国家标准 GB/T40685一2021 信息技术服务数据资产管理要求 Informationtechnologyservice一Dataasset一Managementrequirements 2021-10-11发布 2022-05-01实施国家市场监督管理总局发布国家标涯花管理委员会国家标准
GB/T40685一2021 次目前言范围 2 规范性引用文件 3 术语和定义管理总则管理原则管理框架管理对象 5.l概述 5.2数据资产特征 5.3数据资产信息要素管理过程 6.1概述 .2数据资产目录管理 6.3数据资产识别数据资产确权 . 数据资产应用 6.5 6.6数据资产盘点 6," 数据资产变更 6.8数据资产处置 6.9数据资产评估 6.10数据资产审计 6.11数据资产安全管理管理保障 7.1概述 7.2组织保障 7.3制度保障 7.4技术保障附录A资料性数据资产价值评估的参考方法 A.1市场法 A.2收益法 A.3成本法 0 A.4综合评估法 0 参考文献
GB/T40685一2021 前言本文件按照GB/T1.1一2020<标准化工作导则第1部分;标准化文件的结构和起草规则》的规定起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由全国信息技术标准化技术委员会(SAC/TC28)提出并归口本文件起草单位:上海计算机软件技术开发中心、国信优易数据股份有限公司、电子技术标准化研究院、上海新炬网络技术有限公司、星环信息科技(上海)股份有限公司、上海最会保网络科技有限公司北京三维天地科技股份有限公司、北京市计算中心、上海软中信息技术有限公司、陕西省信息化工程研究院、拉卡拉支付股份有限公司、广州赛宝认证中心服务有限公司、四川久远银海软件股份有限公司、中兴通讯股份有限公司、上海市大数据中心,银联智惠信息服务(上海)有限公司、成都市大数据中心、高新兴科技集团股份有限公司深圳市标准技术研究院、上海数据资产运营管理有限公司、上海市国有资产信息中心、上海市教育委员会信息中心、上海市农业农村委员会信息中心,贵阳市大数据产业集团有限公司、万达信息股份有限公司、中汇信息技术(上海)有限公司、上海市大数据股份有限公司、广州 ,世纪龙信息网络有限责任公司、四川互链科技有限公司电子科技大学穗能通能源科技有限责任公司、上海理想信息产业(集团)有限公司、上海谷航信息科技发展有限公司、昆仑数智科技有限责任公司、江西省工业和信息化厅、国信科(河北雄安)科技有限责任公司本文件主要起草人;张绍华、王春涛、崔静、戴炳荣、夏虎、梁铭图、杨洪山、徐利红、纪婷婷、闭珊珊、李鸣、贾璐、张敏珈、曹朝辉,宋俊典、刘小茵、张璨、潘勇、张勇、乔登俭、王益群、舒世忠、但强、梅永坚姚松超、袁野、高瑞鑫、刘迎风、杨琳、段立新、丁炯,李彩虹、潘震西、高洪美、陈文志,宋伟强、储昭武钟颖孙佩、曾少旭、霍晋阳、王宇颖、王明政,张向飞、陆健东、马强、裴莹蕾、肖彼华、包晓晶、茅廷单曙兵、程栋、黄佳涛、夏琦、林伟、程永新、李栗、金震、丁富强、葛新蕾、陈晓、朱志祥、詹航龙、王锋李学彦,赵子颖、高建彬、陈国润俞文平、高堪、韩佳资、杨胜、孙慧源、王家东
GB/T40685一2021 信息技术服务数据资产管理要求范围本文件规定了数据资产的管理总则、管理对象、管理过程和管理保障要求本文件适用于组织的数据资产的应用和管理,使用者包括需要开展数据资产管理工作和提供数据资产管理服务的组织等规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T25000.12一2017系统与软件工程系统与软件质量要求和评价(SQuaRE)第12部分: 数据质量模型 GB/T25000.242017系统与软件工程系统与软件质量要求和评价(sQuaRE)第24部分数据质量测量 GB/T33770.2-2019信息技术服务外包第2部分.数据保护要求 GB/T352732020信息安全技术个人信息安全规范 GB/T37973一2019信息安全技术大数据安全管理指南术语和定义下列术语和定义适用于本文件 3.1 数据资产dataasset 合法拥有或者控制的,能进行计量的,为组织带来经济和社会价值的数据资源 [来源.GB/T34960.5一2018,3.3,有修改 3.2 管理目标managementobjeetive 根据组织战略提出的,在一定时期内为数据资产管理活动所设定的目标 3.3 管理域managementdomainm 数据资产管理过程中管理对象、管理过程及管理保障的集合注，域内行为服从于一个系统管理的政策 3.4 数据资产目录dataaseteatalog 采用分类,分级和编码等方式描述数据资产特征的一组信息
GB/T40685一2021 3.5 数据资产识别dataassetidentifieation 依据管理目标,从现有数据资源中,辨识并登记数据资产的活动 3.6 retstratiun 数据资产确权dataasset" 通过技术手段对组织机构内数据资产的权属进行登记确认,使其具备时间、身份和内容等属性的活动 3.7 数据资产应用dataaseappliteatwn 满足业务场景和组织发展需求,通过共享、流通、使用等方式,促进数据资产增值的活动 3.8 数据资产变更dataassetchange 通过变更控制流程确保数据资产与目录信息保持一致的活动 3.9 数据资产评估dataassetassessment 对组织内数据资产现状以及质量、价值等进行定量和定性评价的活动 3.10 数据资产审计dataasetadit 对组织内数据资产的真实性、一致性、正确性、合法性、效益性以及其使用情况等进行审查和监督的活动管理总则 4.1管理原则数据资产管理满足价值导向、权责明确、治理先行,成本效益、安全合规等原则,具体包括价值导向原则,组织开展数据资产管理是以数据资产保值增值、价值实现为目的， a b)权责明确原则,组织明确数据权属和权限,做到职责划分清晰、行为可追溯,有利于数据资产保护; D)治理先行原则,数据治理是确保数据资产的规范性、有效性、完整性和一致性等的必要前提具体可参照GB/T34960.5一2018的规定执行; 成本效益原则，组织关注业务运作的效率和效果,平衡数据资产管理相关活动的投人和产出确保与组织战略的一致性和匹配性; 安全合规原则,组织依据相关法律法规和行业监管要求,对数据资产进行分级,分类管理,采取有效措施保护数据资产的安全性,防范来自组织内外部的威胁 4.2管理框架数据资产管理框架主要包括组织战略、目标制定、管理域和价值实现,见图1
GB/T40685一2021 组织战略管理对象管理过程数据资产目录管理 " 数据资产评估数据资产审计数据资产安全管理管理保障图1 数据资产管理框架数据资产管理参照组织战略,综合考虑组织内外部环境、业务、技术和数据等方面要素,以业务为主线,价值为导向,制定覆盖组织各个职能和层级的管理目标,通过管理域各项管理活动,推动实现数据资产保值增值,从而挖掘并发挥其经济和社会价值管理域明确了数据资产管理对象,并在组织,制度和技术等方面的管理措施保障下,通过一系列管理过程活动达成制定的管理目标,实现数据资产保值增值管理域主要包括管理对象、管理过程和管理保障,具体见第5章、第6章、第7章的要求管理对象 5.1概述数据资产管理的对象是数据资产本身,管理过程中依据数据资产特征进行识别,通过数据资产的信息要素进行描述及管理 5.2数据资产特征数据资产的特征如下可增值,数据资产的价值易发生变化,可随着应用场景、用户数量和使用频率的增加,其经济价 a 值和社会价值也会持续增长 b)可共享,在权限可控的前提下,数据资产可复制,能被组织内外部多个主体共享和应用可控制,为满足风险可控、,运营合规的要求,数据资产需具备权限可控制、行为可追溯等， c 可量化,数据资产的质量、成本和价值等可计量、可评估 d 5.3数据资产信息要素数据资产信息要素主要应包括基本属性,包括数据的来源、类型、结构、规模、更新周期、标准和质量等 a
