程，如維護(hù)操作流程、應(yīng)急操作流程等。制直接提供公共互聯(lián)網(wǎng)訪問(wèn)；查驗(yàn)其上線前是否經(jīng)過(guò)安全驗(yàn)收以保證遵循統(tǒng)一的安"（應(yīng)用程序重大操作，是否納入多人管控模式。（含介質(zhì)使用的數(shù)據(jù)使用：網(wǎng)絡(luò)運(yùn)營(yíng)者利用個(gè)人信息和算法為用戶提供定向推送信息服務(wù)的，應(yīng)同時(shí)提供下：驗(yàn)組織業(yè)務(wù)支撐系統(tǒng)是否提供停止定向推送信息的功能，用戶選擇停止接收定向推術(shù)手段或機(jī)制，對(duì)違規(guī)使用數(shù)據(jù)的行為進(jìn)行有效的識(shí)別、監(jiān)控和預(yù)警。數(shù)據(jù)共享：共享重要數(shù)據(jù)，應(yīng)與數(shù)據(jù)接收方通過(guò)合同等形式明確雙方的數(shù)據(jù)安全保護(hù)責(zé)任數(shù)據(jù)開(kāi)放共享場(chǎng)景建立相應(yīng)的數(shù)據(jù)開(kāi)放共享安全策略和操作規(guī)程，明確數(shù)據(jù)開(kāi)放共否建立數(shù)據(jù)開(kāi)放共享的審核制度和規(guī)范的數(shù)據(jù)共享審核流程，審核開(kāi)放共享數(shù)據(jù)的數(shù)據(jù)內(nèi)容，確認(rèn)屬于滿足數(shù)據(jù)開(kāi)放共享業(yè)務(wù)場(chǎng)景的需求范圍及未超出授權(quán)范圍開(kāi)放6通過(guò)保密協(xié)議等方式明確數(shù)據(jù)開(kāi)放共享雙方應(yīng)承擔(dān)的安全責(zé)任，應(yīng)具備的數(shù)據(jù)保護(hù)（了對(duì)數(shù)據(jù)的使用目的、供應(yīng)方式、保密約定等。查驗(yàn)組織數(shù)據(jù)接口管理制度及數(shù)據(jù)接口清查記錄，是否定期對(duì)本組織對(duì)外數(shù)據(jù)"（如網(wǎng)站、APP、賬單、業(yè)務(wù)登記單、顯示屏幕等展示場(chǎng)景）顯示個(gè)人敏感信息時(shí)，采取去標(biāo)識(shí)化處理等措施防止個(gè)人信息主體之外的其他人員未經(jīng)授權(quán)獲取個(gè)人敏感數(shù)據(jù)出境：境內(nèi)用戶在境內(nèi)訪問(wèn)境內(nèi)網(wǎng)絡(luò)的，其流量不應(yīng)路由至境外。組織存在數(shù)據(jù)傳輸出境數(shù)據(jù)銷毀：（如數(shù)6業(yè)務(wù)和業(yè)務(wù)支撐系統(tǒng)是否針對(duì)數(shù)據(jù)銷毀建立完善的操作審批機(jī)制，采用多人操作模通過(guò)演示查驗(yàn)組織業(yè)務(wù)支撐系統(tǒng)是否提供了與數(shù)據(jù)銷毀制度配套的各類數(shù)據(jù)銷毀的（從而保證對(duì)同類場(chǎng)景下的數(shù)據(jù)銷毀效果的一致性。查驗(yàn)組織個(gè)人信息的銷毀安全制度文數(shù)據(jù)安全合規(guī)實(shí)施流程這部分主要說(shuō)明現(xiàn)場(chǎng)評(píng)估實(shí)施流程>準(zhǔn)備環(huán)境：估工作。實(shí)施評(píng)估：技術(shù)手段對(duì)評(píng)估環(huán)境進(jìn)行檢查和核實(shí)等方式開(kāi)展評(píng)估工作。被評(píng)估組織在評(píng)估過(guò)程中應(yīng)積極配合評(píng)估方的工作，并及時(shí)對(duì)評(píng)估過(guò)程中出現(xiàn)的問(wèn)題進(jìn)行有效解決。輸出評(píng)估結(jié)果：評(píng)估結(jié)束后，評(píng)估方應(yīng)按照數(shù)據(jù)安全合規(guī)評(píng)估要求對(duì)所涉及應(yīng)用場(chǎng)景下的各類估報(bào)告。報(bào)告內(nèi)容應(yīng)包括評(píng)估工作總結(jié)、評(píng)分指標(biāo)項(xiàng)、現(xiàn)狀及整改措施等內(nèi)容。