GB/T 40685-2021 信息技术服务 数据资产 管理要求

　　ICS 35 . 080 CCS L 77

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 40685—2021

　　信息技术服务 数据资产 管理要求

　　Informationtechnologyservice—Dataasset—Managementrequirements

　　2021-10-1 1 发布 2022-05-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 40685—202 1

　　GB/T 40685—202 1

　　前 言

　　本文件按照 GB/T 1 . 1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规定起草。

　　请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别专利的责任。

　　本文件由全国信息技术标准化技术委员会(SAC/TC 28)提出并归口 。

　　本文件起草单位：上海计算机软件技术开发中心、国信优易数据股份有限公司、中国电子技术标准化研究院、上海新炬网络技术有限公司、星环信息科技(上海)股份有限公司、上海最会保网络科技有限公司、北京三维天地科技股份有限公司、北京市计算中心、上海软中信息技术有限公司、陕西省信息化工程研究院、拉卡拉支付股份有限公司、广州赛宝认证中心服务有限公司、四川久远银海软件股份有限公司、中兴通讯股份有限公司、上海市大数据中心、银联智惠信息服务(上海)有限公司、成都市大数据中心、高新兴科技集团股份有限公司、深圳市标准技术研究院、上海数据资产运营管理有限公司、上海市国有资产信息中心、上海市教育委员会信息中心、上海市农业农村委员会信息中心、贵阳市大数据产业集团有限公司、万达信息股份有限公司、中汇信息技术(上海)有限公司、上海市大数据股份有限公司、广州穗能通能源科技有限责任公司、世纪龙信息网络有限责任公司、四川互链科技有限公司、电子科技大学、上海理想信息产业(集团)有限公司、上海谷航信息科技发展有限公司、昆仑数智科技有限责任公司、江西省工业和信息化厅、国信科(河北雄安)科技有限责任公司。

　　本文件主要起草人：张绍华、王春涛、崔静、戴炳荣、夏虎、梁铭图、杨洪山、徐利红、纪婷婷、闭珊珊、李鸣、贾璐、张敏狮、曹朝辉、宋俊典、刘小茵、张璨、潘勇、张勇、乔登俭、王益群、舒世忠、但强、梅永坚、姚松超、袁野、高瑞鑫、刘迎风、杨琳、段立新、丁炯、李彩虹、潘震西、高洪美、陈文志、宋伟强、储昭武、钟颖、孙佩、曾少旭、霍晋阳、王宇颖、王明政、张向飞、陆健东、马强、裴莹蕾、肖筱华、包晓晶、茅廷、单曙兵、程栋、黄佳涛、夏琦、林伟、程永新、李栗、金震、丁富强、葛新蕾、陈晓、朱志祥、詹航龙、王铮、李学彦、赵子颖、高建彬、陈国润、俞文平、高琨、韩佳赞、杨胜、孙慧源、王家东。

　　信息技术服务 数据资产 管理要求

　　1 范围

　　本文件规定了数据资产的管理总则、管理对象、管理过程和管理保障要求。

　　本文件适用于组织的数据资产的应用和管理，使用者包括需要开展数据资产管理工作和提供数据资产管理服务的组织等。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注 日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 25000 . 12—2017 系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第 12 部分：

　　数据质量模型

　　GB/T 25000 . 24—2017 系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第 24 部分：

　　数据质量测量

　　GB/T 33770 . 2—2019 信息技术服务 外包 第 2 部分：数据保护要求

　　GB/T 35273—2020 信息安全技术 个人信息安全规范

　　GB/T 37973—2019 信息安全技术 大数据安全管理指南

　　3 术语和定义

　　下列术语和定义适用于本文件。

　　3.1

　　数据资产 dataasset

　　合法拥有或者控制的，能进行计量的，为组织带来经济和社会价值的数据资源。

　　[来源：GB/T 34960 . 5—2018,3 . 3,有修改]

