标准规范下载简介
GB/T 40685-2021 信息技术服务 数据资产 管理要求.pdf简介:
GB/T 40685-2021《信息技术服务 数据资产管理要求》是中国国家标准,由国家市场监督管理总局、国家标准化管理委员会发布。该标准主要规定了信息技术服务中数据资产管理的要求和指南,目的是为了帮助企业、组织和个人更好地管理和保护数据资产,以实现数据的价值,提升组织的运营效率和决策能力。
标准内容涵盖了数据资产管理的多个方面,包括数据资产的识别、分类、价值评估、保护、使用、共享、废弃和审计等。它强调了数据资产的全生命周期管理,要求组织建立一套完整的数据资产管理体系,包括数据策略、数据治理、数据安全、数据质量和数据合规性等方面的规定。
通过遵循这个标准,企业能够提升数据管理的标准化和规范化,降低数据风险,保护隐私,同时也能更好地满足法律法规的要求,提升企业的整体竞争力。
GB/T 40685-2021 信息技术服务 数据资产 管理要求.pdf部分内容预览:
下列术语和定义适用于本文件。 3.1 数据资产dataasset 合法拥有或者控制的,能进行计量的,为组织带来经济和社会价值的数据资源。 [来源:GB/T34960.5—2018,3.3,有修改 3.2 管理目标 managementobjective 根据组织战略提出的,在一定时期内为数据资产管理活动所设定的目标。 3.3 管理域managementdomain 数据资产管理过程中管理对象、管理过程及管理保障的集合。 注:域内行为服从于一个系统管理的政策 3.4 数据资产目录 dataassetcatalog 采用分类、分级和编码等方式描述数据资产特征的一组信息
3.5 数据资产识别dataassetidentification 依据管理目标,从现有数据资源中,辨识并登记数据资产的活动。 3.6 数据资产确权dataassetregistration 通过技术手段对组织机构内数据资产的权属进行登记确认,使其具备时间、身份和内容等属性的 活动。 3.7 数据资产应用dataassetapplication 满足业务场景和组织发展需求,通过共享、流通、使用等方式,促进数据资产增值的活动。 3.8 数据资产变更dataassetchange 通过变更控制流程确保数据资产与目录信息保持一致的活动。 3.9 数据资产评估dataassetassessment 对组织内数据资产现状以及质量、价值等进行定量和定性评价的活动。 3.10 数据资产审计dataassetaudit 对组织内数据资产的真实性、一致性、正确性、合法性、效益性以及其使用情况等进行审查和监督的 活动。
数据资产管理框架主要包括组织战略、目标制定、管理域和价值实现,见图1
GB∕T 11977-2008 住宅卫生间功能及尺寸系列图1数据资产管理框架
数据资产管理参照组织战略,综合考虑组织内外部环境、业务、技术和数据等方面要素,以业务为主 线,价值为导向,制定覆盖组织各个职能和层级的管理目标,通过管理域各项管理活动,推动实现数据资 产保值增值,从而挖掘并发挥其经济和社会价值。 管理域明确了数据资产管理对象,并在组织、制度和技术等方面的管理措施保障下,通过一系列管 理过程活动达成制定的管理目标,实现数据资产保值增值。管理域主要包括管理对象、管理过程和管理 保障.具体见第5章、第6章、第7章的要求
数据资产管理的对象是数据资产本身,管理过程中依据数据资产特征进行识别,通过数据资产 要素进行描述及管理。
数据资产的特征如下: a 可增值,数据资产的价值易发生变化,可随着应用场景、用户数量和使用频率的增加,其经济价 值和社会价值也会持续增长; b 可共享,在权限可控的前提下,数据资产可复制,能被组织内外部多个主体共享和应用; c)可控制,为满足风险可控、运营合规的要求,数据资产需具备权限可控制、行为可追溯等; d)可量化,数据资产的质量、成本和价值等可计量、可评估。
5.3数据资产信息要素
数据资产信息要素主要应包括: a)基本属性,包括数据的来源、类型、结构、规模、更新周期、标准和质量等
D)业务要系,包括业 则和天联天系等 c)管理要素,包括数据权属、分类分级、安全信息、数据溯源、职责权限和应用情况等; d)价值要素,包括市场信息、领域信息、地域信息、应用价值和金融属性等
管理过程规定了组织实施数据资产管理的一系列活动。数据资产目录用来记录和管理数据资产的 信息要素。数据资产的识别、确权、应用、盘点、变更和处置是核心管理活动,实现对数据资产的生存周 期管理,以及保值、增值。数据资产的评估、审计和安全管理为数据资产的价值发现、运营合规和风险控 制提供支撑
6.2数据资产目录管理
通过数据资产目录记录组织内所有被识别的数据资产信息,支撑数据资产识别、应用、变更、盘点 等的全过程管理
数据资产目录管理应满足的具体要求如下: a 建立数据资产目录,记录数据资产信息要素; b) 建立数据资产目录管理的权限、版本和发布等控制机制: 对数据资产进行分类,维度包括但不限于主体、主题和业务: d)结合数据资产其他管理过程的实施,保障数据资产目录信息及时有效
数据资产目录管理应满足的具体要求如下: a)建立数据资产目录,记录数据资产信息要素; b) 建立数据资产目录管理的权限、版本和发布等控制机制; c)对数据资产进行分类,维度包括但不限于主体、主题和业务; d)结合数据资产其他管理过程的实施保障数据资产目录信息及时有效
数据资产识别应满足的具体要求如下: 基于业务应用和市场需求,梳理现有数据资源,识别数据资产及其信息要素,包括基本信息、业 务信息、管理信息和价值信息等; b 在数据资产识别完成后,按照分类、分级,登记到数据资产目录中,支撑数据资产应用、评估和 审计等过程的实施; C 对数据资产的变化进行识别,并执行数据资产变更过程
进行数据资产权属的标识,以便于应用过程中的
数据资产确权的具体要求如下: 应基于电子认证、区块链等技术手段,在单一或多方机构共同鉴证下,确认数据资产权属,应符 合GB/T33770.2—2019的规定; D 在数据资产的使用和提供过程中,宜通过数字签名、分布式账本等方式记录数据资产的身份属 性与时间属性
围绕业务场景,在确保安全、合规的前 用的途径和渠道,律立服务和权质等权 数据资产应用过程进行 价值的实现
数据资产应用应满足的具体要求如下: a)识别数据资产应用的途径和渠道,依据业务需求、管理模式、管理策略和数据敏感度等进行应 用等级划分,并给予相应的保障措施; b 建立数据资产服务保障、效益评估、效果评价等机制; c)确保数据资产应用过程安全可控、合法合规; d)对数据资产应用的行为进行完整记录,确保可追溯、可审计
通过数据资产盘点活动,检查数据资产状态,发现数据资产目录与数据资产不一致问题,更新数据 资产目录信息,确保数据资产信息一致性、完整性
数据资产盘点应满足的具体要求如下: a)编制数据资产盘点计划,明确盘点范围、要求、程序和时间等; b)安排专人负责数据资产盘点,对盘点人员进行权责界定; 盘点人员依据数据资产盘点计划,对数据资产目录与数据资产的一致性、准确性进行核查,并 记录盘点结果; d)及时对盘点发现的问题进行分析和处理
当数据资产管理活动或业务需求触发数据资产变化时,应通过变更管理流程确保变更活动有序实 施,并及时更新数据资产目录,确保数据资产目录信息与实际情况保持一致,
数据资产变更应满足的具体要求如下
GB/T 406852021
a 建立数据资产变更机制,明确数据资产变更触发条件,并有效管控变更过程; b) 对提交的数据资产变更进行评审,包括信息的完整性、业务的必要性、需求的符合度、影响范围 和权属关系等; C 对数据资产变更影响进行分析,并发布变更影响通知; d)依据数据资产变更评审结果实施变更,并更新数据资产目录; e)对变更过程进行记录,并建立数据资产变更的持续跟踪、回顾和改进机制
数据资产处置应满足的具体要求如下: a)建立数据资产处置机制,并有效管控处置过程及风险; b)依据处置需求制定处置计划,编制处置方案; c)对处置方案开展风险评估和影响分析,并进行评审; d)依据审核通过的处置方案.执行处置并记录,对需要销毁的数据资产设定留存期
数据资产评估应满足的具体要求如下: 建立数据资产评估机制,明确评估目的、范围、策略和周期等,可采用内部或外部评估; D 基于数据资产评估的目的和范围等,明确数据资产的权属、敏感信息和安全合规要求等; C 对数据资产的质量进行评估,评估内容主要包括准确性、完备性、一致性、确实性和现时性等 评估内容的和测量方法应符合GB/T25000.12—2017及GB/T25000.24—2017的规定 d)对数据资产的经济和社会价值进行评估,评估方法见附录A;
数据资产评估应满足的具体要求如下: 建立数据资产评估机制,明确评估目的、范围、策略和周期等,可采用内部或外部评估; b)基于数据资产评估的目的和范围等,明确数据资产的权属、敏感信息和安全合规要求等; c)对数据资产的质量进行评估,评估内容主要包括准确性、完备性、一致性、确实性和现时性等 评估内容的和测量方法应符合GB/T25000.12—2017及GB/T25000.24—2017的规定; d)对数据资产的经济和社会价值进行评估,评估方法见附录A; e)将评估结果及时更新至数据资产目录,并确保评估过程被记录、可追溯
6. 10. 1 且的
数据资产审计应满足的具体要求如下: a)建立覆盖数据资产管理全过程的审计机制.根据需求制定审计计划:
GB/T 406852021
创过程记求: c)审计内容包括与法律法规、标准和规章制度等的符合性,权属的可证性以及过程的合规性 d)审计结果包括审计范围、审计问题、审计评价及建议等,宜以审计报告形式提供
6.11数据资产安全管理
[6. 11. 1且的
建立管理手段与技术手段相结合、面向数据生存周期的数据资产安全管理机制,制定数据资产 理流程皇明别墅设计图,明确组织人员的管理要求,确保数据资产安全可控
数据资产安全管理的具体要求如下: a)应按照数据资产的敏感度和重要程度等进行分类分级,应符合GB/T37973一2019的规定; b)应建立安全管理团队,建立安全管理机制,开展监督检查,并确保职责分离; c)应建立采集、传输、存储、处理、交换、销毁以及备份恢复等机制,见GB/T37988一2019 d)应采取数据脱敏等方式对敏感数据进行保护,涉及个人信息安全应符合GB/T35273一2020 的规定; e 宜通过技术手段对数据资产进行标记与溯源,实现生存周期的风险可控
管理保障规定了数据资产管理活动的 件保障,包括组织、制度和技术等方面
管理保障规定了数据资产管理活 包括组织、制度和技术等方面
制度保障应满足的具体要求如下: a)制定数据资产的管理制度,并持续改进; b)明确各过程的管理要求、标准流程和操作规范; c)建立工作考核机制GB 7000.212-2008 灯具 第2-12部分:特殊要求 电源插座安装的夜灯,并纳人相关部门的绩效考核; d)明确交付物的范围、内容、形式和管理规程; e)建立经费保障机制,经费预算纳入组织的整体预算计划。
技术保障具体要求如下: