数据资产化实践指南(2024年)word版.docx
-
资源ID:1463921
资源大小:194.72KB
全文页数:43页
- 资源格式: DOCX
下载积分:5金币
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
数据资产化实践指南(2024年)word版.docx
数据资产化实践指南(2024年)指导单位广东省政务服务和数据管理局编写单位广东数字政府研究院广州数据交易所粤港数据安全与隐私保护联合实验室广州芳禾数据有限公司序言在新一轮科技革命和产业变革大背景下,数据量和算力呈爆炸性增长,数据作为数字经济时代的基础性和战略性资源,是形成新质生产力的优质生产要素。2020年4月,中共中央、国务院印发关于构建更加完善的要素市场化配置体制机制的意见,首次将“数据”与土地、劳动力、资本、技术等传统要素并列为要素之一,引导要素向先进生产力集聚。2022年12月,中共中央、国务院印发关于构建数据基础制度更好发挥数据要素作用的意见,为深化数据要素市场化配置改革,释放数据要素价值,推动数字经济高质量发展提供了方向指引。2023年10月,国家数据局正式挂牌,统筹推进数字中国、数字经济、数字社会,进一步推进国家治理体系和治理能力现代化。2023年8月,财政部印发企业数据资源相关会计处理暂行规定(财会202311号),明确数据资源的确认范围和会计处理适用准则等,有利于显化数据资源价值,提升企业数据资产意识,为企业对数据进行深度开发利用提供动力。2023年12月,财政部印发关于加强数据资产管理的指导意见(财密20241号),以推动数据资产合规高效流通使用为主线,加强数据资产全过程管理,推进数据资产化,更好发挥数据资产价值。对于企业而言,高效的数据利用能够显著提高生产效率,降低运营成本,推动企业业务模式创新与转型,以在激烈的市场竞争中获得优势。为了加速推动数据资产化进程,促进数据流通应用,激活数据要素活力,广东数字政府研究院、广州数据交易所、粤港数据安全与隐私保护联合实验室、广州芳禾数据有限公司在广东省政务服务和数据管理局指导下联合编制数据资产化实践指南,以数据产生的业务源头到数据实现资产化的全流程入手,按照“业务数据化数据资源化数据产品化-数据资本化”的演变方式,探索建立数据资产化的可行路径,以期为企业数据资产化实操提供参考。本实践指南在编写过程中得到数据要素领域多家机构的大力支持与帮助,在此一并感谢。考虑到数据资产化领域的发展如火如荼,各项工作日新月异,内容难免有疏漏之处,欢迎业界学界各位专家同行提出宝贵意见和建议,共同推进数据要素市场高质量发展。指南编制人员专家顾问:翁健余坦编制组成员(按姓氏拼音首字母排名)郭振宇后倩李朗李明李智梁友刘志伟沈海童瑶王骏王俊鸿王琼吴文浩杨澜喻昕昕玉雁袁方曾立波张昊天张翼张瑜朱卉一、数据资产化概述(一)内涵I(二)目标与意义2二、数据资产化过程(一)业务数据化5()原彳匕。(三)数据产品化6(四)数据资本化6三、数据资产化实施路径7(一)数据生产与采集7(二)数据资源盘点Il()口16(四)数据分类分级数据产品加工(八)数据质量评估2(七)数据价值评估33(八)数据资产合规登记38()§7口口/克1S42(十)数据流通存证49(十一)数据安全管理53(十二)数据资源入表59(十三)数据资本化应用62(十四)数据资产运营67四、总结与展望71一、数据资产化概述(一)内涵一般认为,数据资产是指“企业过去的交易或者事项形成的,合法拥有或控制的,能进行计量的,预期会给企业带来经济利益的数据资源”1.其中,“过去的交易或者事项形成的”是指由企业从过去交易或者经合法授权、自主生产等事项形成的可资产化的数据资源。“合法拥有或控制的”是指企业享有该数据资源的全部权益,或者虽然不享有该数据资源的全部权益,但能够合法控制数据资源也可以形成数据资产。“能进行计量的”则要求该数据资源能够估值、交易,其成本和价值能够可靠地计量“预期会给企业带来经济利益的数据资源”,包含两个重点,一是相关数据资源预期会给企业带来经济利益,二是相关的经济利益很可能流入企业。实务中一般认为,当经济利益流入企业的概率超过50%时,符合“很可能”的标准。数据资产化是实现数据价值转化的核心途径,是企业将过去交易或经合法授权、自主生产等事项形成、获得的数据通过采集、企曳会计准则一基本虐双关于资产的定义逐产是指企业过去的交易或者事项影成的.由企业期有或者控制的.筑期会给企业带来经济利益的资源.国家标准信息技术版务数里资产管理要求f斤准号:GWT406任期1)定义,数据诲产是指合法楣有或者控制的.能进行计量的.为Ifi织带来经济和社会价值的数据资源加工、治理、开发等环节转化为可计量、可交易的数据资产,并拓展金融衍生服务,推进数据资产创新应用,通过多元化方式为企业带来经济利益,实现数据价值最大化的过程。(一)目标与意义1.目标数据资产化的目标是通过数据资产全过程管理,推进企业合法拥有或控制的数据实现合规化、标准化、增值化,为企业创造直接或间接的经济利益。2意义(1)充分释放企业数据价值数据资产化能够将企业内部的数据价值充分挖掘出来,促进数据资源的使用,最大程度发挥数据资源的价值。一方面,借助数据推动智能化工作流程,优化企业生产模式、提升企业运营效率、推动企业降本增效。另一方面,使得企业数据资产的业务价值、经济价值和社会价值显性化,将数据资产转化为企业资产的一部分,通过与金融体系接轨进一步推进数据价值实现。(2)推动企业数字化转型数据资产化将激活市场潜能,催生丰富的数据应用场景,提高企业开展面向数据生产与创新的积极性。同时,数据资产化将推进生态建立,推动服务型企业充分发挥各自独特的价值,市场发展的需求与生态建立的需要,促使企业深化数字化转型,实现数字化思维与设计、生产、管理、服务和运营等全过程深度融合,利用数字化方式重塑企业发展模式和竞争优势。(3)促进产业链升级转型数据资产化有助于重组传统产业结构、颠覆现有业务模式。不同类型、不同维度的数据融合,将推动不同领域的知识渗透,催生新产业、新业态、新模式。推进数据资产化工作,对提升产业基础能力和产业链现代化水平提出了更高要求,同时也为产业发展带来更广阔的空间。(4)实现经济发展倍增效应推进数据资产化工作,将进一步提升全要素生产率,通过从数据中挖掘有用信息,作用于其他要素,找到企业、行业、产业在要素资源约束下的“最优解”。同时,数据资产化工作能够有效带动数据采集、清洗、标注、评价、资产评估等数据服务业发展,将进一步深化数字技术创新应用,激发数字经济发展活力,营造繁荣发展的数字生态。二、数据资产化过程数据资产化的一般过程包括业务数据化、数据资源化、数据产品化,考虑到数据资本化是数据资产价值释放的重要体现,本实践指南将数据资本化纳入数据资产化过程。通过这四个阶段,使企业合法拥有或控制的数据完成“原始数据一数据资源一数据资产”的形态演变,实现数据资产创新应用和数据资产增值,为企业创造直接或间接的经济利益。数据价值的实现反过来可以促进企业进一步推动业务数据化,提高数据治理能力,提升整体数据质量,为数据价值释放提供更好基础。图2-1数据资产化实施路径示意图(一)业务数据化业务数据化主要是指企业通过各种技术手段,建立信息化、数字化、自动化和智能化的业务流程的过程。主要目标是积累和沉淀数据资源,通过管理和技术手段不断提升数据质量,全面提高企业数据感知能力、采集和获取数据能力,为企业内部管理、业务运营和数据资源化提供数据支持,在这一阶段,企业生产、经营、管理活动中产生出原始数据(如产品数据、客户记录、销售记录、采购记录、人事记录、财务数据和库存数据等),应用数据采集技术、大数据技术、物联网、人工智能、云计算等技术手段,通过数据采集、数据存储、数据质量管理、数据应用(聚焦生产经营)等过程,转化为可存储、可操作的数据。(二)数据资源化数据资源化是指企业将直接或间接地获取、采集的原始数据进行必要的加工整理和归集,形成可重用、可应用、可获取的数据资源的过程。该阶段是数据资产化的必要前提,主要目标是将原始数据转变数据资源,使数据具备一定的潜在价值。在这一阶段,应用大数据技术、人工智能、云计算、数据安全技术、可视化技术等技术手段,通过数据盘点、数据分类分级、数据清洗、数据加工等过程,将企业沉淀或控制的数据转化为能够为企业产生一定价值的数据集合。