DB54T 0427-2024 公共數(shù)據(jù) 數(shù)據(jù)資產管理指南

ICS35.24054CCSL7854西 藏 自 治 區(qū) 地 方 標 準DB54/T0427—2024公共數(shù)據(jù) 數(shù)據(jù)資產管理指南2024-11-18發(fā)布 2024-12-18實施西藏自治區(qū)市場監(jiān)督管理局??發(fā)布DB54/T0427—2024DB54/T0427—2024PAGE\*ROMANPAGE\*ROMANII目 次前言 II范圍 1規(guī)范性引用文件 1術語和定義 1數(shù)據(jù)資產管理原則 2數(shù)據(jù)資產管理框架 2數(shù)據(jù)資產管理對象 3數(shù)據(jù)資產管理過程 3數(shù)據(jù)資產目錄管理 3數(shù)據(jù)資產識別 3數(shù)據(jù)資產確權 3數(shù)據(jù)資產應用 4數(shù)據(jù)資產盤點 4數(shù)據(jù)資產變更 4數(shù)據(jù)資產處置 4數(shù)據(jù)資產評估 4數(shù)據(jù)資產審計 5數(shù)據(jù)資產安全管理 5數(shù)據(jù)資產管理保障 5參考文獻 6前 言本文件按照GB/T1.1—2020《標準化工作導則第1草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由西藏自治區(qū)經濟和信息化廳（自治區(qū)數(shù)據(jù)管理局）提出并歸口。（自治區(qū)數(shù)據(jù)管理局責任公司、國家工業(yè)信息安全發(fā)展研究中心。青、賀赟、杜洪濤、李云志、欒燕、陶煒、蔡長亮。DB54/T0427DB54/T0427—2024PAGEPAGE3公共數(shù)據(jù)數(shù)據(jù)資產管理指南范圍產的管理保障要求。本文件適用于規(guī)范指導西藏自治區(qū)公共數(shù)據(jù)的數(shù)據(jù)資產管理。規(guī)范性引用文件（包括所有的修改單）適用于本文件。GB/T35273信息安全技術個人信息安全規(guī)范GB/T36073數(shù)據(jù)管理能力成熟度評估模型GB/T37973信息安全技術大數(shù)據(jù)安全管理指南GB/T37988信息安全技術數(shù)據(jù)安全能力成熟度模型GB/T38667信息技術大數(shù)據(jù)數(shù)據(jù)分類指南GB/T40685數(shù)據(jù)資產管理要求術語和定義GB/T36073和GB/T40685界定的以及下列術語和定義適用于本文件。3.1數(shù)據(jù)資產dataasset合法擁有或者控制的，能進行計量的，為組織帶來經濟和社會價值的數(shù)據(jù)資源。[來源：GB/T40685-2021，3.1]3.2元數(shù)據(jù)metadata描述數(shù)據(jù)資源特征的數(shù)據(jù)。[來源：GB/T36073-2018，3.8]3.3主數(shù)據(jù)masterdata組織中需要跨系統(tǒng)、跨部門進行共享的核心業(yè)務實體數(shù)據(jù)。[來源：GB/T36073-2018，3.12]3.4數(shù)據(jù)資產目錄datacatalog采用分類、分級和編碼等方式描述數(shù)據(jù)資產特征的一組信息。[來源：GB/T40685-2021，3.4]數(shù)據(jù)資產管理原則則，具體要求如下：價值導向原則數(shù)據(jù)資產管理是以數(shù)據(jù)資產保值增值、價值實現(xiàn)為目的。權責明確原則明確數(shù)據(jù)權屬和權限，做到職責劃分清晰、行為可追溯、有利于數(shù)據(jù)資產保護。治理先行原則致性等。安全合規(guī)原則的安全性。數(shù)據(jù)資產管理框架架主要包括政策規(guī)劃、目標制定、資產管理和共享服務，見圖1。圖1 公共數(shù)據(jù)資產管理框架大數(shù)據(jù)流通共享和政府公共服務能力。用和數(shù)據(jù)服務價值。數(shù)據(jù)資產管理對象公共數(shù)據(jù)資產管理的數(shù)據(jù)對象，其涉及的信息屬性包含但不限于：數(shù)據(jù)基本屬性，包括數(shù)據(jù)的來源、類型、結構、規(guī)模、更新周期、標準和質量等；數(shù)據(jù)業(yè)務屬性，包括業(yè)務描述、業(yè)務指標、業(yè)務規(guī)則和關聯(lián)關系等；數(shù)據(jù)管理屬性，包括數(shù)據(jù)權屬、分類分級、安全信息、數(shù)據(jù)溯源、職責權限和應用情況等；數(shù)據(jù)價值屬性，包括行業(yè)領域信息、地域信息、應用價值和金融屬性等。數(shù)據(jù)資產管理過程實施公共數(shù)據(jù)資產管理的過程活動包括但不限于：數(shù)據(jù)資產目錄管理，用來記錄和管理數(shù)據(jù)資產的信息屬性；期管理，以及應用價值；數(shù)據(jù)資產的評估、審計和安全管理為數(shù)據(jù)資產的價值發(fā)現(xiàn)、運營合規(guī)和風險控制提供支撐。數(shù)據(jù)資產目錄管理數(shù)據(jù)資產目錄管理要求如下：建立分類規(guī)則，從業(yè)務、數(shù)據(jù)格式等維度，建立數(shù)據(jù)資產的分類規(guī)則；建立資產目錄，在分類規(guī)則基礎上，建立數(shù)據(jù)資產目錄，記錄數(shù)據(jù)資產的信息屬性；建立管控機制，建立數(shù)據(jù)資產目錄管理的權限、版本和發(fā)布等控制機制；實施資產分類，對數(shù)據(jù)資產進行分類，維度包括但不限于主體、主題和業(yè)務；更新資產目錄，結合數(shù)據(jù)資產其他管理過程的實施，保障數(shù)據(jù)資產目錄信息及時有效。數(shù)據(jù)資產識別數(shù)據(jù)資產識別要求如下：信息、業(yè)務信息、管理信息和價值信息等，建立數(shù)據(jù)資產元數(shù)據(jù)庫；和審計等過程的實施；對數(shù)據(jù)資產的變化進行識別，并執(zhí)行數(shù)據(jù)資產變更過程。數(shù)據(jù)資產確權數(shù)據(jù)資產確權要求如下：基于數(shù)據(jù)標識、區(qū)塊鏈等技術手段，在單一或多方機構共同鑒證下，確認數(shù)據(jù)資產權屬；在數(shù)據(jù)資產的使用和提供過程中，宜通過數(shù)字簽名、分布式賬本等方式，記錄數(shù)據(jù)資產的身份屬性與時間屬性。數(shù)據(jù)資產應用數(shù)據(jù)資產應用要求如下：識別數(shù)據(jù)資產應用的途徑，依據(jù)業(yè)務需求、管理模式、管理策略和數(shù)據(jù)敏感度等，劃分應用等級；建立數(shù)據(jù)資產服務保障、效益評估、效果評價等機制；確保數(shù)據(jù)資產應用過程安全可控、合法合規(guī)；對數(shù)據(jù)資產應用的行為進行完整記錄，確保可追溯、可審計。數(shù)據(jù)資產盤點數(shù)據(jù)資產盤點要求如下：息屬性，盤點對象可優(yōu)先圍繞關鍵業(yè)務、急需的主數(shù)據(jù)、參考數(shù)據(jù)，以及重要價值的業(yè)務流水數(shù)據(jù)、指標數(shù)據(jù)進行盤點；安排專人負責數(shù)據(jù)資產盤點，并明確盤點人員的權責；記錄盤點結果；及時對盤點發(fā)現(xiàn)的問題進行分析和處理。數(shù)據(jù)資產變更數(shù)據(jù)資產變更要求如下：建立數(shù)據(jù)資產變更機制，明確數(shù)據(jù)資產變更觸發(fā)條件，并有效管控變更過程；對數(shù)據(jù)資產變更申請進行評審，評審內容包括信息的完整性、業(yè)務的必要性、需求的符合度、影響范圍和權屬關系等；對數(shù)據(jù)資產變更影響進行分析，并向利益相關者通知變更影響；依據(jù)評審結果實施變更，并更新數(shù)據(jù)資產目錄；對變更過程進行記錄，并建立追溯機制。數(shù)據(jù)資產處置數(shù)據(jù)資產處置要求如下：建立數(shù)據(jù)資產處置機制，并有效管控處置過程及風險；依據(jù)處置需求編制處置方案；對處置方案進行風險評估和影響分析，并審核或評審；依據(jù)審核通過的處置方案，執(zhí)行處置并記錄，對需要銷毀的數(shù)據(jù)資產設定留存期。數(shù)據(jù)資產評估數(shù)據(jù)資產評估要求如下：評估；基于數(shù)據(jù)資產評估的目的和范圍等，明確數(shù)據(jù)資產的權屬、敏感信息和安全合規(guī)要求等；對數(shù)據(jù)資產的質量進行評估，評估內容主要包括準確性、完整性、一致性、真實性和及時性等；GB/T40685-2021；將評估結果及時更新至數(shù)據(jù)資產目錄，并確保評估過程被記錄、可追溯。數(shù)據(jù)資產審計數(shù)據(jù)資產審計要求如下：建立覆蓋數(shù)據(jù)資產管理全過程的審計機制，根據(jù)需求制定審計計劃；審計對象包括數(shù)據(jù)資產管理的制度、流程和相應的過程記錄；審計內容包括與法律法規(guī)、標準和規(guī)章制度等的符合性，權屬的可證性以及過程的合規(guī)性；審計結果包括審計范圍、審計問題、審計評價及建議等，宜以審計報告形式提供。數(shù)據(jù)資產安全管理數(shù)據(jù)資產安全管理要求如下：GB/T37973-2019、GB/T38667-2020類分級；建立安全管理團隊，建立安全管理機制，開展監(jiān)督檢查，并確保職責分離；GB/T37988-2019采取數(shù)據(jù)脫敏等方式對敏感數(shù)據(jù)進行保護，使用密碼對重要數(shù)據(jù)和核心數(shù)據(jù)進行保護，涉及GB/T35273-2020通過技術手段對數(shù)據(jù)資產進行標記與溯源，實現(xiàn)生存周期的風險可控。數(shù)據(jù)資產管理保障組織保障數(shù)據(jù)資產管理的組織保障包括但不限于以下要求：組建數(shù)據(jù)資產管理團隊，明確崗位責任，確定數(shù)據(jù)資產責任人；定期對數(shù)據(jù)資產的利益相關者開展培訓，包括法律法規(guī)、管理制度和崗位技能等。制度保障數(shù)據(jù)資產管理的制度保障包括但不限于以下要求：制定必要的資產管理制度文件，并持續(xù)更新優(yōu)化；建立工作考核機制；明確數(shù)據(jù)資產交付物的范圍、內容和形式。技術保障數(shù)據(jù)資產管理應采取適當?shù)募夹g保障，技術功能包括但不限于以下要求：支持數(shù)據(jù)資產目錄管理，實現(xiàn)數(shù)據(jù)資產的可查詢、可追溯；支持數(shù)據(jù)資產敏感度分析和敏感信息處理；支持數(shù)據(jù)資產價值評估和質量評估；支持數(shù)據(jù)資產管理過程中交付物的管理。參 考 文 獻[1]GB/T21063.1-2007政務信息資源目錄體系第1部分：總體框架[2]GB/T21063.3-2007政務信息資源目錄體系第3部分：核心數(shù)據(jù)[3]GB/T34960.5-2018信息技術服務治理第5部分：數(shù)據(jù)治理規(guī)范[4]GB/T39449-2020公共信用信