内容简介
ICS 35.240 54 CCS L 78
西
藏 自 治 区 地 方 标 准
DB54/T 0427—2024
公共数据 数据资产管理指南
2024-11-18 发布
2024-12-18 实施
西藏自治区市场监督管理局 发 布
DB54/T 0427—2024
目 次
前言...................................................................................II
1 范围.................................................................................1
2 规范性引用文件.......................................................................1
3 术语和定义...........................................................................1
4 数据资产管理原则.....................................................................2
5 数据资产管理框架.....................................................................2
6 数据资产管理对象.....................................................................3
7 数据资产管理过程.....................................................................3
7.1 数据资产目录管理................................................................3
7.2 数据资产识别....................................................................3
7.3 数据资产确权....................................................................3
7.4 数据资产应用....................................................................4
7.5 数据资产盘点....................................................................4
7.6 数据资产变更....................................................................4
7.7 数据资产处置....................................................................4
7.8 数据资产评估....................................................................4
7.9 数据资产审计....................................................................5
7.10 数据资产安全管理...............................................................5
8 数据资产管理保障.....................................................................5
参考文献................................................................................6
I
DB54/T 0427—2024
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起
草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由西藏自治区经济和信息化厅(自治区数据管理局)提出并归口。
本文件起草单位:西藏自治区经济和信息化厅(自治区数据管理局)、西藏高驰信息技术服务有限
责任公司、国家工业信息安全发展研究中心。
本文件主要起草人:郭翔、旺堆、扎西尼玛、刘勇、宋雪述、兰劭晖、罗宇舟、周文华、曹亮、赵
青、贺赟、杜洪涛、李云志、栾燕、陶炜、蔡长亮。
II
DB54/T 0427—2024
公共数据 数据资产管理指南
1 范围
本文件规定了西藏自治区公共数据资产管理的原则、框架、管理对象、过程控制要求,以及数据资