(三)数据产品化数据产品化是指数据资源持有方自行或授权给外部机构,以数据使用方需求为导向,对数据资源进行实质性的劳动投入和创造,形成可供内外部用户使用的、以数据为主要内容的、可辨认的服务或产品的过程。该阶段是数据资产化的关键步骤,主要目标是将数据资源依据实际需求加工为具有明确应用场景、可交易、价值可计量的数据产品。在这一阶段,围绕有一定规模、一定价值的数据资源,应用大数据技术、人工智能、隐私计算、区块链、数字水印、密码学等技术手段,通过数据合规审查、数据质量评估、数据价值评估、数据资产登记、数据流通存证等过程,依据市场实际需求和应用场景进行产品开发,最终形成符合数据应用要求的数据产品。(四)数据资本化数据资本化是指通过有效利用数据资产,将其转化为具有实际经济价值的资本,并实现保值、增值、流通的过程。企业可以通过数据资产质押融资、数据资产增信贷款、数据资产作价入股等方式盘活数据资产。通过数据资本化实现数据产品创新和应用、数据资产增值和数据交易变现,充分挖掘和释放数据价值,更好服务企业发展。三、数据资产化实施路径(一)数据生产采集1.概述数据生产采集是指企业在生产经营过程中,运用数字技术在产品生产、业务运营、人事管理与财务管理等过程中收集、提取和存储数据的过程。企业进行业务数据采集与存储,为后续的数据分析、数据处理和应用开发提供支持,将数据作为“原料”来帮助企业提升效率、降低成本,通过数据分析获得深刻洞察,以辅助决策。2实施价值企业建立以数据为生产要素的数字服务、数字生产、数字管理等能力,实现以数据为驱动的智能制造、柔性供应、精准营销、生态协同等业务场景,为企业高质量、可持续发展提供保障Q主要的实施价值表现在以下几个方面:(1)利用数据洞察来提升产品质量与客户满意度。企业通过利用大数据、人工智能、物联网、数据分析等技术和工具来优化企业的业务决策过程,通过信息技术来加速产品迭代,提供个性化的客户体验,增强客户满意度和忠诚度。(2)提高企业生产运行效率。企业建立信息化、数字化、自动化和智能化的业务流程,通过数据链路打通企业生产经营环节,显著提高企业的生产力。通过利用先进信息技术,包括生成式人工智能模型、大数据技术、区块链技术等,有效改善企业工作方式及工作效率。(3)提高企业的行业竞争力。企业将传统业务进行数字化转型,有助于灵活适应不断变化的市场,更加科学地规划与决策,快速响应客户需求,打造差异化的产品体系,从而在竞争激烈的市场中保持领先。3实施路径企业生产采集数据本质上是企业进行数字化转型过程中积累数据的过程。数据生产采集主要参考的文件有:文件类型文件名称文件代号或出处国家标准信息化和工业化融合管理体系供应链数字化管理指南GB/T230502022国家标准工业物联网数据采集结构化描述规范GB/T38619-2020国家标准智慧城市数据融合第3部分:数据采集规范GB/T36625.3-2021白皮书企业数字化转型白皮书全国信标委大数据标准工作组、中国电子技术标准化研究院围绕企业数字化转型的建设目标,数据生产采集可以参照以下基本流程:(1)制定企业数字化转型规划。企业进行数字化转型是一项系统的、顶层设计工程,需要明确企业转型的价值目标,对内部进行充分的评估分析,要设计企业数字化的蓝图架构,明确关键的时间节点、组织方法、评估方法等,(2)构建企业数字化能力。在明确数字化目标之后,需要结合自身需要,构建企业数字化能力,包括选择合适的技术工具、培养业务数据化人才、构建合作生态、加强数据安全和隐私保护等。目前主要的技术包括云计算、大数据技术、人工智能、物联网、移动技术、隐私计算、区块链等。通过技术的有机结合,帮助企业构建灵活、高效和安全的数字化业务能力,为企业持续形成数据资源提供支撑。(3)明确数据存储方法。综合考虑数据类型、访问速度、安全性和成本等因素,选择相应的存储方法。常见的数据存储方法包括数据库、文件系统、云存储等。数据库是用于存储、管理和检索数据的系统,包括关系型数据库、非关系型数据库、数据仓库等。文件系统则是将数据存储为文件,可以通过本地磁盘或网络共享方式实现。云存储是云服务提供商提供远程云服务存储空间,允许用户通过互联网访问和共享数据。(一)数据资源盘点1.概述数据资源盘点是指从全局出发对企业的业务系统、大数据平台、数据仓库等数据进行全面摸查,采集元数据、发现企业数据字典、识别数据之间的关系,从业务流程和数据应用的视角出发梳理数据资源的技术属性、业务属性、管理属性,掌握数据资源全貌,形成数据资源清单。