内容简介
ICS 35.240.01 2201 CCS L 70
长
春 市 地 方 标 准
DB2201/T 72—2024
公共数据授权运营评估规范
Evaluation specification of public data authorization and operation
2024 - 12- 30 发布
2025 - 02 - 07 实施
长春市市场监督管理局 发 布
DB2201/T 72—2024
前
言
本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分:标准化文件的结构和起草规则》的规
定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由长春市政务服务和数字化建设管理局提出。
本文件起草单位:长春市数据创新应用研究院、吉林大学、长春吉大正元信息技术股份有限公司、
吉林钧诺律师事务所、吉林中泽鑫资产评估有限公司、华懋普惠(长春)数据服务有限公司、长春市政
务服务和数字化建设管理局、长春市信息中心、长春市公安局大数据办、长春市标准研究院(长春市
WTO/TBT咨询中心)、长春市政府委派财务总监中心、长春理工大学、吉林省卡思特科技有限公司。
本文件主要起草人:宋小龙、苏婉、于森、刘欣航、张全伟、李建文、孙忠禄、王艳、汪泽志、王
月、张亮、柳羽辉、李亚平、张虎、邓贺、刘晖、于光、刘晓英、孟红月、郭淑娟、杨薪平、颜廷麟、
洪昭月、李聪、王学军、李凌岳、冷皓、秦颖、陈纯毅、张昕、王鹏、李华、从立钢、陈毅、朱洪宇。
I
DB2201/T 72—2024
公共数据授权运营评估规范
1
范围
本文件规定了公共数据授权运营评估的总体原则、评估目的、评估对象、评估内容、评估报告等,
其中评估内容包括安全风险评估、质量评估、合规评估和价值评估等。
本文件适用于指导公共数据授权运营的评估工作。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
3 GB/T 36344 信息技术 数据质量评价指标
GB/T 37988 信息安全技术 数据安全能力成熟度模型
DB2201/T 17 政务数据安全分类分级指南
术语和定义
下列术语和定义适用于本文件。
公共数据 public data
各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据。
公共数据授权运营 public data authorization and operation
县级以上人民政府、国家行业主管部门持有的公共数据资源,按照法律法规和相关要求,授权符合
条件的运营机构进行治理、开发,并面向市场公平提供数据产品和技术服务的活动。
4
总体原则
安全性
在保障国家秘密、商业秘密和个人隐私的前提下开展公共数据授权运营评估工作。
规范性
应由专业人员依照规范的操作流程进行评估,对评估过程和结果应有记录,提供完整的评估报告。
科学性
1
DB2201/T 72—2024
应根据评估对象、评估目的、公共数据安全、公共数据价值或质量主要影响因素等,合理选择评估
指标。
可度量性
公共数据授权运营评估流程所涉及的评估指标应具有证明依据,并可量化。
持续性
根据实际工作,不断优化工作流程,确保公共数据授权运营评估工作的持续性。
5
评估目的和对象
评估目的
公共数据授权运营评估目的主要包括:
a)
确定公共数据授权运营的合规性和质量,以确保公共数据的有效管理和合理使用;
b)
确保授权运营机构或组织在数据授权过程中遵守相关规定和标准,保障数据的安全和可用性。
评估对象
公共数据授权运营评估对象应包括但不限于:
a)
获得公共数据授权的法人或者非法人组织;
b)
进行授权运营评估的各行业或领域的公共数据资源。
6
评估流程
评估阶段
公共数据授权运营评估应划分为安全风险评估、质量评估、合规评估、价值评估等 4 个阶段,见
图 1 。
安全风险评估
质量评估 合规评估 价值评估
图 1
公共数据授权运营评估阶段图
工作开展
评估工作应分为评估前准备阶段、识别阶段、分析阶段、验收阶段等。
a)
准备阶段:开展项目组织、项目实施方案确定、项目启动等准备工作。
b)
识别阶段:主要完成现场各类材料的识别工作。
c)
分析阶段:对已识别的内容进行整理并分析,得出评估各要素的实际状况。
d)
验收阶段:对综合材料进行梳理分析,完成项目评估报告,提交受托方讨论汇报,取得受托
方对项目认可,完成项目验收。
7
评估内容
安全风险评估
2
DB2201/T 72—2024
按表 1 进行安全风险评估,评估过程应符合 GB/T 37988 和 DB2201/T 17