　　3.2

　　管理目标 managementobjective

　　根据组织战略提出的，在一定时期内为数据资产管理活动所设定的目标。

　　3.3

　　管理域 managementdomain

　　数据资产管理过程中管理对象、管理过程及管理保障的集合。

　　注：域内行为服从于一个系统管理的政策。

　　3.4

　　数据资产目录 dataassetcatalog

　　采用分类、分级和编码等方式描述数据资产特征的一组信息。

　　GB/T 40685—202 1

　　3.5

　　数据资产识别 dataassetidentification

　　依据管理目标，从现有数据资源中，辨识并登记数据资产的活动。

　　3.6

　　数据资产确权 dataassetregistration

　　通过技术手段对组织机构内数据资产的权属进行登记确认，使其具备时间、身份和内容等属性的活动。

　　3.7

　　数据资产应用 dataassetapplication

　　满足业务场景和组织发展需求，通过共享、流通、使用等方式，促进数据资产增值的活动。

　　3.8

　　数据资产变更 dataassetchange

　　通过变更控制流程确保数据资产与目录信息保持一致的活动。

　　3.9

　　数据资产评估 dataassetassessment

　　对组织内数据资产现状以及质量、价值等进行定量和定性评价的活动。

　　3 . 10

　　数据资产审计 dataassetaudit

　　对组织内数据资产的真实性、一致性、正确性、合法性、效益性以及其使用情况等进行审查和监督的活动。

　　4 管理总则

　　4 . 1 管理原则

　　数据资产管理满足价值导向、权责明确、治理先行、成本效益、安全合规等原则，具体包括：

　　a) 价值导向原则，组织开展数据资产管理是以数据资产保值增值、价值实现为目的;

　　b) 权责明确原则，组织明确数据权属和权限，做到职责划分清晰、行为可追溯，有利于数据资产保护;

　　c) a)治理先行原则，数据治理是确保数据资产的规范性、有效性、完整性和一致性等的必要前提，具体可参照 GB/T 34960 . 5—2018 的规定执行;

　　d) 成本效益原则，组织关注业务运作的效率和效果，平衡数据资产管理相关活动的投入和产出，确保与组织战略的一致性和匹配性;

　　e) 安全合规原则，组织依据相关法律法规和行业监管要求，对数据资产进行分级、分类管理，采取有效措施保护数据资产的安全性，防范来自组织内外部的威胁。

　　4 . 2 管理框架

　　数据资产管理框架主要包括组织战略、目标制定、管理域和价值实现，见图 1 。

　　图 1 数据资产管理框架

　　数据资产管理参照组织战略，综合考虑组织内外部环境、业务、技术和数据等方面要素，以业务为主线，价值为导向，制定覆盖组织各个职能和层级的管理目标，通过管理域各项管理活动，推动实现数据资产保值增值，从而挖掘并发挥其经济和社会价值。

　　管理域明确了数据资产管理对象，并在组织、制度和技术等方面的管理措施保障下，通过一系列管理过程活动达成制定的管理目标，实现数据资产保值增值。 管理域主要包括管理对象、管理过程和管理保障，具体见第 5 章、第 6 章、第 7 章的要求。

　　5 管理对象

　　5 . 1 概述

　　数据资产管理的对象是数据资产本身，管理过程中依据数据资产特征进行识别，通过数据资产的信息要素进行描述及管理。

　　5 . 2 数据资产特征

　　数据资产的特征如下：

　　a) 可增值，数据资产的价值易发生变化，可随着应用场景、用户数量和使用频率的增加，其经济价值和社会价值也会持续增长;

　　b) 可共享，在权限可控的前提下，数据资产可复制，能被组织内外部多个主体共享和应用;

　　c) 可控制，为满足风险可控、运营合规的要求，数据资产需具备权限可控制、行为可追溯等;

　　d) 可量化，数据资产的质量、成本和价值等可计量、可评估。

　　5 . 3 数据资产信息要素

　　数据资产信息要素主要应包括：

　　a) 基本属性，包括数据的来源、类型、结构、规模、更新周期、标准和质量等;

　　b) 业务要素，包括业务描述、业务指标、业务规则和关联关系等;

　　c) 管理要素，包括数据权属、分类分级、安全信息、数据溯源、职责权限和应用情况等;

　　d) 价值要素，包括市场信息、领域信息、地域信息、应用价值和金融属性等。

　　6 管理过程

　　6 . 1 概述

　　管理过程规定了组织实施数据资产管理的一系列活动。 数据资产目录用来记录和管理数据资产的信息要素。 数据资产的识别、确权、应用、盘点、变更和处置是核心管理活动，实现对数据资产的生存周期管理，以及保值、增值。 数据资产的评估、审计和安全管理为数据资产的价值发现、运营合规和风险控制提供支撑。