問(wèn)題回顧：對(duì)整改計(jì)劃完成情況進(jìn)行及時(shí)的總結(jié)，及時(shí)完善修改整改計(jì)劃。復(fù)評(píng)復(fù)測(cè)：應(yīng)對(duì)現(xiàn)場(chǎng)評(píng)估發(fā)現(xiàn)的問(wèn)題逐一進(jìn)行查評(píng)，結(jié)束后提交數(shù)據(jù)安全合規(guī)復(fù)查評(píng)估報(bào)告。大數(shù)據(jù)價(jià)值評(píng)估隨著數(shù)字技術(shù)的日益成熟和應(yīng)用場(chǎng)景的不斷拓展20212486202559522021要加快數(shù)字化發(fā)展[12]，打造數(shù)字經(jīng)濟(jì)新優(yōu)勢(shì)，協(xié)同推進(jìn)數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化轉(zhuǎn)的數(shù)據(jù)資源優(yōu)勢(shì)轉(zhuǎn)化成數(shù)據(jù)價(jià)值優(yōu)勢(shì)，為經(jīng)濟(jì)增長(zhǎng)注入更多活力具有重要意義。為新一代的體現(xiàn)組織核心競(jìng)爭(zhēng)力的信息資源，類似于組織的固定資產(chǎn)為組織帶來(lái)經(jīng)濟(jì)利益的流入。使其難以發(fā)揮數(shù)據(jù)應(yīng)有的價(jià)值，最終即使共享了也基本無(wú)法對(duì)數(shù)據(jù)進(jìn)行深入挖掘使乏關(guān)鍵要素信息,而使數(shù)據(jù)在應(yīng)用中的價(jià)值較低，制約了數(shù)據(jù)發(fā)揮應(yīng)有的價(jià)值，降低了政務(wù)數(shù)據(jù)的價(jià)值，更無(wú)法為決策提供支撐。家學(xué)者提出利用貴陽(yáng)大數(shù)據(jù)交易所數(shù)據(jù)的交易金額作為該項(xiàng)數(shù)據(jù)的公允價(jià)值，采用交易所目前發(fā)展的勢(shì)頭相當(dāng)不錯(cuò)，但是由于成立時(shí)間較短加上互聯(lián)網(wǎng)近幾年的發(fā)展估值，對(duì)于未來(lái)數(shù)據(jù)資產(chǎn)進(jìn)入組織的資產(chǎn)負(fù)債表當(dāng)中的所列式的金額有一定的參考作用[13]。已有研究[14][15][16]，大多將大數(shù)據(jù)作為一種資產(chǎn)在定性上將其歸為一項(xiàng)無(wú)形資產(chǎn)大數(shù)據(jù)作為無(wú)形資產(chǎn)進(jìn)行計(jì)量。大數(shù)據(jù)隨著科技的不斷進(jìn)步出現(xiàn)的一種新型財(cái)產(chǎn)權(quán)必須滿足“能夠從組織當(dāng)中劃分出來(lái)”和“可辨認(rèn)性”只有一小部分滿足無(wú)形資產(chǎn)的定義，所以將其歸為無(wú)形資產(chǎn)采用無(wú)形資產(chǎn)的價(jià)值評(píng)估方法不符合會(huì)計(jì)原則中的可靠性。有高復(fù)雜性和高難度性，很難有通用的評(píng)估方法。二是升級(jí)企業(yè)標(biāo)準(zhǔn)；三是融合新興技術(shù)；四是創(chuàng)新運(yùn)營(yíng)機(jī)制；五是升級(jí)安全能力。Gartner[17][18]指出，當(dāng)疫情來(lái)襲時(shí)，傳統(tǒng)技術(shù)分析公司意識(shí)到這些技術(shù)嚴(yán)重依賴了一切，大量的數(shù)據(jù)失去作用。如何能更好的發(fā)揮數(shù)據(jù)的價(jià)值異常重要。素做簡(jiǎn)單化處理，而要緊密結(jié)合數(shù)據(jù)價(jià)值基本特性，綜合多因素分階段開(kāi)展分析評(píng)標(biāo)體系構(gòu)建的研究工作較少。據(jù)價(jià)值評(píng)估的挑戰(zhàn)也非常大。因此本項(xiàng)目緊密結(jié)合大數(shù)據(jù)的特點(diǎn)構(gòu)建一種復(fù)合性的大數(shù)據(jù)價(jià)值框架和評(píng)估體系，力求為現(xiàn)實(shí)組織之后對(duì)大數(shù)據(jù)價(jià)值評(píng)估提供一種可行的方法體系。