的规定。
表 1
安全风险评估内容
序号 安全风险评估项 评估内容
1 数据全生命周期安全风险评估 对数据采集、数据存储、数据传输、数据共享交换、数据分析处理、 数据备份及恢复、数据销毁的处理活动进行安全风险评估。
2 数据安全管理风险评估 对数据安全制度体系、安全组织机构、分类分级管理、人员安全管 理、合作外包管理、安全威胁和应急管理、开发运维管理进行安全管理 风险评估。
3 个人数据保护风险评估 对数据主体权利、数据技术安全、数据脱敏脱密流程等进行个人数 据保护风险评估。
质量评估
公共数据质量评估按照 GB/T 36344 和表 2 执行。
表 2
公共数据质量评估要求
序号 评估项 评估要求
1 表非空校验 如果表没有记录,则发送告警
2 表环比校验 如果环比值超出预设规则上下限值,则发送告警
3 表原表对比 如果环比值超出预设规则上下限值,则发送告警
4 表主键唯一 如果表根据主键值去重计数不等于表记录数,则发送告警
5 字段码值校验 如果字段码值出现非标准格式,则发送告警
6 字段字符非空校验 如果字段出现空值,则发送告警
7 字段字符长度校验 如果字段数值长度超过预定义上下限范围,则发送告警
8 字段字符只允许数字校验 如果出现非数字的字符或符号,则发送告警
9 字段字符非法校验 如果出现预定义禁止值,则发送告警
10 字段字符空值增长率 如果空值增长率超出预定义上下值,则发送告警
11 字段字符格式校验 如果字段值的格式非指定格式,则发送告警
12 字段枚举允许值校验 如果字段值出现非预定义允许值,则发送告警
13 字段枚举空值增长率 如果空值增长率超出预定义上下值,则发送告警
14 字段枚举非空校验 如果字段出现空值,则发送告警
15 字段数字非空校验 如果字段出现空值,则发送告警
16 字段数字空值增长率 如果空值增长率超出预定义上下值,则发送警告
合规评估
7.3.1
受托方主体
受托方主体合规性评估包括但不限于:
a)
主体合法存续经营;
3
DB2201/T 72—2024
b)
股权不涉及外资;
c)
法定代表人、董事及监事均不存在重大数据类违法违规行为,也不存在被列为失信被执行人
以及其他可能对数据交易活动构成实质性重大不利影响的情形;
d)
具有数据安全组织架构、数据安全管理制度;
e)
具有应急处理机制;
f)
具有数据安全技术能力。
7.3.2
公共数据
公共数据合规性评估应包括但不限于:
a)
公共数据来源合法合规;
b)
数据安全与隐私保护。
价值评估
7.4.1
评估假设
公共数据评估假设应包括但不限于:
a)
交易假设,是假定所有待评估资产已经处在交易过程中,评估专业人员根据待估值资产的交
易条件等模拟市场进行估价;
b)
公开市场假设,是指资产可以在充分竞争的市场上自由买卖,其价格高低取决于一定市场的
供给状况下独立的买卖双方对资产的价值判断。公开市场是指一个有众多买者和卖者的充分
竞争的市场。在这个市场上,买者和卖者的地位是平等的,彼此都有获得足够市场信息的机
会和时间,买卖双方的交易行为都是在自愿的、理智的,而非强制或不受限制的条件下进行
的;
c)
假设国家现行的有关法律法规及政策、国家宏观经济形势无重大变化,本次交易各方所处地
区的政治、经济和社会环境无重大变化;
d)
假设被评估单位完全遵守所有相关的法律法规;
e)
假设估值基准日后无不可抗力及不可预见因素对被评估单位造成重大不利影响;
f)
假设委托人提供的与本次评估相关全部资料真实、完整、合法、有效;
g)
假设产权持有人拟授权的数据资产可以满足公共数据产品应用。
7.4.2
评估方法
数据资产价值的评估方法应包括成本法、收益法和市场法。
a)
成本法:从产生数据资产所需花费的成本进行评价,在此基础上扣除各种贬值因素,并考虑
数据资产的预期使用溢价,加入数据质量、数据基数、数据流通以及数据价值实现风险等数
据资产价值影响因素进行修正,从而估算出标的数据资产的价值。
b)
收益法:对数据资产投入使用后的预期收益能力进行评价,考虑资金的时间价值,将未来各
期收益进行加总,从而估算出标的数据资产的价值。
c)
市场法:基于相同或相似数据资产的可比市场交易案例进行评价,对数据资产的价值密度、
交易期日、容量等数据资产的性质等相关因素进行修正,从而估算出标的数据资产的价值。
7.4.3
评估报告
出具《公共数据评估报告》,报告内容包括但不限于:评估目的、评估对象和范围、评估基准日、
评估依据、评估方法、评估假设、评估结论等。
4
DB2201/T 72—2024
8
评估报告
根据上述内容分析结果,由相应评估人员撰写、提交评估报告,确认评估结果。
5