从业务视角看,数据资源盘点是基于业务目标,深入分析业务需求与问题,明确组织的业务域以及数据在这些业务域中的流向,即数据如何被创建、处理、存储和使用。从信息技术视角看,数据资源盘点是识别和分析业务系统中的数据分布情况,包括数据的存储位置、数据的类型以及数据的存储格式等。2实施价值通过数据资源盘点,明确每类数据资源的业务归属和责任人,有助于在后续数据治理过程中更好地管控和维护数据,帮助企业摸清数据资源家底,理解、识别、管理和使用数据,有效推进数据资源的对内共享应用和对外交易。数据资源盘点的价值主要体现在以下几个方面:(1)优化资源配置”通过数据资源盘点,企业能够清晰地了解数据资源的分布和使用情况,从而更合理地分配硬件、软件和笫IO页人力资源,避免资源浪费,(2)提升数据质量。数据资源盘点有助于发现并解决数据质量问题,提升数据的准确性、完整性和一致性,增强数据的可信度,提高数据分析和挖掘的准确性。(3)加强数据治理,数据资源盘点是数据治理的重要环节,通过盘点,企业可以建立数据目录、制定数据标准、规范数据管理流程,从而加强数据治理的效率和效果。(4)促进数据应用。清晰的数据资源图谱和高质量的数据资源清单有助于企业更好地利用数据,推动数据驱动的决策和业务创新。通过深入挖掘和分析数据,助力企业发现新的商业机会和增长点。(5)提升数据安全与合规性。通过数据资源盘点,企业可以识别敏感数据和关键业务数据,进而制定更加严格的数据安全策略和防护措施,保障数据的安全性和合规性。工实施路径数据资源盘点主要参考的文件有:文件类型文件名称文件代号或出处国家标准DCMM数据管理能力成熟度评估模型GB/T36073-2018指南<DAM-I)MBOK2数据管理知识体系指南20国际数据管理协会DAMA第Il页白皮书数据资产管理实践白皮书值0版)大数据技术标准推进委员会(CCSATC601)从全出发,企世对数对端"黑骡盆构SlBK3切.自含多少我察.企业播所处行业知日身惨况,将ItlWQyJtt.分拈的点,拿IHMK资产全B1.彬成15图浦覆定义.企业刘效理班行曲、定义、深度融析.»2数无内哲.“充业务含义,峭<WKtfiR.结构.关系,形戌更完整.杓敢的政率霍血数据权属血缘明晚!»R的东普松、法性喷关注男归任人.明福m从来.£舞IBR的!作知贡向,更H朔IN跤期的的值知瓯对所有B送行工8,包数据资产目录层业务主.物纲望构.IHK特性.三Zr三W>维度的的事皆产椎舞,明立究有的所拜依M及0IC馀值.梅仝局的敖心好礴.图3-1数据资源盘点一般性过程数据资源盘点的实施路径参考如下:(1)元数据摸查元数据是定义和描述其他数据的数据,贯穿数据资产管理的全流程,是支撑数据资产化的核心。元数据管理是数据资产管理的重要基础,是关于元数据的创建、存储、整合与控制等一整套流程的集合,是为获得高质量的、整合的元数据而进行的规划、实施与控制行为。从技术视角、业务视角和管理视角出发,通过定义技术元数据、业务元数据和管理元数据,帮助业务人员和管理人员理解、识别、管理和使用数据。其主要内容包括:元数据管理计划。明确元数据管理相关参与方,收集元数据管理需求;确定元数据类型、范围、属性,设计元数据的元模型规范,包括技术元数据、业务元数据、管理元数据;元数据采集。依托元数据管理,基于元模型对元数据进行收集,对不同类型、不同来源的元数据进行采集和存储,形成对数据结构、数据描述的统一视图及清单;元数据查询。通过数据资源目录,提升业务方对数据的理解,辅助数据管理和数据分析应用;元数据变更管理。根据元数据摸查结果,能持续监控企业数据资源的变化,进行变更影响分析,评估数据变更影响范围,帮助用户识别变更带来的风险,有效减低企业风险。(2)构建数据标准数据标准是指保障数据的内外部使用和交换的一致性和准确性的规范性约束。数据标准构建依据国家标准、行业标准、地方标准和企业自身情况,对数据项的定义、口径、格式等方面制定标准和规范,推动数据的统一标准化,保障数据一致性、准确性和互操作性等。依托数据标准管理工具,支持数据标准的全生命周期管理,通过定义符合行业标准和企业要求的基础数据标准、代码标准、指标标准等,能够明确业务含义,统一数据定义,统一统计口径,形成全局统一的数据标准规则,为后续数据质量校验、数据加工等提供标准依据。(3)数据定义数据定义是指对企业所持有的所有数据资源进行识别、定义、深度剖析、标记数据内容,补充业务含义,明确数据组织、结构、关系,形成更完整、有效的数据架构的过程。其主要内容包括:数据类型识别。确定企业拥有哪些类型的数据,如结构化数据(如数据库表格)、非结构化数据(如文档、图片、视频)和半结构化数据(如XM1.、JSON);数据来源与收集。明确数据的来源,包括内部生成的数据(如员工记录、销售数据)和外部获取的数据(如市场调查、公共数据库),定义数据的收集方法和频率,确保数据的准确性和时效性;数据质量基础性评估。评估数据的完整性、准确性、一致性和可靠性等方面,发现数据中的潜在问题,如缺失值、重复数据或错误数据,并制定相应的数据清洗和验证策略;数据用途与价值定义。定义数据的用途和价值,明确数据在组织运营、决策支持和业务发展中的作用;数据存储与访问。描述数据的存储方式、位置以及访问权限。包括确定数据的存储格式、存储介质、存储位置以及数据的访问权限和共享方式。(4)明确数据血缘关系数据血缘关系是指各种数据资源之间的依赖关系,即数据来源、计算过程和结果去向之间的数据授权链路关系。通过形成字段级可视化血缘关系图,可以明确数据的来源权属、合法性和相关业务归属和责任人,追溯数据的操作和流向。其主要内容包括:识别数据资源的源头。某个数据资源可能是由多个数据源的数据加工集成而来,识别这些数据源并了解它们之间的关系,明确数据来源的权属信息和合法性;分析数据资源的加工过程。某个数据资源可能经历了多个数据加工过程,识别这些加工过程并了解它们之间的关系;明确数据资源的输出结果。某个数据加工过程可能产生多个计算输出结果,识别这些输出结果并了解它们之间的关系。(5)构建数据资源目录数据资源目录通常伴随数据资源盘点而产出。通过建立可共享、可复用的多层级数据资源目录,对所有数据进行汇总,按照数据来源、业务主题等进行分类,提供完整的数据定义、数据说明、数据特征、标签、数据责任人等技术、业务、管理信息。构建数据资源目录可以清晰地展示企业的各种数据资源(原始数据资源、过程类数据资源、应用类数据资源)的信息,为用户提供方便快捷的数据访问和查询服务。以多维度构建数据资源目录框架,增强数据可理解性,支撑数据分析和挖掘,帮助企业更好地理解和掌握数据的含义、作用和价值,(三)数据合规审查1.概述数据合规是指在整个数据的生命周期内(包括数据的采集、存储、处理、传输、使用等环节),确保企业的数据管理和操作过程遵循相关法律法规、行业标准和内部控制要求,特别是要关注数据来源的合法性、数据处理的正当性、数据交易的规范性和数据保护的有效性,从而保障个人、企业乃至国家的权益,数据合规审查是指企业为了确保数据合规而进行的一系列评估、分析和改进活动,目的是审查和评估企业生产、采集、存储、处理、分享和销毁数据的实践是否符合相关的数据保护法律、法规、政策和标准。2实施价值数据合规审查确保企业遵守相关的法律法规和行业标准,识别并降低处理数据过程中的风险,同时保护个人隐私,避免无效的数据产品加工生产行为。数据合规审查不仅有助于降低可能的法律和财务风险,提高数据安全和运营效率,还能增强客户及利益相关方的信任,从而支撑业务增长和创新。具体而言,数据合规审查的价值包括:(1)降低企业风险。数据合规是数据要素流通的硬性要求。数据合规审查可以确保企业在数据生产、采集、存储、处理和使用过程中遵循相关法律法规和监管要求,从而降低因违规行为导致的罚款、法律诉讼和声誉损失等风险。(2)增强社会信任“通过数据合规审查,保证数据要素流通的合规性,防止数据滥用和非法获取,保障个人与机构的权利不受侵害。健全的数据治理机制不仅有助于提升数据安全水平,还有助于促进公众对数字经济的信任和参与,进而形成一个更加公平、安全的信息社会。(3)提高数据治理水平。数据合规审查涉及对企业数据的盘点、溯源,以及对数据处理流程的规范和监控。上述功能能够确保数据的准确性、完整性和可审计性,为数据资产的价值评估和入表提供更加可靠的审查依据。(4)促进跨境数据流通。在全球化背景下,数据合规审查有助于企业在国际市场中开展安全合规的数据跨境传输,以满足国家跨境数据安全保护要求。a实施路径数据合规审查主要参考的文件有:文件类型文件名称文件代号或出处法律法规中华人民共和国网络安全法中华人民共和国主席令第五十三号法律法规中华人民共和国数据安全法中华人民共和国主席令第八十四号法律法规(中华人民共和国个人信息保护法中华人民共和国主席令第九十一号法律法规关键信息基础设施安全保护条例中华人民共和国国务院令第715号国家标准信息安全技术网络数据处理安全要求GB/T41479-2022国家标准信息安全技术个人信息安全影响评估指南GB/T39335-2020国家标准信息安全技术移动互联网应用程序(App)收集个人信息基本要求GB/T41391-2022国家标准数据安全技术数据分类分级规则GB/T43697-2024国家标准信息安全技术个人信息去标识化指南GB/T379642019行业标准多方安全计算金敲应用技术规范JR/T01962020管理办法工业和信息化领域数据安全管理办法工信部网安2022166号工作指引促进和规范数据跨境流动规定国家互联网信息办公室令第16号工作指引中央企业合规管理指引国务院国有资产监售管理委员会行动方案广东省数据要素市场化配置改革行动方案穹府函(2021)151号团体标准数据安全合规评估方法T/SZBA001-2023数据合规性审查需要一套完整的数据合规审查框架,明确数据审查范围和标准,后续其他建设内容以及执行阶段的各项内容均需要围绕这一体系开展“国家法律法规政策体乐图3-2数据合规审查路径一般而言,企业数据合规审查的实施路径参考如下:(1)准备阶段。主要工作包括:组建专业团队或引入第三方团队,具备开展数据合规审查的法律、技术、业务规则等相关的知识和技能;根据合规审查目的确定审查范围,包括组织范围、数据范围、业务流程和业务活动范围等;确定合规审查的依据,包括相关的法律法规、监管规定、行业准则和国际条约;明确审查过程中使用的工具,包括检查表、基线检查工具、安全扫描及测试工具、安全审计工具等;调研合规审查的对象,包括业务运营模式、所处理数据的类型以及规模等;在调研的基础上收集审查对象的相关资料,包括业务介绍、合同文件、制度规章、处罚通知、判决书、数据安全风险评估报告等。(2)执行阶段。主要工作包括:文档审查,对准备阶段收集到的相关资料进行审查,判断其是否符合相关的法律法规的要求;数据审查,对明确范围内的数据真实性、来源合法性等进行审查,判断是否符合数据资产化建设的需要;审查相关实际运行的网络、信息系统的安全技术保障措施是否有效;按需对合规审查对象涉及到的相关人员进行访谈,以核实审核对象数据安全合规的实际情况。在执行阶段,应该及时记录审查时的实际情况以及发现的问题,以便后续审查结果分析。(3)结果分析。审查结果分析应重点关注合规性问题,包括所违反的法律法规、监管制度、内部制度的名称及条款、可能引起的风险及其严重性级别。必要时,制定相应的整改计划,包括问题的描述、整改措施、责任方或落实方、整改有效性的验证方。(4)结果评价。在审查的工作完成后,应形成相应的分析报告,报告的内容包括数据合规审查的目的、审查结果的适用范围、审查所依据的法律法规及监管规定、合规审查所发现的问题以及相应的整改建议。必要时,可以基于特定目的出具专项分析意见,例如数据分级分类管理的专项意见、数据出境的专项意见。(四)数据分类分级1.概述数据分类是指根据数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用数据的过程。数据分级是在数据分类的基础上,根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或非法使用可能造成的危害程度,一般将数据从高到低分为核心数据、重要数据、一般数据三个级别。2实施价值数据分类分级的目的是为了确保数据安全,防止数据被非法利用,保护国家安全、公共利益和个人、组织的合法权益,按照不同类别、不同等级对数据进行安全保护。数据分类分级是企业自身合规管理数据和流通数据(包括跨境流通数据)的核心参考与基础。