　　6 . 2 数据资产目录管理

　　6 . 2 . 1 目的

　　通过数据资产目录记录组织内所有被识别的数据资产信息，支撑数据资产识别、应用、变更、盘点和处置等的全过程管理。

　　6 . 2 . 2 要求

　　数据资产目录管理应满足的具体要求如下：

　　a) 建立数据资产目录，记录数据资产信息要素;

　　b) 建立数据资产目录管理的权限、版本和发布等控制机制;

　　c) 对数据资产进行分类，维度包括但不限于主体、主题和业务;

　　d) 结合数据资产其他管理过程的实施，保障数据资产目录信息及时有效。

　　6 . 3 数据资产识别

　　6 . 3 . 1 目的

　　组织应依据管理目标，梳理现有数据资源，基于业务应用和市场需求，识别数据资产及其信息要素，并登记数据资产信息，确保其准确、有效。

　　6 . 3 . 2 要求

　　数据资产识别应满足的具体要求如下：

　　a) 基于业务应用和市场需求，梳理现有数据资源，识别数据资产及其信息要素，包括基本信息、业务信息、管理信息和价值信息等;

　　b) 在数据资产识别完成后，按照分类、分级，登记到数据资产目录中，支撑数据资产应用、评估和审计等过程的实施;

　　c) 对数据资产的变化进行识别，并执行数据资产变更过程。

　　6 . 4 数据资产确权

　　6 . 4 . 1 目的

　　通过技术手段进行数据资产权属的标识，以便于应用过程中的规范使用、维权追溯。

　　6 . 4 . 2 要求

　　数据资产确权的具体要求如下：

　　a) 应基于电子认证、区块链等技术手段，在单一或多方机构共同鉴证下，确认数据资产权属，应符合 GB/T 33770 . 2—2019 的规定;

　　b) 在数据资产的使用和提供过程中，宜通过数字签名、分布式账本等方式记录数据资产的身份属性与时间属性。

　　6 . 5 数据资产应用

　　6 . 5 . 1 目的

　　围绕业务场景，在确保安全、合规的前提下，识别数据应用的途径和渠道，建立服务和权责等机制，对数据资产应用过程进行管理，促进其经济价值和社会价值的实现。

　　6 . 5 . 2 要求

　　数据资产应用应满足的具体要求如下：

　　a) 识别数据资产应用的途径和渠道，依据业务需求、管理模式、管理策略和数据敏感度等进行应用等级划分，并给予相应的保障措施;

　　b) 建立数据资产服务保障、效益评估、效果评价等机制;

　　c) 确保数据资产应用过程安全可控、合法合规;

　　d) 对数据资产应用的行为进行完整记录，确保可追溯、可审计。

　　6 . 6 数据资产盘点

　　6 . 6 . 1 目的

　　通过数据资产盘点活动，检查数据资产状态，发现数据资产目录与数据资产不一致问题，更新数据资产目录信息，确保数据资产信息一致性、完整性。

　　6 . 6 . 2 要求

　　数据资产盘点应满足的具体要求如下：

　　a) 编制数据资产盘点计划，明确盘点范围、要求、程序和时间等;

　　b) 安排专人负责数据资产盘点，对盘点人员进行权责界定;

　　c) 盘点人员依据数据资产盘点计划，对数据资产目录与数据资产的一致性、准确性进行核查，并记录盘点结果;

　　d) 及时对盘点发现的问题进行分析和处理。

　　6 . 7 数据资产变更

　　6 . 7 . 1 目的

　　当数据资产管理活动或业务需求触发数据资产变化时，应通过变更管理流程确保变更活动有序实施，并及时更新数据资产目录，确保数据资产目录信息与实际情况保持一致。

　　6 . 7 . 2 要求

　　数据资产变更应满足的具体要求如下：

　　a) 建立数据资产变更机制，明确数据资产变更触发条件，并有效管控变更过程;

　　b) 对提交的数据资产变更进行评审，包括信息的完整性、业务的必要性、需求的符合度、影响范围和权属关系等;

　　c) 对数据资产变更影响进行分析，并发布变更影响通知;

　　d) 依据数据资产变更评审结果实施变更，并更新数据资产目录;

　　e) 对变更过程进行记录，并建立数据资产变更的持续跟踪、回顾和改进机制。

　　6 . 8 数据资产处置

　　6 . 8 . 1 目的

　　在符合相关法律法规和标准规范的前提下，通过数据资产的销毁、转移等，优化数据资产配置，降低运营管理成本，挖掘剩余的利用价值。

　　6 . 8 . 2 要求

　　数据资产处置应满足的具体要求如下：

　　a) 建立数据资产处置机制，并有效管控处置过程及风险;

　　b) 依据处置需求制定处置计划，编制处置方案;

　　c) 对处置方案开展风险评估和影响分析，并进行评审;

　　d) 依据审核通过的处置方案，执行处置并记录，对需要销毁的数据资产设定留存期。

　　6 . 9 数据资产评估

　　6 . 9 . 1 目的

　　通过开展数据资产评估活动，梳理数据资产现状，评价数据资产的质量和价值，促进数据资产的质量提升和价值实现。

　　6 . 9 . 2 要求

　　数据资产评估应满足的具体要求如下：

　　a) 建立数据资产评估机制，明确评估目的、范围、策略和周期等，可采用内部或外部评估;