产的管理保障要求。
本文件适用于规范指导西藏自治区公共数据的数据资产管理。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T 35273 信息安全技术 个人信息安全规范
GB/T 36073 数据管理能力成熟度评估模型
GB/T 37973 信息安全技术 大数据 安全管理指南
GB/T 37988 信息安全技术 数据安全能力成熟度模型
GB/T 38667 信息技术 大数据 数据分类指南
GB/T 40685 数据资产管理要求
3 术语和定义
GB/T 36073 和 GB/T 40685界定的以及下列术语和定义适用于本文件。
3.1
数据资产 data asset
合法拥有或者控制的,能进行计量的,为组织带来经济和社会价值的数据资源。
[来源:GB/T 40685-2021,3.1]
3.2
元数据 meta data
描述数据资源特征的数据。
[来源:GB/T 36073-2018,3.8]
3.3
主数据 master data
3
DB54/T 0427—2024
组织中需要跨系统、跨部门进行共享的核心业务实体数据。
[来源:GB/T 36073-2018,3.12]
3.4
数据资产目录 data catalog
采用分类、分级和编码等方式描述数据资产特征的一组信息。
[来源:GB/T 40685-2021,3.4]
4 数据资产管理原则
在公共数据平台上驻存的数据资产,其管理应满足价值导向、权责明确、治理先行、安全合规等原
则,具体要求如下:
a)价值导向原则
数据资产管理是以数据资产保值增值、价值实现为目的。
b)权责明确原则
明确数据权属和权限,做到职责划分清晰、行为可追溯、有利于数据资产保护。
c)治理先行原则
通过开展数据分类盘点、制定数据管理规范等工作,确保数据资产的规范性、有效性、完整性和一
致性等。
d)安全合规原则
依据相关法律法规和行业监管要求,对数据资产进行分级、分类管理,采取有效措施保护数据资产
的安全性。
5 数据资产管理框架
依据资产管理战略需求、目标、管理实施和价值实现的基本流程,西藏自治区公共数据资产管理框
架主要包括政策规划、目标制定、资产管理和共享服务,见图1。
4
DB54/T 0427—2024
图1 公共数据资产管理框架
数据资产管理依据国家和西藏自治区公共数据相关政策,以提供数据开放共享和数据服务为价值导
向,制定覆盖自治区公共数据治理各个职能和层级的管理目标,通过数据资产管理各项活动,从而提升
大数据流通共享和政府公共服务能力。
数据资产管理域包括管理对象、管理过程和管理保障,明确了数据资产管理对象,并在组织、制度
和技术等方面的管理措施保障下,通过一系列管理过程活动达成制定的管理目标,实现数据资产共享应
用和数据服务价值。
6 数据资产管理对象
公共数据资产管理的数据对象,其涉及的信息属性包含但不限于:
a)
数据基本属性,包括数据的来源、类型、结构、规模、更新周期、标准和质量等;
b)
数据业务属性,包括业务描述、业务指标、业务规则和关联关系等;
c)
数据管理属性,包括数据权属、分类分级、安全信息、数据溯源、职责权限和应用情况等;
d)
数据价值属性,包括行业领域信息、地域信息、应用价值和金融属性等。
7 数据资产管理过程
实施公共数据资产管理的过程活动包括但不限于:
a)
数据资产目录管理,用来记录和管理数据资产的信息属性;
b)
数据资产的识别、确权、应用、盘点、变更和处置是核心管理活动,实现对数据资产的生存周
期管理,以及应用价值;
c)
数据资产的评估、审计和安全管理为数据资产的价值发现、运营合规和风险控制提供支撑。
7.1
数据资产目录管理
数据资产目录管理要求如下:
a)
建立分类规则,从业务、数据格式等维度,建立数据资产的分类规则;
b)
建立资产目录,在分类规则基础上,建立数据资产目录,记录数据资产的信息属性;
c)
建立管控机制,建立数据资产目录管理的权限、版本和发布等控制机制;
d)
实施资产分类,对数据资产进行分类,维度包括但不限于主体、主题和业务;
e)
更新资产目录,结合数据资产其他管理过程的实施,保障数据资产目录信息及时有效。
7.2
数据资产识别
数据资产识别要求如下:
a)
基于业务应用、服务和监管需求,梳理现有数据资源,识别数据资产及其信息属性,包括基本
信息、业务信息、管理信息和价值信息等,建立数据资产元数据库;
5
DB54/T 0427—2024
b)
在数据资产识别完成后,按照分类、分级,登记到数据资产目录中,支撑数据资产应用、评估
和审计等过程的实施;
c)
对数据资产的变化进行识别,并执行数据资产变更过程。
7.3
数据资产确权
数据资产确权要求如下:
a)
基于数据标识、区块链等技术手段,在单一或多方机构共同鉴证下,确认数据资产权属;
b)
在数据资产的使用和提供过程中,宜通过数字签名、分布式账本等方式,记录数据资产的身
份属性与时间属性。
7.4
数据资产应用
数据资产应用要求如下:
a)
识别数据资产应用的途径,依据业务需求、管理模式、管理策略和数据敏感度等,划分应用
等级;
b)
建立数据资产服务保障、效益评估、效果评价等机制;
c)
确保数据资产应用过程安全可控、合法合规;
d)
对数据资产应用的行为进行完整记录,确保可追溯、可审计。
7.5
数据资产盘点
数据资产盘点要求如下:
a)
编制数据资产盘点计划,明确盘点范围、要求、程序和时间等,盘点内容可包括数据的各类信
息属性,盘点对象可优先围绕关键业务、急需的主数据、参考数据,以及重要价值的业务流水数据、
指标数据进行盘点;
b)
安排专人负责数据资产盘点,并明确盘点人员的权责;
c)
盘点人员依据数据资产盘点计划,对数据资产目录与数据资产的一致性、准确性进行核查,并
记录盘点结果;
d)
及时对盘点发现的问题进行分析和处理。
7.6
数据资产变更
数据资产变更要求如下:
a)
建立数据资产变更机制,明确数据资产变更触发条件,并有效管控变更过程;
b)
对数据资产变更申请进行评审,评审内容包括信息的完整性、业务的必要性、需求的符合度、
影响范围和权属关系等;
c)
对数据资产变更影响进行分析,并向利益相关者通知变更影响;
d)
依据评审结果实施变更,并更新数据资产目录;
e)
对变更过程进行记录,并建立追溯机制。
7.7
数据资产处置
数据资产处置要求如下:
6
DB54/T 0427—2024
a)
建立数据资产处置机制,并有效管控处置过程及风险;
b)
依据处置需求编制处置方案;
c)
对处置方案进行风险评估和影响分析,并审核或评审;
d)
依据审核通过的处置方案,执行处置并记录,对需要销毁的数据资产设定留存期。
7.8
数据资产评估
数据资产评估要求如下:
a)
建立数据资产评估机制,明确评估目的、范围、策略和周期等,可采用内部自评估或委托外部
评估;
b)
基于数据资产评估的目的和范围等,明确数据资产的权属、敏感信息和安全合规要求等;
c)
对数据资产的质量进行评估,评估内容主要包括准确性、完整性、一致性、真实性和及时性
等;
d)
对数据资产的经济和社会价值进行评估,评估方法参考 GB/T 40685-2021;
e)
将评估结果及时更新至数据资产目录,并确保评估过程被记录、可追溯。
7.9
数据资产审计
数据资产审计要求如下:
a)
建立覆盖数据资产管理全过程的审计机制,根据需求制定审计计划;
b)
审计对象包括数据资产管理的制度、流程和相应的过程记录;
c)
审计内容包括与法律法规、标准和规章制度等的符合性,权属的可证性以及过程的合规性;
d)
审计结果包括审计范围、审计问题、审计评价及建议等,宜以审计报告形式提供。
7.10 数据资产安全管理
数据资产安全管理要求如下:
a)
按照 GB/T 37973-2019、GB/T 38667-2020 要求,依据数据资产的敏感度和重要程度等进行分
类分级;
b)
建立安全管理团队,建立安全管理机制,开展监督检查,并确保职责分离;
c)
参照 GB/T 37988-2019 要求,建立采集、传输、存储、处理、交换、销毁以及备份恢复等机制;
d)
采取数据脱敏等方式对敏感数据进行保护,使用密码对重要数据和核心数据进行保护,涉及
个人信息安全应符合 GB/T 35273-2020 相关要求;
e)
通过技术手段对数据资产进行标记与溯源,实现生存周期的风险可控。
8 数据资产管理保障
8.1 组织保障
数据资产管理的组织保障包括但不限于以下要求:
a)
组建数据资产管理团队,明确岗位责任,确定数据资产责任人;
b)
定期对数据资产的利益相关者开展培训,包括法律法规、管理制度和岗位技能等。
7
DB54/T 0427—2024
8.2 制度保障
数据资产管理的制度保障包括但不限于以下要求:
a)
制定必要的资产管理制度文件,并持续更新优化;
b)
建立工作考核机制;
c)
明确数据资产交付物的范围、内容和形式。
8.3 技术保障
数据资产管理应采取适当的技术保障,技术功能包括但不限于以下要求:
a)
支持数据资产目录管理,实现数据资产的可查询、可追溯;
b)
支持数据资产敏感度分析和敏感信息处理;
c)
支持数据资产价值评估和质量评估;
d)
支持数据资产管理过程中交付物的管理。
8
DB54/T 0427—2024
参 考 文 献
[1] GB/T 21063.1-2007 政务信息资源目录体系 第1部分:总体框架
[2] GB/T 21063.3-2007 政务信息资源目录体系 第3部分:核心数据
[3] GB/T 34960.5-2018 信息技术 服务治理 第5部分:数据治理规范
[4] GB/T 39449-2020 公共信用信息数据字典维护与管理
[5] MH/T 5055-2021 智慧民航数据治理规范 数据架构
[6] DB11/T 337-2021 政务数据资源目录体系规范
[7] DB52/T 1540.2-2021 政务数据 第2部分:元数据管理规范
[8] DB54/T 0263-2022 政务信息资源目录编制指南
[9] TCAPC 007-2022 医药流通领域机构主数据管理要求
9