企业基于不同的数据级别,制定不同的数据管理规范,建立数据分类分级制度,其价值主要有以下几点:(1)保障数据安全。通过对数据进行分类分级,对重要数据进行保护,特别对涉及到国家安全、广大人民群众安危的核心数据进行全方位管理和全流程安全防范,防止这些核心数据被非法利用。(2)满足企业合规性要求。数据分类分级有助于企业遵守相关的法律法规和监管要求,避免因数据管理不当或违规使用导致的法律责任,是组织良好运行的保障。(3)促进数据价值挖掘。通过分类分级,可以对不同级别、不同属性的数据实施差异化使用策略,在保护好核心数据和重要数据的同时,更好地发挥保密级别低、内在价值高的数据的经济效益,从而更合理地利用数据资源。工实施路径数据分类分级主要参考的文件有:文件类型文件名称文件代号或出处国家标准数据安全技术数据分类分级规则GBT43697-2024工作指引网络安全标准实践指南一网络数据分类分级指引全国信息安全标准化技术委员会工作指南工业数据分类分级指南(试行)工业和信息化部行业标准金融数据安全数据安全分级指南JlHOl97-2020如图3-3,根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类与分级,将重要数据目录上报至行业主管部门。任机制,让参与的多方主体达成共识,更加放心地参与数据流通交易环节,促进数据要素市场的健康发展。3实施路径数据流通存证主要参考的文件有:文件类型文件名称文件代号或出处司法文件最高人民法院关于加强区块链司法应用的意见法发202216号司法解释最高人民法院关于互联网法院审理案件若干问题的规定法释(2018)16号国家标准区块链和分布式记账技术存证通用服务指南GB/T43580-2023安全规范广东省数据流通交易技术安全规范广东省政务服务和数据管理局团体标准数据资产确权登记导则T/NSSQ025-2022工作指南数据资产确认工作指南DB33/T13292023企业实施数据流通存证需要明确存证的过程及内容,一般包含(但不局限于)以下几个方面:数据来源权属存证,证明数据的所有权和来源,确保数据使用合法。数据质量评估认存证,对数据准确性、完整性等质量指标的官方评估和认证。数据授权运营存证,规定数据处理和使用的条款和条件的合同。(3)数据签名认证阶段。对电子数据执行数字签名时,应使用授权数字证书,并采用安全密钥,避免使用泄漏或失效密钥,确保数字签名在区块链内外可验证,维护数据完整性和真实性。(4)数据上链存储阶段。电子数据上链要求环境安全可靠。通过节点向区块链存证系统发起存证请求,利用存证合约完成链上签名及存证信息补充或修正。整个过程应实时反馈存证结果,具备容错能力,确保数据存证的准确性和可靠性。(十一)数据安全管理1.概述数据安全管理是指企业分析信息系统环境中数据的保密性、完整性和可用性等方面所面临的安全问题,分析数据活动可能对国家安全、社会影响、公共利益、个人的生命财产安全等造成的影响,围绕这些问题所开展数据采集、存储、使用、加工、传输、提供、公开等数据处理时采取的一系到安全管理活动。数据安全管理不仅涉及制度策略、技术实施和管理规则,还包括法律、政策和组织行为的综合考量,通过体系化层面建设来保护数据不被未授权访问、泄露、破坏或丢失,确保数据的完整性、可用性以及保密性等安全特性,满足个人信息保护和数据保护的法律法规、标准等要求。与流通策略,在保护企业数据隐私的同时,促进数据的高效流通和利用,帮助企业扩大市场机会,形成新的商业模式和产品服务路径。区实施路径数据安全管理主要参考的文件有:文件类型文件名称文件代号或出处国家标准信息安全技术大数据安全管理指南GBT37973-2019国家标准信息安全技术数据安全能力成熟度模型GB/T37988-2019国家标准信息安全技术数据交易服务安全要求GB/T37932-2019行业标准金融数据安全数据生命周期安全规范JR/T0223-2021国务院部门文件工业和信息化领域数据安全管理办法(试行)工信部网安(2022)166号企业通过运用可信身份认证、数据签名、接口鉴权、数据溯源等数据安全新技术,强化对数据资源、数据产品的安全防护,提高数据安全管理的能力。数据整个生存周期的安全管理包括以下几个阶段:(1)数据采集阶段的安全管理:基于法律法规以及业务需求,建立元数据管理体系,实现对组织内元数据的集中管理;确定组织内部的数据分类分级方法,对生成或采集的数据进行分类分级标识;在采集外部客户、合作伙伴等相关方数据的过程中,应明确采集数据的目的和用途,确保满足数据源的真实性、有效性和最少够用等原则要求,并明确数据采集渠道、规范数据格式以及相关的流程和方式,从而保证数据采集的合规性、正当性、一致性;对产生数据的数据源进行身份鉴别和记录,防止数据仿冒和数据伪造;建立组织的数据质量管理体系,保证对数据采集过程中收集或产生的数据的准确性、一致性和完整性。(2)数据传输阶段的安全管理:根据数据传输的要求,采用适当的加密保护措施,保证传输通道、传输节点和传输数据的安全,防止传输过程中的数据泄露;通过网络基础设施及网络层数据防泄露设备的备份建设,实现网络的高可用性,从而保证数据传输过程的稳定性。(3)数据存储阶段的安全管理:根据实际的应用场景,提供有效的技术和管理手段,防止对存储媒体(包括终端设备和网络存储)的不当使用而可能引发的数据泄露风险;基于组织内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器等的有效安全控制;通过执行定期的数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性。(4)数据处理阶段的安全管理:根据相关法律法规、标准的要求以及业务需求,制定相应的规则,对敏感数据进行脱敏处理,平衡数据的可用性和安全性;采取适当的安全控制措施,防范数据挖掘、分析过程中有价值信息和个人隐私泄露的安全风险;参照相关的法律法规,建立数据使用过程中的责任机制、评估机制,保护国家秘密、商业秘密和个人隐私,防止数据资源被用于不正当目的;为数据处理环境建立安全保护机制,提供统一的数据计算、开发平台,确保数据处理过程中有完整的安全控制管理和技术支持;在数据的导入导出过程中,防止对数据自身的可用性和完整性造成损害,降低可能存在的数据泄露风险。(5)数据交换阶段的安全管理:在向组织内部的数据需求方提供数据时,应执行共享数据的安全风险控制,以降低数据共享场景下的安全风险;在对外部组织发布数据的过程中,通过对发布数据的格式、适用范围、发布者与使用者权利和义务执行的必要控制,以实现数据发布过程中数据的安全可控与合规;通过建立组织的对外数据接口的安全管理机制,防范组织数据在接口调用过程中的安全风险。(6)数据销毁阶段的安全管理:通过建立针对数据的删除、净化机制,实现对数据的有效销毁,防止因对存储媒体中的数据进行恢复而导致的数据泄露风险;通过建立对存储媒体安全销毁的规程和技术手段,防止因存储媒体丢失、被窃或未授权的访问而导致存储媒体中的数据泄露的安全风险。对于推进数据资产化的组织来说,不仅需要明确数据整个生存周期每个阶段的安全管理要求,还需要建立通用的安全管理制度和流程,具体包括:(1)组织安全制度。建立适用于组织数据安全风险状况、覆盖数据全生命周期的数据安全策略和制度;(2)人员管理制度。设置负责数据安全工作的职能部门及岗位,以及对人力资源管理过程中各环节进行安全管理,防范组织和人员管理过程中存在的数据安全风险;(3)培训与学习制度。持续学习、深入了解相关的法律法规,保证组织业务发展过程中不会面临个人信息保护、重要数据保护、跨境数据传输等方面的合规风险;(4)分类分级安全管理。通过建立针对组织数据资产的有效管理手段,从资产的类型、管理需求等方面建立统一、规范化、分类分级的安全管理模式;(5)数据供应链安全管理。通过建立组织的数据供应链管理机制,防范组织上下游的数据供应过程中的安全风险;(6)终端安全管理。根据对终端设备层面的数据保护要求,针对组织内部的工作终端采取相应的技术和管理方案;(7)安全审计。针对数据生存周期各阶段开展安全监控和审计,以保证对数据的访问和操作均得到有效的监控和审计,以实现对数据生存周期各阶段中可能存在的未授权访问、数据滥用、数据资源入表主要参考的文件有:文件类型文件名称文件代号或出处国家标准(DCMM数据管理能力成熟度评估模型GB/T36073-2018国家标准信息技术大数据数据资产价值评估(征求意见稿)国家市场监督管理总局、国家标准管理委员会