DB33T1329-2023數(shù)據(jù)資產(chǎn)確認(rèn)工作指南

ICS03.100.6033CCSA0233浙 江 省 地 方 標(biāo) 準(zhǔn)DB33/T1329—2023數(shù)據(jù)資產(chǎn)確認(rèn)工作指南Guidelinesfordataassetconfirmation20232023110520231205浙江省市場監(jiān)督管理局??發(fā)布DB33/T1329DB33/T1329—2023前 言本標(biāo)準(zhǔn)按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利。本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本標(biāo)準(zhǔn)由浙江省財政廳提出、歸口并組織實施。本標(biāo)準(zhǔn)起草單位：浙江省標(biāo)準(zhǔn)化研究院、溫州市財政局、溫州市標(biāo)準(zhǔn)化科學(xué)研究院、天樞數(shù)鏈(浙江)科技有限公司、浙江大數(shù)據(jù)交易中心有限公司、杭州電子科技大學(xué)、浙江省金融控股有限公司、浙（杭州市人民政府電子政務(wù)中心（上海艷、江濱、胡瓊鴦、潘凱凌、簡兆煌。I艷、江濱、胡瓊鴦、潘凱凌、簡兆煌。IDB33/T1329DB33/T1329—2023DB33/T1329—2023數(shù)據(jù)在整個生存周期內(nèi)(從產(chǎn)生、傳播到消亡)的演變信息和演變處理內(nèi)容的記錄。DB33/T1329—2023數(shù)據(jù)在整個生存周期內(nèi)(從產(chǎn)生、傳播到消亡)的演變信息和演變處理內(nèi)容的記錄。[來源：GB/T34945—2017，2.1]3.5訪問控制accesscontrol一種確保數(shù)據(jù)處理系統(tǒng)的資源只能由經(jīng)授權(quán)實體以授權(quán)方式進(jìn)行訪問的手段。[來源：GB/T25069—2022，3.147]數(shù)據(jù)資產(chǎn)確認(rèn)工作指南范圍本標(biāo)準(zhǔn)提供了數(shù)據(jù)資產(chǎn)確認(rèn)的工作框架，數(shù)據(jù)資產(chǎn)初始確認(rèn)、變更確認(rèn)和終止確認(rèn)的指導(dǎo)和建議。本標(biāo)準(zhǔn)適用于指導(dǎo)組織進(jìn)行數(shù)據(jù)資產(chǎn)確認(rèn)工作。規(guī)范性引用文件（包括所有的修改單適用于本標(biāo)準(zhǔn)。GB/T33172資產(chǎn)管理綜述、原則和術(shù)語GB/T35295信息技術(shù)大數(shù)據(jù)術(shù)語DB33/T2227.2—2021資產(chǎn)分類與編碼規(guī)范第2部分：資產(chǎn)多維分類編碼DB33/T2227.3—2021資產(chǎn)分類與編碼規(guī)范第3部分：資產(chǎn)卡片信息多維描述GB/T33172和GB/T35295界定的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1組織organization具備職責(zé)、權(quán)限和相互關(guān)系等自身職能、以實現(xiàn)其目標(biāo)的一組人。[來源：GB/TGB/T33172和GB/T35295界定的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1組織organization具備職責(zé)、權(quán)限和相互關(guān)系等自身職能、以實現(xiàn)其目標(biāo)的一組人。[來源：GB/T33172—2016，3.1.13，有修改]3.2數(shù)據(jù)資產(chǎn)dataasset組織過去的交易或事項形成的，由組織合法擁有或控制的，為組織帶來經(jīng)濟(jì)價值的數(shù)據(jù)資源。注：頁、數(shù)據(jù)庫、傳感信號等結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù)。[來源：GB/T40685—2021，3.1，有修改]3.3數(shù)據(jù)資產(chǎn)確認(rèn)dataassetconfirmation3.4數(shù)據(jù)溯源dataprovenance1工作框架總體工作組織建立與實施數(shù)據(jù)資產(chǎn)管理內(nèi)部控制對開展數(shù)據(jù)資產(chǎn)確認(rèn)工作是十分必要的，宜參照GB/T33173數(shù)據(jù)資產(chǎn)確認(rèn)工作環(huán)節(jié)包括初始確認(rèn)、變更確認(rèn)和終止確認(rèn)。