DB54T 0427-2024 公共數(shù)據(jù) 數(shù)據(jù)資產(chǎn)管理指南

ICS35.24054CCSL7854西 藏 自 治 區(qū) 地 方 標(biāo) 準(zhǔn)DB54/T0427—2024公共數(shù)據(jù) 數(shù)據(jù)資產(chǎn)管理指南2024-11-18發(fā)布 2024-12-18實施西藏自治區(qū)市場監(jiān)督管理局??發(fā)布DB54/T0427—2024DB54/T0427—2024PAGE\*ROMANPAGE\*ROMANII目 次前言 II范圍 1規(guī)范性引用文件 1術(shù)語和定義 1數(shù)據(jù)資產(chǎn)管理原則 2數(shù)據(jù)資產(chǎn)管理框架 2數(shù)據(jù)資產(chǎn)管理對象 3數(shù)據(jù)資產(chǎn)管理過程 3數(shù)據(jù)資產(chǎn)目錄管理 3數(shù)據(jù)資產(chǎn)識別 3數(shù)據(jù)資產(chǎn)確權(quán) 3數(shù)據(jù)資產(chǎn)應(yīng)用 4數(shù)據(jù)資產(chǎn)盤點 4數(shù)據(jù)資產(chǎn)變更 4數(shù)據(jù)資產(chǎn)處置 4數(shù)據(jù)資產(chǎn)評估 4數(shù)據(jù)資產(chǎn)審計 5數(shù)據(jù)資產(chǎn)安全管理 5數(shù)據(jù)資產(chǎn)管理保障 5參考文獻(xiàn) 6前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由西藏自治區(qū)經(jīng)濟(jì)和信息化廳（自治區(qū)數(shù)據(jù)管理局）提出并歸口。（自治區(qū)數(shù)據(jù)管理局責(zé)任公司、國家工業(yè)信息安全發(fā)展研究中心。青、賀赟、杜洪濤、李云志、欒燕、陶煒、蔡長亮。DB54/T0427DB54/T0427—2024PAGEPAGE3公共數(shù)據(jù)數(shù)據(jù)資產(chǎn)管理指南范圍產(chǎn)的管理保障要求。本文件適用于規(guī)范指導(dǎo)西藏自治區(qū)公共數(shù)據(jù)的數(shù)據(jù)資產(chǎn)管理。規(guī)范性引用文件（包括所有的修改單）適用于本文件。GB/T35273信息安全技術(shù)個人信息安全規(guī)范GB/T36073數(shù)據(jù)管理能力成熟度評估模型GB/T37973信息安全技術(shù)大數(shù)據(jù)安全管理指南GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T38667信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南GB/T40685數(shù)據(jù)資產(chǎn)管理要求術(shù)語和定義GB/T36073和GB/T40685界定的以及下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)資產(chǎn)dataasset合法擁有或者控制的，能進(jìn)行計量的，為組織帶來經(jīng)濟(jì)和社會價值的數(shù)據(jù)資源。[來源：GB/T40685-2021，3.1]3.2元數(shù)據(jù)metadata描述數(shù)據(jù)資源特征的數(shù)據(jù)。[來源：GB/T36073-2018，3.8]3.3主數(shù)據(jù)masterdata組織中需要跨系統(tǒng)、跨部門進(jìn)行共享的核心業(yè)務(wù)實體數(shù)據(jù)。[來源：GB/T36073-2018，3.12]3.4數(shù)據(jù)資產(chǎn)目錄datacatalog采用分類、分級和編碼等方式描述數(shù)據(jù)資產(chǎn)特征的一組信息。[來源：GB/T40685-2021，3.4]數(shù)據(jù)資產(chǎn)管理原則則，具體要求如下：價值導(dǎo)向原則數(shù)據(jù)資產(chǎn)管理是以數(shù)據(jù)資產(chǎn)保值增值、價值實現(xiàn)為目的。權(quán)責(zé)明確原則明確數(shù)據(jù)權(quán)屬和權(quán)限，做到職責(zé)劃分清晰、行為可追溯、有利于數(shù)據(jù)資產(chǎn)保護(hù)。治理先行原則致性等。安全合規(guī)原則的安全性。數(shù)據(jù)資產(chǎn)管理框架架主要包括政策規(guī)劃、目標(biāo)制定、資產(chǎn)管理和共享服務(wù)，見圖1。圖1 公共數(shù)據(jù)資產(chǎn)管理框架大數(shù)據(jù)流通共享和政府公共服務(wù)能力。用和數(shù)據(jù)服務(wù)價值。數(shù)據(jù)資產(chǎn)管理對象公共數(shù)據(jù)資產(chǎn)管理的數(shù)據(jù)對象，其涉及的信息屬性包含但不限于：數(shù)據(jù)基本屬性，包括數(shù)據(jù)的來源、類型、結(jié)構(gòu)、規(guī)模、更新周期、標(biāo)準(zhǔn)和質(zhì)量等；數(shù)據(jù)業(yè)務(wù)屬性，包括業(yè)務(wù)描述、業(yè)務(wù)指標(biāo)、業(yè)務(wù)規(guī)則和關(guān)聯(lián)關(guān)系等；數(shù)據(jù)管理屬性，包括數(shù)據(jù)權(quán)屬、分類分級、安全信息、數(shù)據(jù)溯源、職責(zé)權(quán)限和應(yīng)用情況等；數(shù)據(jù)價值屬性，包括行業(yè)領(lǐng)域信息、地域信息、應(yīng)用價值和金融屬性等。數(shù)據(jù)資產(chǎn)管理過程實施公共數(shù)據(jù)資產(chǎn)管理的過程活動包括但不限于：數(shù)據(jù)資產(chǎn)目錄管理，用來記錄和管理數(shù)據(jù)資產(chǎn)的信息屬性；期管理，以及應(yīng)用價值；數(shù)據(jù)資產(chǎn)的評估、審計和安全管理為數(shù)據(jù)資產(chǎn)的價值發(fā)現(xiàn)、運(yùn)營合規(guī)和風(fēng)險控制提供支撐。數(shù)據(jù)資產(chǎn)目錄管理數(shù)據(jù)資產(chǎn)目錄管理要求如下：建立分類規(guī)則，從業(yè)務(wù)、數(shù)據(jù)格式等維度，建立數(shù)據(jù)資產(chǎn)的分類規(guī)則；建立資產(chǎn)目錄，在分類規(guī)則基礎(chǔ)上，建立數(shù)據(jù)資產(chǎn)目錄，記錄數(shù)據(jù)資產(chǎn)的信息屬性；建立管控機(jī)制，建立數(shù)據(jù)資產(chǎn)目錄管理的權(quán)限、版本和發(fā)布等控制機(jī)制；實施資產(chǎn)分類，對數(shù)據(jù)資產(chǎn)進(jìn)行分類，維度包括但不限于主體、主題和業(yè)務(wù)；更新資產(chǎn)目錄，結(jié)合數(shù)據(jù)資產(chǎn)其他管理過程的實施，保障數(shù)據(jù)資產(chǎn)目錄信息及時有效。數(shù)據(jù)資產(chǎn)識別數(shù)據(jù)資產(chǎn)識別要求如下：信息、業(yè)務(wù)信息、管理信息和價值信息等，建立數(shù)據(jù)資產(chǎn)元數(shù)據(jù)庫；和審計等過程的實施；對數(shù)據(jù)資產(chǎn)的變化進(jìn)行識別，并執(zhí)行數(shù)據(jù)資產(chǎn)變更過程。數(shù)據(jù)資產(chǎn)確權(quán)數(shù)據(jù)資產(chǎn)確權(quán)要求如下：基于數(shù)據(jù)標(biāo)識、區(qū)塊鏈等技術(shù)手段，在單一或多方機(jī)構(gòu)共同鑒證下，確認(rèn)數(shù)據(jù)資產(chǎn)權(quán)屬；在數(shù)據(jù)資產(chǎn)的使用和提供過程中，宜通過數(shù)字簽名、分布式賬本等方式，記錄數(shù)據(jù)資產(chǎn)的身份屬性與時間屬性。數(shù)據(jù)資產(chǎn)應(yīng)用數(shù)據(jù)資產(chǎn)應(yīng)用要求如下：識別數(shù)據(jù)資產(chǎn)應(yīng)用的途徑，依據(jù)業(yè)務(wù)需求、管理模式、管理策略和數(shù)據(jù)敏感度等，劃分應(yīng)用等級；建立數(shù)據(jù)資產(chǎn)服務(wù)保障、效益評估、效果評價等機(jī)制；確保數(shù)據(jù)資產(chǎn)應(yīng)用過程安全可控、合法合規(guī)；對數(shù)據(jù)資產(chǎn)應(yīng)用的行為進(jìn)行完整記錄，確?？勺匪?、可審計。數(shù)據(jù)資產(chǎn)盤點數(shù)據(jù)資產(chǎn)盤點要求如下：息屬性，盤點對象可優(yōu)先圍繞關(guān)鍵業(yè)務(wù)、急需的主數(shù)據(jù)、參考數(shù)據(jù)，以及重要價值的業(yè)務(wù)流水?dāng)?shù)據(jù)、指標(biāo)數(shù)據(jù)進(jìn)行盤點；安排專人負(fù)責(zé)數(shù)據(jù)資產(chǎn)盤點，并明確盤點人員的權(quán)責(zé)；記錄盤點結(jié)果；及時對盤點發(fā)現(xiàn)的問題進(jìn)行分析和處理。數(shù)據(jù)資產(chǎn)變更數(shù)據(jù)資產(chǎn)變更要求如下：建立數(shù)據(jù)資產(chǎn)變更機(jī)制，明確數(shù)據(jù)資產(chǎn)變更觸發(fā)條件，并有效管控變更過程；對數(shù)據(jù)資產(chǎn)變更申請進(jìn)行評審，評審內(nèi)容包括信息的完整性、業(yè)務(wù)的必要性、需求的符合度、影響范圍和權(quán)屬關(guān)系等；對數(shù)據(jù)資產(chǎn)變更影響進(jìn)行分析，并向利益相關(guān)者通知變更影響；依據(jù)評審結(jié)果實施變更，并更新數(shù)據(jù)資產(chǎn)目錄；對變更過程進(jìn)行記錄，并建立追溯機(jī)制。數(shù)據(jù)資產(chǎn)處置數(shù)據(jù)資產(chǎn)處置要求如下：建立數(shù)據(jù)資產(chǎn)處置機(jī)制，并有效管控處置過程及風(fēng)險；依據(jù)處置需求編制處置方案；對處置方案進(jìn)行風(fēng)險評估和影響分析，并審核或評審；依據(jù)審核通過的處置方案，執(zhí)行處置并記錄，對需要銷毀的數(shù)據(jù)資產(chǎn)設(shè)定留存期。數(shù)據(jù)資產(chǎn)評估數(shù)據(jù)資產(chǎn)評估要求如下：評估；基于數(shù)據(jù)資產(chǎn)評估的目的和范圍等，明確數(shù)據(jù)資產(chǎn)的權(quán)屬、敏感信息和安全合規(guī)要求等；對數(shù)據(jù)資產(chǎn)的質(zhì)量進(jìn)行評估，評估內(nèi)容主要包括準(zhǔn)確性、完整性、一致性、真實性和及時性等；GB/T40685-2021；將評估結(jié)果及時更新至數(shù)據(jù)資產(chǎn)目錄，并確保評估過程被記錄、可追溯。數(shù)據(jù)資產(chǎn)審計數(shù)據(jù)資產(chǎn)審計要求如下：建立覆蓋數(shù)據(jù)資產(chǎn)管理全過程的審計機(jī)制，根據(jù)需求制定審計計劃；審計對象包括數(shù)據(jù)資產(chǎn)管理的制度、流程和相應(yīng)的過程記錄；審計內(nèi)容包括與法律法規(guī)、標(biāo)準(zhǔn)和規(guī)章制度等的符合性，權(quán)屬的可證性以及過程的合規(guī)性；審計結(jié)果包括審計范圍、審計問題、審計評價及建議等，宜以審計報告形式提供。數(shù)據(jù)資產(chǎn)安全管理數(shù)據(jù)資產(chǎn)安全管理要求如下：GB/T37973-2019、GB/T38667-2020類分級；建立安全管理團(tuán)隊，建立安全管理機(jī)制，開展監(jiān)督檢查，并確保職責(zé)分離；GB/T37988-2019采取數(shù)據(jù)脫敏等方式對敏感數(shù)據(jù)進(jìn)行保護(hù)，使用密碼對重要數(shù)據(jù)和核心數(shù)據(jù)進(jìn)行保護(hù)，涉及GB/T35273-2020通過技術(shù)手段對數(shù)據(jù)資產(chǎn)進(jìn)行標(biāo)記與溯源，實現(xiàn)生存周期的風(fēng)險可控。數(shù)據(jù)資產(chǎn)管理保障組織保障數(shù)據(jù)資產(chǎn)管理的組織保障包括但不限于以下要求：組建數(shù)據(jù)資產(chǎn)管理團(tuán)隊，明確崗位責(zé)任，確定數(shù)據(jù)資產(chǎn)責(zé)任人；定期對數(shù)據(jù)資產(chǎn)的利益相關(guān)者開展培訓(xùn)，包括法律法規(guī)、管理制度和崗位技能等。制度保障數(shù)據(jù)資產(chǎn)管理的制度保障包括但不限于以下要求：制定必要的資產(chǎn)管理制度文件，并持續(xù)更新優(yōu)化；建立工作考核機(jī)制；明確數(shù)據(jù)資產(chǎn)交付物的范圍、內(nèi)容和形式。技術(shù)保障數(shù)據(jù)資產(chǎn)管理應(yīng)采取適當(dāng)?shù)募夹g(shù)保障，技術(shù)功能包括但不限于以下要求：支持?jǐn)?shù)據(jù)資產(chǎn)目錄管理，實現(xiàn)數(shù)據(jù)資產(chǎn)的可查詢、可追溯；支持?jǐn)?shù)據(jù)資產(chǎn)敏感度分析和敏感信息處理；支持?jǐn)?shù)據(jù)資產(chǎn)價值評估和質(zhì)量評估；支持?jǐn)?shù)據(jù)資產(chǎn)管理過程中交付物的管理。參 考 文 獻(xiàn)[1]GB/T21063.1-2007政務(wù)信息資源目錄體系第1部分：總體框架[2]GB/T21063.3-2007政務(wù)信息資源目錄體系第3部分：核心數(shù)據(jù)[3]GB/T34960.5-2018信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范[4]GB/T39449-2020公共信用信