GB/T40685一202 D)业务要素,包括业务描述、业务指标,业务规则和关联关系等; e 管理要素,包括数据权属,分类分级、安全信息、数据溯源,职责权限和应用情况等; d)价值要素,包括市场信息、领域信息,地域信息、应用价值和金融属性等 6 管理过程 6.1概述管理过程规定了组织实施数据资产管理的一系列活动数据资产目录用来记录和管理数据资产的信息要素数据资产的识别、确权、应用、盘点、变更和处置是核心管理活动,实现对数据资产的生存周期管理,以及保值、增值数据资产的评估,审计和安全管理为数据资产的价值发现、运营合规和风险控制提供支撑 6.2数据资产目录管理 6.2.1 目的通过数据资产目录记录组织内所有被识别的数据资产信息,支撑数据资产识别、应用、变更、盘点和处置等的全过程管理 6.2.2要求数据资产目录管理应满足的具体要求如下建立数据资产目录,记录数据资产信息要素; a) b) 建立数据资产目录管理的权限、版本和发布等控制机制对数据资产进行分类,维度包括但不限于主体、主题和业务; c d) 结合数据资产其他管理过程的实施,保障数据资产目录信息及时有效 6.3数据资产识别 6.3.1目的组织应依据管理目标,梳理现有数据资源,基于业务应用和市场需求,识别数据资产及其信息要素并登记数据资产信息,确保其准确、有效 6.3.2要求数据资产识别应满足的具体要求如下基于业务应用和市场需求,梳理现有数据资源,识别数据资产及其信息要素,包括基本信息、业 a 务信息、管理信息和价值信息等在数据资产识别完成后,按照分类、分级,登记到数据资产目录中,支撑数据资产应用、评估和 b 审计等过程的实施对数据资产的变化进行识别,并执行数据资产变更过程 6.4数据资产确权 6.4.1目的通过技术手段进行数据资产权属的标识,以便于应用过程中的规范使用、维权追溯
GB/T40685一2021 6.4.2要求数据资产确权的具体要求如下: 应基于电子认证、区块链等技术手段,在单一或多方机构共同鉴证下,确认数据资产权属,应符 a 合GB/T33770.22019的规定; 在数据资产的使用和提供过程中,宜通过数字签名、分布式账本等方式记录数据资产的身份属 b 性与时间属性 6.5数据资产应用 6.5.1目的围绕业务场景,在确保安全、合规的前提下,识别数据应用的途径和渠道,建立服务和权责等机制对数据资产应用过程进行管理,促进其经济价值和社会价值的实现 6.5.2要求数据资产应用应满足的具体要求如下识别数据资产应用的途径和渠道,依据业务需求,管理模式、管理策略和数据敏感度等进行应用等级划分,并给予相应的保障措施; b)建立数据资产服务保障、效益评估、效果评价等机制 c 确保数据资产应用过程安全可控、合法合规; d)对数据资产应用的行为进行完整记录,确保可追溯、可审计 6.6数据资产盘点 6.6.1目的通过数据资产盘点活动,检查数据资产状态,发现数据资产目录与数据资产不一致问题,更新数据资产目录信息,确保数据资产信息一致性,完整性 6.6.2要求数据资产盘点应满足的具体要求如下编制数据资产盘点计划,明确盘点范围、要求、程序和时间等; aa 安排专人负责数据资产盘点,对盘点人员进行权责界定， b 盘点人员依据数据资产盘点计划,对数据资产目录与数据资产的一致性、准确性进行核查,并 c 记录盘点结果; 及时对盘点发现的问题进行分析和处理 6.7数据资产变更 6.7.1 目的当数据资产管理活动或业务需求触发数据资产变化时,应通过变更管理流程确保变更活动有序实施,并及时更新数据资产目录,确保数据资产目录信息与实际情况保持一致 6.7.2要求数据资产变更应满足的具体要求如下:
GB/T40685一2021 建立数据资产变更机制,明确数据资产变更触发条件,并有效管控变更过程 a b) 对提交的数据资产变更进行评审,包括信息的完整性、业务的必要性、需求的符合度、影响范围和权属关系等; 对数据资产变更影响进行分析,并发布变更影响通知; c d 依据数据资产变更评审结果实施变更,并更新数据资产目录对变更过程进行记录,并建立数据资产变更的持续跟踪、回顾和改进机制 e 6.8数据资产处置 6.8.1 目的在符合相关法律法规和标准规范的前提下,通过数据资产的销毁、转移等,优化数据资产配置，降低运营管理成本,挖掘剩余的利用价值 6.8.2要求数据资产处置应满足的具体要求如下 a 建立数据资产处置机制,并有效管控处置过程及风险 b 依据处置需求制定处置计划,编制处置方案; 对处置方案开展风险评估和影响分析,并进行评审; 依据审核通过的处置方案,执行处置并记录,对需要销毁的数据资产设定留存期 d 6.9数据资产评估 6.9.1目的通过开展数据资产评估活动,梳理数据资产现状,评价数据资产的质量和价值,促进数据资产的质量提升和价值实现 6.9.2要求数据资产评估应满足的具体要求如下建立数据资产评估机制,明确评估目的、范围、,策略和周期等,可采用内部或外部评估 a b)基于数据资产评估的目的和范围等,明确数据资产的权属、敏感信息和安全合规要求等; c 对数据资产的质量进行评估,评估内容主要包括准确性、完备性、一致性、确实性和现时性等评估内容的模型和测量方法应符合GB/T25000.122017及GB/T25000.24一2017的规定; 对数据资产的经济和社会价值进行评估,评估方法见附录A d 将评估结果及时更新至数据资产目录,并确保评估过程被记录、可追溯 6.10数据资产审计 6.10.1目的监督组织数据资产管理过程的执行,评价数据资产管理的风险,保障数据资产管理和应用的合规 6.10.2要求数据资产审计应满足的具体要求如下建立覆盖数据资产管理全过程的审计机制,根据需求制定审计计划 a
GB/T40685一2021 D)审计对象包括数据资产管理的制度、流程和相应的过程记录; 审计内容包括与法律法规、标准和规章制度等的符合性,权属的可证性以及过程的合规性 c 审计结果包括审计范围、审计问题、审计评价及建议等,宜以审计报告形式提供 d 6.11数据资产安全管理 6.11.1 目的建立管理手段与技术手段相结合,面向数据生存周期的数据资产安全管理机制,制定数据资产安全管理流程,明确组织人员的管理要求,确保数据资产安全可控 6.11.2要求数据资产安全管理的具体要求如下应按照数据资产的敏感度和重要程度等进行分类分级,应符合GB/T37973一2019的规定; b 应建立安全管理团队,建立安全管理机制,开展监督检查,并确保职责分离应建立采集、传输、存储、处理、交换,销毁以及备份恢复等机制,见GB/T379882019; c d)应采取数据脱敏等方式对敏感数据进行保护,涉及个人信息安全应符合GB/T35273一2020 的规定宜通过技术手段对数据资产进行标记与溯源,实现生存周期的风险可控管理保障 7.1概述管理保障规定了数据资产管理活动的资源条件保障,包括组织、制度和技术等方面 7.2组织保障组织保障具体要求如下应成立数据资产管理领导小组指定高层管理者担任组长 a b 应建立数据资产管理监督小组,定期开展检查和考核; 应组建数据资产管理团队,明确岗位责任,确定数据资产管理责任人; c d)宜选择有资质的第三方机构开展数据资产评估及审计宜定期对数据资产管理的干系人开展培训,培训内容包括法律法规、管理制度和岗位技能等 7.3制度保障制度保障应满足的具体要求如下制定数据资产的管理制度,并持续改进 b 明确各过程的管理要求、标准流程和操作规范建立工作考核机制,并纳人相关部门的绩效考核; c 明确交付物的范围、内容、形式和管理规程 d 建立经费保障机制，经费预算纳人组织的整体预算计划 7.4技术保障技术保障具体要求如下:
GB/T40685一202 应支持数据资产目录管理,实现数据资产的可查询、可追溯 a b) 应支持数据资产敏感度分析和敏感信息处理; 宜支持数据资产价值评估和质量评估 c 宜支持数据资产管理过程中交付物的管理 d
GB/T40685一2021 附录 A 资料性) 数据资产价值评估的参考方法 A.1市场法市场法是把相对成熟的市场近期成交的类似参照系价格作为参考,并对有差异的因素加以修正,得出待估数据资产评估值市场法一般包括筛选和调整两步筛选是在市场上寻找与待估数据资产相同或相似的参照数据; 调整是通过比较待估数据资产和参照数据资产束确定调整系数,得到待估数据资产的价值,可考虑数据资产的质量、地域、使用时间、市场潜力、经济形势和财务准则等因素见公式(A.1). 尸=P((+习a.x) A.1 式中待评估数据资产的价值,单位为元户 -参照数据的市场平均价格,单位为元; -第i个价值指标变量的权重(%); a x 第i个价值指标变量(%); 价值指标的个数(个). A.2收益法 A.2.1概述收益法又称收益现值法,是待评估数据资产的经济价值和社会价值之和其中,经济价值(社会价值),是把待评估数据资产剩余寿命期内的预期未来经济收益(社会收益),按照一定的折现率折成现期经济价值(社会价值),从而确定其价值收益法是基于数据未来的获利能力,能够体现数据的内在价值,契合数据资产价值评估的目的见公式(A.2). P=a1×P十a，×P A.2 式中: 待评估数据资产的价值,单位为元数据经济价值在数据资产价值中的权重(%); a 基于收益法计算的数据资产的经济价值,单位为元 P 数据社会价值在数据资产价值中的权重(%); a 基于收益法计算的数据资产的社会价值,单位为元 P A.2.2数据资产的经济价值数据资产经济价值见公式(A.3) R1 A.3 P= 1十r' 式中: P 基于收益法计算的数据资产的经济价值,单位为元待评估数据资产第1年的预期经济收益,单位为元 R
GB/T40685一2021 剩余经济价值寿命,是指待评估数据资产还能产生经济价值的剩余时间,单位为年 n r” -经济折现率,将预计未来收益折算成现值的比率,体现数据资产的财务成本(%) A.2.3数据资产的社会价值数据资产社会价值见公式A.4): R P， (A.4 式中 P 基于收益法计算的数据资产的社会价值,单位为元 R -待评估数据资产第！年的预期社会效益,单位为元可由数据共享价值,政府治理价值、数据产业价值和数据环境价值等加权得到数据共享价值例如数据访问、浏览、下载等价值; 政府治理价值例如政府治理效率、透明度等价值;数据产业价值例如产业的就业、税收、升级等价值;数据环境价值例如数据的生态、营商、健康环境等价值; 剩余社会价值寿命,是指待评估数据资产还能产生社会价值的剩余时间,单位为年; n 社会折现率,将预计未来社会收益折算成现值的比率(%). 成本法成本法是以数据资产形成过程中发生的一系列劳动消耗为基础,以成本费用来反映数据资产的价值大小数据资产价值在重置成本的基础上,结合数据资产的市场价值因素,进行数据资产价值评估见公式(A.5): 尸= A.5 习c(I十Q 式中 p 待评估数据资产的价值,单位为元 -每个数据集重置成本,根据数据采集、储存、处理等过程的费用和运维费用估算,单位为元数据集的个数(个); Q 数据资产价值影响度(%); 数据资产价值影响度系数(%) A.4综合评估法综合评估法的计算方法见公式(A.6) (A.6 P=a×P十a2×P十a3×P 式中待评估数据资产的价值; P 成本法计量数据资产价值的权重系数(%) Q 用成本法计量的数据资产价值,单位为元 P 市场法计量数据资产价值的权重系数(%) Q2 用市场法计量的数据资产价值,单位为元 P 收益法计量数据资产价值的权重系数(%) a3 -用收益法计量的数据资产价值,单位为元 P 10
GB/T40685一2021 参考文献 GB/T34960.5一2018信息技术服务治理第5部分;数据治理规范 [2]GB/T37988一2019信息安全技术数据安全能力成熟度模型 [3]Iso5500,;2014 erminology ),prineiples OverView and Assetmanagement [门 ISO55001:2014 ManagementsystemsReguirements ASsetmanagement [5幻 ISO55002:2018 ManagementsystemsGuidelinesforthe apleaton of ASsetmanagement ISO55001 [[6]DAMAInternational'sGuidetotheDataManageme nentBodyofKnowledge.DAMA,2008 [7]Datamanagementmaturitymodelvl.0.CMMIinstitute,2014 [[8]DataAssetFrameworkImplementationGuide.UniversityofGlasgow,2009 [[9]DataValueAssessment;Recognizingdataasanenterpriseasset.MITCISR,2015

信息技术服务数据资产管理要求GB/T40685-2021解读

随着信息化的迅速发展，企业数据已经成为其最重要的资产之一。因此，数据资产的安全和保护变得尤为重要。《信息技术服务数据资产管理要求GB/T40685-2021》标准的发布，对于规范企业数据资产管理，提高数据资产保护水平具有重要意义。

GB/T40685-2021标准的主要内容

GB/T40685-2021标准是一份关于数据资产管理的指南，主要包括以下几个方面：

数据资产分类与等级管理要求
数据资产采集、存储、加工、使用、共享、传输和销毁等各个环节的管理要求
数据资产管理组织架构、职责和权限的要求
数据资产安全保护的要求
数据资产管理评估与改进的要求

这些内容的出现，能够帮助企业更好地规范数据资产的管理流程，并加强数据资产的保护力度，在信息化的发展中拥有更加坚实的后盾。

企业如何落实GB/T40685-2021标准

要想落实GB/T40685-2021标准，首先需要企业领导高度重视，将其纳入到企业信息化建设计划之中。同时，也要制定相应的数据资产管理制度，由专门负责数据资产管理的部门或人员来监督执行。

在数据资产分类与等级管理方面，企业需要根据数据的不同特性和需求，对数据进行科学合理的分类和等级评定，并根据等级的高低采取不同的保护措施。

在数据采集、存储、加工、使用、共享、传输和销毁等各个环节的管理方面，企业需要建立完善的管理制度和技术手段，确保数据安全、可靠和有效。

此外，企业还需要对数据资产的安全保护进行加强，包括物理安全、网络安全、应用系统安全等方面。同时，也要定期评估和改进数据资产管理的各个环节，确保其持续有效。

结语

《信息技术服务数据资产管理要求GB/T40685-2021》标准的发布，是我国数据资产管理领域的重要里程碑，对于规范企业数据资产管理，提高数据资产保护水平具有重要意义。

我们相信，在GB/T40685-2021标准的指导下，通过企业的不断努力和完善，我国的数据资产管理将逐步走向规范化、科学化和成熟化，为企业信息化建设和数据资产保护提供更加坚实的保障。

因此，我们呼吁广大企业要高度重视GB/T40685-2021标准的落实，并将其纳入到企业信息化建设计划之中。只有通过不断努力和完善，才能够更好地规范数据资产管理流程，提高数据资产保护水平，为企业的可持续发展打下坚实基础。