指導(dǎo)框架數(shù)據(jù)資產(chǎn)確認(rèn)工作框架包括以下內(nèi)容：工作制度：梳理數(shù)據(jù)資產(chǎn)確認(rèn)工作需遵循的相關(guān)法律法規(guī)與政策文件，基于數(shù)據(jù)資產(chǎn)管理內(nèi)部控制，制定數(shù)據(jù)資產(chǎn)確認(rèn)工作程序，明確初始確認(rèn)、變更確認(rèn)和終止確認(rèn)等環(huán)節(jié)的要求，確保決策、執(zhí)行和監(jiān)督相互分離，形成制衡；AA.1流程，匯合采購、生產(chǎn)、使用、數(shù)據(jù)資產(chǎn)管理、財務(wù)等相關(guān)部門共同繪制作業(yè)流程圖，制定作業(yè)指導(dǎo)書，設(shè)計工作表單票據(jù)；工作執(zhí)行：明確作業(yè)崗位及人員，配備軟硬件執(zhí)行工具，按照作業(yè)流程和指導(dǎo)書執(zhí)行作業(yè)，并保護(hù)好作業(yè)痕跡。初始確認(rèn)資產(chǎn)識別識別要素數(shù)據(jù)名稱：文件名、表名、列名等；數(shù)據(jù)存儲方式：主要包括數(shù)據(jù)庫、文件系統(tǒng)、對象存儲系統(tǒng)等；22227.2—2021和DB33/T2227.3—2021；數(shù)據(jù)脫敏狀態(tài)：已脫敏、未脫敏；數(shù)據(jù)加密狀態(tài)：已加密、未加密；數(shù)據(jù)訪問控制：包括但不限于用戶訪問限制、網(wǎng)絡(luò)地址訪問限制、應(yīng)用訪問限制等。識別流程識別流程包括：識別數(shù)據(jù)資源環(huán)境信息，包括準(zhǔn)備識別工具，需要開放的端口、權(quán)限等；梳理組織擁有或控制的數(shù)據(jù)庫、文件系統(tǒng)、對象存儲系統(tǒng)等；對梳理出的文件系統(tǒng)和數(shù)據(jù)庫信息進(jìn)行結(jié)果核查和查缺補(bǔ)漏；識別文件系統(tǒng)及數(shù)據(jù)庫中的文件、數(shù)據(jù)字段等內(nèi)容；對識別出的文件、數(shù)據(jù)字段等進(jìn)行多維度標(biāo)識；形成初步的可能作為資產(chǎn)的數(shù)據(jù)資源清單。確認(rèn)條件判斷判斷關(guān)鍵點在識別基礎(chǔ)上判斷數(shù)據(jù)資源是否符合數(shù)據(jù)資產(chǎn)定義并同時滿足預(yù)期價值流入和可靠計量的確認(rèn)條件。判斷的關(guān)鍵點包括：過去的交易或事項形成；擁有或控制；預(yù)期價值流入；可靠計量。過去的交易或事項形成數(shù)據(jù)資源是組織過去的交易獲得、合法授權(quán)、自主生產(chǎn)等事項形成的。交易獲得的數(shù)據(jù)資源具有合法的交易憑證，如稅務(wù)發(fā)票。合法授權(quán)的數(shù)據(jù)資源具有合法合規(guī)的授權(quán)憑據(jù)，不合法的授權(quán)不符合確認(rèn)條件。自主生產(chǎn)的數(shù)據(jù)資源具有相應(yīng)的成本和費用支出。虛構(gòu)的、沒有發(fā)生的或者尚未發(fā)生的交易或事項不符合數(shù)據(jù)資產(chǎn)確認(rèn)條件。擁有或控制數(shù)據(jù)資源是組織合法擁有或者控制的，即享有某項數(shù)據(jù)資源的所有權(quán)，或者雖然不享有某項數(shù)據(jù)資源的所有權(quán)，但該數(shù)據(jù)資源能被合法控制。宜采用以訪問控制為核心的信息技術(shù)對數(shù)據(jù)資源進(jìn)行管控，可保證復(fù)雜網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)資源和服務(wù)被合法用戶使用，同時防止被非法用戶竊取和濫用。達(dá)不到有效控制條件的數(shù)據(jù)資源不符合數(shù)據(jù)資產(chǎn)確認(rèn)條件。C。