搜索结果: GB/T 40685-2021, GB/T40685-2021, GBT 40685-2021, GBT40685-2021
| 标准编号 | GB/T 40685-2021 (GB/T40685-2021) | | 中文名称 | | | 英文名称 | Information technology service - Data asset - Management requirements | | 行业 | 国家标准 (推荐) | | 中标分类 | L77 | | 字数估计 | 14,119 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 40685-2021
信息技术服务 数据资产 管理要求
Information technology service -- Data asset -- Management requirements
1 范围
本文件规定了数据资产的管理总则、管理对象、管理过程和管理保障要求。
本文件适用于组织的数据资产的应用和管理,使用者包括需要开展数据资产管理工作和提供数据
资产管理服务的组织等。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 25000.12-2017 系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第12部分:
数据质量模型
GB/T 25000.24-2017 系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第24部分:
数据质量测量
GB/T 33770.2-2019 信息技术服务 外包 第2部分:数据保护要求
GB/T 35273-2020 信息安全技术 个人信息安全规范
GB/T 37973-2019 信息安全技术 大数据安全管理指南
3 术语和定义
下列术语和定义适用于本文件。
3.1
数据资产
合法拥有或者控制的,能进行计量的,为组织带来经济和社会价值的数据资源。
3.2
管理目标
根据组织战略提出的,在一定时期内为数据资产管理活动所设定的目标。
3.3
管理域
数据资产管理过程中管理对象、管理过程及管理保障的集合。
注:域内行为服从于一个系统管理的政策。
3.4
数据资产目录
采用分类、分级和编码等方式描述数据资产特征的一组信息。
4 管理总则
4.1 管理原则
数据资产管理满足价值导向、权责明确、治理先行、成本效益、安全合规等原则,具体包括:
a) 价值导向原则,组织开展数据资产管理是以数据资产保值增值、价值实现为目的;
b) 权责明确原则,组织明确数据权属和权限,做到职责划分清晰、行为可追溯,有利于数据资产
保护;
c) a)治理先行原则,数据治理是确保数据资产的规范性、有效性、完整性和一致性等的必要前提,
具体可参照GB/T 34960.5-2018的规定执行;
d) 成本效益原则,组织关注业务运作的效率和效果,平衡数据资产管理相关活动的投入和产出,
确保与组织战略的一致性和匹配性;
e) 安全合规原则,组织依据相关法律法规和行业监管要求,对数据资产进行分级、分类管理,采取
有效措施保护数据资产的安全性,防范来自组织内外部的威胁。
4.2 管理框架
数据资产管理框架主要包括组织战略、目标制定、管理域和价值实现,见图1。
5 管理对象
5.1 概述
数据资产管理的对象是数据资产本身,管理过程中依据数据资产特征进行识别,通过数据资产的信
息要素进行描述及管理。
5.2 数据资产特征
数据资产的特征如下:
a) 可增值,数据资产的价值易发生变化,可随着应用场景、用户数量和使用频率的增加,其经济价
值和社会价值也会持续增长;
b) 可共享,在权限可控的前提下,数据资产可复制,能被组织内外部多个主体共享和应用;
c) 可控制,为满足风险可控、运营合规的要求,数据资产需具备权限可控制、行为可追溯等;
d) 可量化,数据资产的质量、成本和价值等可计量、可评估。
5.3 数据资产信息要素
数据资产信息要素主要应包括:
a) 基本属性,包括数据的来源、类型、结构、规模、更新周期、标准和质量等;
b) 业务要素,包括业务描述、业务指标、业务规则和关联关系等;
c) 管理要素,包括数据权属、分类分级、安全信息、数据溯源、职责权限和应用情况等;
d) 价值要素,包括市场信息、领域信息、地域信息、应用价值和金融属性等。
6 管理过程
6.1 概述
管理过程规定了组织实施数据资产管理的一系列活动。数据资产目录用来记录和管理数据资产的
信息要素。数据资产的识别、确权、应用、盘点、变更和处置是核心管理活动,实现对数据资产的生存周期管理,以及保值、增值。数据资产的评估、审计和安全管理为数据资产的价值发现、运营合规和风险控制提供支撑。
6.2 数据资产目录管理
6.2.1 目的
通过数据资产目录记录组织内所有被识别的数据资产信息,支撑数据资产识别、应用、变更、盘点和
处置等的全过程管理。
6.2.2 要求
数据资产目录管理应满足的具体要求如下:
a) 建立数据资产目录,记录数据资产信息要素;
b) 建立数据资产目录管理的权限、版本和发布等控制机制;
c) 对数据资产进行分类,维度包括但不限于主体、主题和业务;
d) 结合数据资产其他管理过程的实施,保障数据资产目录信息及时有效。
6.3 数据资产识别
6.3.1 目的
组织应依据管理目标,梳理现有数据资源,基于业务应用和市场需求,识别数据资产及其信息要素,
并登记数据资产信息,确保其准确、有效。
6.3.2 要求
数据资产识别应满足的具体要求如下:
a) 基于业务应用和市场需求,梳理现有数据资源,识别数据资产及其信息要素,包括基本信息、业
务信息、管理信息和价值信息等;
b) 在数据资产识别完成后,按照分类、分级,登记到数据资产目录中,支撑数据资产应用、评估和
审计等过程的实施;
c) 对数据资产的变化进行识别,并执行数据资产变更过程。
7 管理保障
7.1 概述
管理保障规定了数据资产管理活动的资源条件保障,包括组织、制度和技术等方面。
7.2 组织保障
组织保障具体要求如下:
a) 应成立数据资产管理领导小组,指定高层管理者担任组长;
b) 应建立数据资产管理监督小组,定期开展检查和考核;
c) 应组建数据资产管理团队,明确岗位责任,确定数据资产管理责任人;
d) 宜选择有资质的第三方机构开展数据资产评估及审计;
e) 宜定期对数据资产管理的干系人开展培训,培训内容包括法律法规、管理制度和岗位技能等。
7.3 制度保障
制度保障应满足的具体要求如下:
a) 制定数据资产的管理制度,并持续改进;
b) 明确各过程的管理要求、标准流程和操作规范;
c) 建立工作考核机制,并纳入相关部门......
|