　　b) 基于数据资产评估的目的和范围等，明确数据资产的权属、敏感信息和安全合规要求等;

　　c) 对数据资产的质量进行评估，评估内容主要包括准确性、完备性、一致性、确实性和现时性等，评估内容的模型和测量方法应符合 GB/T 25000 . 12—2017 及 GB/T 25000 . 24—2017 的规定;

　　d) 对数据资产的经济和社会价值进行评估，评估方法见附录 A ;

　　e) 将评估结果及时更新至数据资产目录，并确保评估过程被记录、可追溯。

　　6 . 10 数据资产审计

　　6 . 10 . 1 目的

　　监督组织数据资产管理过程的执行，评价数据资产管理的风险，保障数据资产管理和应用的合规。

　　6 . 10 . 2 要求

　　数据资产审计应满足的具体要求如下：

　　a) 建立覆盖数据资产管理全过程的审计机制，根据需求制定审计计划;

　　b) 审计对象包括数据资产管理的制度、流程和相应的过程记录;

　　c) 审计内容包括与法律法规、标准和规章制度等的符合性，权属的可证性以及过程的合规性;

　　d) 审计结果包括审计范围、审计问题、审计评价及建议等，宜以审计报告形式提供。

　　6 . 1 1 数据资产安全管理

　　6 . 1 1 . 1 目的

　　建立管理手段与技术手段相结合、面向数据生存周期的数据资产安全管理机制，制定数据资产安全管理流程，明确组织人员的管理要求，确保数据资产安全可控。

　　6 . 1 1 . 2 要求

　　数据资产安全管理的具体要求如下：

　　a) 应按照数据资产的敏感度和重要程度等进行分类分级，应符合 GB/T 37973—2019 的规定;

　　b) 应建立安全管理团队，建立安全管理机制，开展监督检查，并确保职责分离;

　　c) 应建立采集、传输、存储、处理、交换、销毁以及备份恢复等机制，见 GB/T 37988—2019 ;

　　d) 应采取数据脱敏等方式对敏感数据进行保护，涉及个人信息安全应符合 GB/T 35273—2020的规定;

　　e) 宜通过技术手段对数据资产进行标记与溯源，实现生存周期的风险可控。

　　7 管理保障

　　7 . 1 概述

　　管理保障规定了数据资产管理活动的资源条件保障，包括组织、制度和技术等方面。

　　7 . 2 组织保障

　　组织保障具体要求如下：

　　a) 应成立数据资产管理领导小组，指定高层管理者担任组长;

　　b) 应建立数据资产管理监督小组，定期开展检查和考核;

　　c) 应组建数据资产管理团队，明确岗位责任，确定数据资产管理责任人;

　　d) 宜选择有资质的第三方机构开展数据资产评估及审计;

　　e) 宜定期对数据资产管理的干系人开展培训，培训内容包括法律法规、管理制度和岗位技能等。

　　7 . 3 制度保障

　　制度保障应满足的具体要求如下：

　　a) 制定数据资产的管理制度，并持续改进;

　　b) 明确各过程的管理要求、标准流程和操作规范;

　　c) 建立工作考核机制，并纳入相关部门的绩效考核;

　　d) 明确交付物的范围、内容、形式和管理规程;

　　e) 建立经费保障机制，经费预算纳入组织的整体预算计划。

　　7 . 4 技术保障

　　技术保障具体要求如下：

　　a) 应支持数据资产目录管理，实现数据资产的可查询、可追溯;

　　b) 应支持数据资产敏感度分析和敏感信息处理;

　　c) 宜支持数据资产价值评估和质量评估;

　　d) 宜支持数据资产管理过程中交付物的管理。

　　附 录 A

　　(资料性)

　　数据资产价值评估的参考方法

　　A.1 市场法

　　市场法是把相对成熟的市场近期成交的类似参照系价格作为参考，并对有差异的因素加以修正，得出待估数据资产评估值。

　　市场法一般包括筛选和调整两步。 筛选是在市场上寻找与待估数据资产相同或相似的参照数据;调整是通过比较待估数据资产和参照数据资产来确定调整系数，得到待估数据资产的价值，可考虑数据资产的质量、地域、使用时间、市场潜力、经济形势和财务准则等因素。 见公式(A. 1) :

　　P …………………………( A.1 )

　　式中：

　　P — 待评估数据资产的价值，单位为元;

　　—参照数据的市场平均价格，单位为元;

　　ai —第 i个价值指标变量的权重(%) ;

　　xi —第 i个价值指标变量(%) ;

　　n —价值指标的个数(个)。

　　A.2 收益法

　　A.2 . 1 概述

　　收益法又称收益现值法，是待评估数据资产的经济价值和社会价值之和。 其中，经济价值(社会价值)，是把待评估数据资产剩余寿命期内的预期未来经济收益(社会收益)，按照一定的折现率折成现期经济价值(社会价值)，从而确定其价值。 收益法是基于数据未来的获利能力，能够体现数据的内在价值，契合数据资产价值评估的 目的。 见公式(A. 2) :

　　P= α1 × P1 + α2 × P2 …………………………( A.2 )

　　式中：

　　P — 待评估数据资产的价值，单位为元;

　　α1 —数据经济价值在数据资产价值中的权重(%) ;

　　P1 — 基于收益法计算的数据资产的经济价值，单位为元;

　　α2 —数据社会价值在数据资产价值中的权重(%) ;

　　P2 — 基于收益法计算的数据资产的社会价值，单位为元。

　　A.2 . 2 数据资产的经济价值

　　数据资产经济价值见公式(A. 3) :

　　P …………………………( A.3 )

　　式中：

　　P1 — 基于收益法计算的数据资产的经济价值，单位为元;

　　R1t—待评估数据资产第 t年的预期经济收益，单位为元;

　　n1 —剩余经济价值寿命，是指待评估数据资产还能产生经济价值的剩余时间，单位为年;

　　r1 —经济折现率，将预计未来收益折算成现值的比率，体现数据资产的财务成本(%)。

　　A.2 . 3 数据资产的社会价值

　　数据资产社会价值见公式(A. 4) :

　　P …………………………( A.4 )

　　式中：

　　P2 — 基于收益法计算的数据资产的社会价值，单位为元;

　　R2t—待评估数据资产第 t年的预期社会效益，单位为元。 可由数据共享价值、政府治理价值、数据产业价值和数据环境价值等加权得到。 数据共享价值例如数据访问、浏览、下载等价值;政府治理价值例如政府治理效率、透明度等价值;数据产业价值例如产业的就业、税收、升级等价值;数据环境价值例如数据的生态、营商、健康环境等价值;

　　n2 —剩余社会价值寿命，是指待评估数据资产还能产生社会价值的剩余时间，单位为年;

　　r2 —社会折现率，将预计未来社会收益折算成现值的比率(%)。

　　A.3 成本法

　　成本法是以数据资产形成过程中发生的一系列劳动消耗为基础，以成本费用来反映数据资产的价值大小。

　　数据资产价值在重置成本的基础上，结合数据资产的市场价值因素，进行数据资产价值评估。 见公式(A. 5) :

　　n

　　P ci …………………………( A.5 )

　　式中：

　　P — 待评估数据资产的价值，单位为元;

　　ci— 每个数据集重置成本，根据数据采集、储存、处理等过程的费用和运维费用估算，单位为元; n —数据集的个数(个);

　　Qi—数据资产价值影响度(%) ;

　　b —数据资产价值影响度系数(%)。

　　A.4 综合评估法

　　综合评估法的计算方法见公式(A. 6) :

　　P= α1 × P1 + α2 × P2 + α3 × P3 …………………………( A.6 )

　　式中：

　　P — 待评估数据资产的价值;

　　α1 —成本法计量数据资产价值的权重系数(%) ;

　　P1 — 用成本法计量的数据资产价值，单位为元;

　　α2 —市场法计量数据资产价值的权重系数(%) ;

　　P2 — 用市场法计量的数据资产价值，单位为元;

　　α3 — 收益法计量数据资产价值的权重系数(%) ;

　　P3 — 用收益法计量的数据资产价值，单位为元。

　　参 考 文 献

　　[1] GB/T 34960 . 5—2018 信息技术服务 治理 第 5 部分：数据治理规范

　　[2] GB/T 37988—2019 信息安全技术 数据安全能力成熟度模型

　　[3] ISO 55000 : 2014 Asset management—Overview, principles and terminology

　　[4] ISO 55001 : 2014 Asset management—Management systems—Requirements

　　[5] ISO 55002 : 2018 Asset management—Management systems—Guidelines for the application of ISO 55001

　　[6] DAMA International’s Guide to the Data Management Body of Knowledge.DAMA, 2008

　　[7] Data management maturity model v1.0.CMMI institute, 2014

　　[8] Data Asset Framework Implementation Guide.University of Glasgow, 2009

　　[9] Data Value Assessment: Recognizing data as an enterprise asset.MIT CISR, 2015