3。2國(guó)內(nèi)外關(guān)于數(shù)據(jù)價(jià)值評(píng)估研究總結(jié)時(shí)間研究單位單位性質(zhì)成果價(jià)值2021中國(guó)信息通信研究院工業(yè)和信息化部直屬科研事業(yè)單位數(shù)據(jù)價(jià)值化與數(shù)據(jù)要素市場(chǎng)發(fā)展報(bào)告[19]2021中國(guó)信息通信研究院工業(yè)和信息化部直數(shù)據(jù)資產(chǎn)管理實(shí)踐白皮書(shū)（5.0版）[20]以數(shù)據(jù)資產(chǎn)賦能業(yè)務(wù)發(fā)展作為核心邏輯，闡述數(shù)據(jù)資產(chǎn)屬科研事業(yè)單位施、實(shí)踐步驟等2020國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)中國(guó)標(biāo)準(zhǔn)化組織電子商務(wù)數(shù)據(jù)資產(chǎn)評(píng)估指標(biāo)體系（GB/T37550-2019）[21]提出數(shù)據(jù)資產(chǎn)應(yīng)用效果的分評(píng)估數(shù)據(jù)資產(chǎn)的運(yùn)營(yíng)效果時(shí)有參考價(jià)值。2020中國(guó)資產(chǎn)評(píng)估協(xié)會(huì)財(cái)政部下屬行業(yè)組織數(shù)據(jù)資產(chǎn)的資產(chǎn)評(píng)估專家指引[22]作為資產(chǎn)評(píng)估專業(yè)機(jī)構(gòu)，其提出的三種評(píng)估方式在數(shù)據(jù)資產(chǎn)的經(jīng)濟(jì)價(jià)值衡量中具有權(quán)威性以及可落地性。2020Gartner全球技術(shù)咨詢服務(wù)公司提出市場(chǎng)價(jià)值、經(jīng)濟(jì)價(jià)值、內(nèi)在價(jià)值、業(yè)務(wù)價(jià)值、績(jī)效價(jià)值、成本價(jià)值、廢棄價(jià)值、風(fēng)險(xiǎn)價(jià)值共八大維度的信息資產(chǎn)價(jià)值評(píng)估模型。從多角度評(píng)估數(shù)據(jù)資產(chǎn)的多2020普華永道全球技術(shù)咨詢服務(wù)公司BI濟(jì)價(jià)值評(píng)估方式[16]采用了多步式方法評(píng)估BI應(yīng)用對(duì)組織的影響，其測(cè)算出的經(jīng)濟(jì)價(jià)值相關(guān)參數(shù)具有一定參考價(jià)值2019阿里研究院中國(guó)技術(shù)咨詢服務(wù)公司數(shù)據(jù)資產(chǎn)化之路數(shù)據(jù)資產(chǎn)的估值與行業(yè)實(shí)踐[23]將數(shù)據(jù)資產(chǎn)與無(wú)形資產(chǎn)進(jìn)行對(duì)比，探索無(wú)形資產(chǎn)評(píng)估方法在數(shù)據(jù)資產(chǎn)中運(yùn)用的可行性。以方法論的形式提出評(píng)估方法，未考慮估值方法的可落地性。多數(shù)企業(yè)在數(shù)據(jù)資產(chǎn)定價(jià)方面的嘗試，具有一定的局限性，集中表現(xiàn)在兩個(gè)方在關(guān)注數(shù)據(jù)資產(chǎn)的“有形”價(jià)值之外，不應(yīng)忽視數(shù)據(jù)資產(chǎn)的“無(wú)形”價(jià)值。針對(duì)以上挑戰(zhàn)，本部分主要做了以下工作：提出數(shù)據(jù)價(jià)值評(píng)估的實(shí)施流程。研究數(shù)據(jù)價(jià)值評(píng)估指標(biāo)體系構(gòu)建方法。針對(duì)數(shù)據(jù)價(jià)值評(píng)估適用的方法進(jìn)行系統(tǒng)研究。數(shù)據(jù)價(jià)值評(píng)估的實(shí)施流程針對(duì)特定的數(shù)據(jù)價(jià)值評(píng)估項(xiàng)目，可以按兩個(gè)階段開(kāi)展：據(jù)質(zhì)量（1中對(duì)數(shù)據(jù)安全合規(guī)的評(píng)估結(jié)果）應(yīng)用價(jià)值主要涵蓋哪些方面，