預(yù)期價值流入3DB33/T1329DB33/T1329—2023DB33/T1329DB33/T1329—2023在判斷數(shù)據(jù)資源產(chǎn)生的經(jīng)濟(jì)利益是否很可能流入時，需對數(shù)據(jù)資產(chǎn)在預(yù)計使用壽命內(nèi)可能存在的各種經(jīng)濟(jì)因素作出合理估計，并且提供明確證據(jù)支持。不能明確預(yù)期價值流入的數(shù)據(jù)資源不符合數(shù)據(jù)資產(chǎn)確認(rèn)條件。可靠計量數(shù)據(jù)資源的成本能夠可靠地計量。無法進(jìn)行成本可靠計量的數(shù)據(jù)資源不符合數(shù)據(jù)資產(chǎn)確認(rèn)條件。確認(rèn)流程組織識別出可能作為資產(chǎn)的數(shù)據(jù)資源，經(jīng)判斷符合數(shù)據(jù)資產(chǎn)定義和確認(rèn)條件的，可確認(rèn)為數(shù)據(jù)資產(chǎn)。數(shù)據(jù)資產(chǎn)初始確認(rèn)工作由采購、生產(chǎn)、使用等部門提出請求，數(shù)據(jù)資產(chǎn)管理部門發(fā)起申請，財務(wù)部門啟動流程。財務(wù)部門確認(rèn)流程啟動至數(shù)據(jù)資產(chǎn)初始確認(rèn)的過程包括：采購、生產(chǎn)、使用等部門提供過去的交易或事項形成的證明材料；數(shù)據(jù)資產(chǎn)管理部門核實合法擁有或控制數(shù)據(jù)資源；財務(wù)部門核實滿足預(yù)期價值流入和可靠計量條件后確定數(shù)據(jù)資產(chǎn)成本；內(nèi)部決策機(jī)構(gòu)審定數(shù)據(jù)資產(chǎn)初始確認(rèn)。6變更確認(rèn)6變更確認(rèn)變更識別在數(shù)據(jù)資產(chǎn)使用、更新和維護(hù)過程中，進(jìn)行數(shù)據(jù)資產(chǎn)內(nèi)容變更識別。變更判斷變更確認(rèn)流程組織識別出數(shù)據(jù)資產(chǎn)變更內(nèi)容，經(jīng)評估判斷符合變更條件的，可變更確認(rèn)數(shù)據(jù)資產(chǎn)。數(shù)據(jù)資產(chǎn)變更確認(rèn)工作由采購、生產(chǎn)、使用等部門提出請求，數(shù)據(jù)資產(chǎn)管理部門發(fā)起申請，財務(wù)部門啟動流程。財務(wù)部門變更流程啟動至數(shù)據(jù)資產(chǎn)變更確認(rèn)的過程包括：采購、生產(chǎn)、使用等部門提供變更內(nèi)容的證明材料；數(shù)據(jù)資產(chǎn)管理部門核實數(shù)據(jù)資產(chǎn)變更的必要性；財務(wù)部門核實確定數(shù)據(jù)資產(chǎn)變更情形；內(nèi)部決策機(jī)構(gòu)審定數(shù)據(jù)資產(chǎn)變更確認(rèn)。7終止確認(rèn)7.1終止識別4在數(shù)據(jù)資產(chǎn)使用、更新和維護(hù)過程中，進(jìn)行數(shù)據(jù)資產(chǎn)終止確認(rèn)內(nèi)容識別。終止判斷對識別提出終止確認(rèn)的數(shù)據(jù)資產(chǎn)，判斷該數(shù)據(jù)資產(chǎn)是否不再符合數(shù)據(jù)資產(chǎn)的定義和確認(rèn)條件。終止確認(rèn)流程組織識別出數(shù)據(jù)資產(chǎn)終止內(nèi)容，經(jīng)判斷符合數(shù)據(jù)資產(chǎn)終止確認(rèn)條件的，可終止確認(rèn)。數(shù)據(jù)資產(chǎn)終止確認(rèn)工作由采購、生產(chǎn)、使用等部門提出請求，數(shù)據(jù)資產(chǎn)管理部門發(fā)起申請，財務(wù)部門啟動流程。財務(wù)部門終止流程啟動至數(shù)據(jù)資產(chǎn)終止確認(rèn)的過程包括：采購、生產(chǎn)、使用等部門提供不再符合數(shù)據(jù)資產(chǎn)的定義和確認(rèn)條件的證明材料；數(shù)據(jù)資產(chǎn)管理部門核實數(shù)據(jù)資產(chǎn)終止確認(rèn)的必要性；財務(wù)部門核實確定數(shù)據(jù)資產(chǎn)終止情形；內(nèi)部決策機(jī)構(gòu)審定數(shù)據(jù)資產(chǎn)終止確認(rèn)。55附錄 A（規(guī)范性）數(shù)據(jù)資產(chǎn)確認(rèn)工作模式圖圖A.1數(shù)據(jù)資產(chǎn)確認(rèn)工作模式圖6數(shù)據(jù)資產(chǎn)確認(rèn)工作模式見圖A.1。圖A.1數(shù)據(jù)資產(chