DB54T 0427-2024 公共数据 数据资产管理指南

ICS35.24054CCSL7854西 藏 自 治 区 地 方 标 准DB54/T0427—2024公共数据 数据资产管理指南2024-11-18发布 2024-12-18实施西藏自治区市场监督管理局  发布DB54/T0427—2024DB54/T0427—2024PAGE\*ROMANPAGE\*ROMANII目 次前言 II范围 1规范性引用文件 1术语和定义 1数据资产管理原则 2数据资产管理框架 2数据资产管理对象 3数据资产管理过程 3数据资产目录管理 3数据资产识别 3数据资产确权 3数据资产应用 4数据资产盘点 4数据资产变更 4数据资产处置 4数据资产评估 4数据资产审计 5数据资产安全管理 5数据资产管理保障 5参考文献 6前 言本文件按照GB/T1.1—2020《标准化工作导则第1草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由西藏自治区经济和信息化厅（自治区数据管理局）提出并归口。（自治区数据管理局责任公司、国家工业信息安全发展研究中心。青、贺赟、杜洪涛、李云志、栾燕、陶炜、蔡长亮。DB54/T0427DB54/T0427—2024PAGEPAGE3公共数据数据资产管理指南范围产的管理保障要求。本文件适用于规范指导西藏自治区公共数据的数据资产管理。规范性引用文件（包括所有的修改单）适用于本文件。GB/T35273信息安全技术个人信息安全规范GB/T36073数据管理能力成熟度评估模型GB/T37973信息安全技术大数据安全管理指南GB/T37988信息安全技术数据安全能力成熟度模型GB/T38667信息技术大数据数据分类指南GB/T40685数据资产管理要求术语和定义GB/T36073和GB/T40685界定的以及下列术语和定义适用于本文件。3.1数据资产dataasset合法拥有或者控制的，能进行计量的，为组织带来经济和社会价值的数据资源。[来源：GB/T40685-2021，3.1]3.2元数据metadata描述数据资源特征的数据。[来源：GB/T36073-2018，3.8]3.3主数据masterdata组织中需要跨系统、跨部门进行共享的核心业务实体数据。[来源：GB/T36073-2018，3.12]3.4数据资产目录datacatalog采用分类、分级和编码等方式描述数据资产特征的一组信息。[来源：GB/T40685-2021，3.4]数据资产管理原则则，具体要求如下：价值导向原则数据资产管理是以数据资产保值增值、价值实现为目的。权责明确原则明确数据权属和权限，做到职责划分清晰、行为可追溯、有利于数据资产保护。治理先行原则致性等。安全合规原则的安全性。数据资产管理框架架主要包括政策规划、目标制定、资产管理和共享服务，见图1。图1 公共数据资产管理框架大数据流通共享和政府公共服务能力。用和数据服务价值。数据资产管理对象公共数据资产管理的数据对象，其涉及的信息属性包含但不限于：数据基本属性，包括数据的来源、类型、结构、规模、更新周期、标准和质量等；数据业务属性，包括业务描述、业务指标、业务规则和关联关系等；数据管理属性，包括数据权属、分类分级、安全信息、数据溯源、职责权限和应用情况等；数据价值属性，包括行业领域信息、地域信息、应用价值和金融属性等。数据资产管理过程实施公共数据资产管理的过程活动包括但不限于：数据资产目录管理，用来记录和管理数据资产的信息属性；期管理，以及应用价值；数据资产的评估、审计和安全管理为数据资产的价值发现、运营合规和风险控制提供支撑。数据资产目录管理数据资产目录管理要求如下：建立分类规则，从业务、数据格式等维度，建立数据资产的分类规则；建立资产目录，在分类规则基础上，建立数据资产目录，记录数据资产的信息属性；建立管控机制，建立数据资产目录管理的权限、版本和发布等控制机制；实施资产分类，对数据资产进行分类，维度包括但不限于主体、主题和业务；更新资产目录，结合数据资产其他管理过程的实施，保障数据资产目录信息及时有效。数据资产识别数据资产识别要求如下：信息、业务信息、管理信息和价值信息等，建立数据资产元数据库；和审计等过程的实施；对数据资产的变化进行识别，并执行数据资产变更过程。数据资产确权数据资产确权要求如下：基于数据标识、区块链等技术手段，在单一或多方机构共同鉴证下，确认数据资产权属；在数据资产的使用和提供过程中，宜通过数字签名、分布式账本等方式，记录数据资产的身份属性与时间属性。数据资产应用数据资产应用要求如下：识别数据资产应用的途径，依据业务需求、管理模式、管理策略和数据敏感度等，划分应用等级；建立数据资产服务保障、效益评估、效果评价等机制；确保数据资产应用过程安全可控、合法合规；对数据资产应用的行为进行完整记录，确保可追溯、可审计。数据资产盘点数据资产盘点要求如下：息属性，盘点对象可优先围绕关键业务、急需的主数据、参考数据，以及重要价值的业务流水数据、指标数据进行盘点；安排专人负责数据资产盘点，并明确盘点人员的权责；记录盘点结果；及时对盘点发现的问题进行分析和处理。数据资产变更数据资产变更要求如下：建立数据资产变更机制，明确数据资产变更触发条件，并有效管控变更过程；对数据资产变更申请进行评审，评审内容包括信息的完整性、业务的必要性、需求的符合度、影响范围和权属关系等；对数据资产变更影响进行分析，并向利益相关者通知变更影响；依据评审结果实施变更，并更新数据资产目录；对变更过程进行记录，并建立追溯机制。数据资产处置数据资产处置要求如下：建立数据资产处置机制，并有效管控处置过程及风险；依据处置需求编制处置方案；对处置方案进行风险评估和影响分析，并审核或评审；依据审核通过的处置方案，执行处置并记录，对需要销毁的数据资产设定留存期。数据资产评估数据资产评估要求如下：评估；基于数据资产评估的目的和范围等，明确数据资产的权属、敏感信息和安全合规要求等；对数据资产的质量进行评估，评估内容主要包括准确性、完整性、一致性、真实性和及时性等；GB/T40685-2021；将评估结果及时更新至数据资产目录，并确保评估过程被记录、可追溯。数据资产审计数据资产审计要求如下：建立覆盖数据资产管理全过程的审计机制，根据需求制定审计计划；审计对象包括数据资产管理的制度、流程和相应的过程记录；审计内容包括与法律法规、标准和规章制度等的符合性，权属的可证性以及过程的合规性；审计结果包括审计范围、审计问题、审计评价及建议等，宜以审计报告形式提供。数据资产安全管理数据资产安全管理要求如下：GB/T37973-2019、GB/T38667-2020类分级；建立安全管理团队，建立安全管理机制，开展监督检查，并确保职责分离；GB/T37988-2019采取数据脱敏等方式对敏感数据进行保护，使用密码对重要数据和核心数据进行保护，涉及GB/T35273-2020通过技术手段对数据资产进行标记与溯源，实现生存周期的风险可控。数据资产管理保障组织保障数据资产管理的组织保障包括但不限于以下要求：组建数据资产管理团队，明确岗位责任，确定数据资产责任人；定期对数据资产的利益相关者开展培训，包括法律法规、管理制度和岗位技能等。制度保障数据资产管理的制度保障包括但不限于以下要求：制定必要的资产管理制度文件，并持续更新优化；建立工作考核机制；明确数据资产交付物的范围、内容和形式。技术保障数据资产管理应采取适当的技术保障，技术功能包括但不限于以下要求：支持数据资产目录管理，实现数据资产的可查询、可追溯；支持数据资产敏感度分析和敏感信息处理；支持数据资产价值评估和质量评估；支持数据资产管理过程中交付物的管理。参 考 文 献[1]GB/T21063.1-2007政务信息资源目录体系第1部分：总体框架[2]GB/T21063.3-2007政务信息资源目录体系第3部分：核心数据[3]GB/T34960.5-2018信息技术服务治理第5部分：数据治理规范[4]GB/T39449-2020公共信用信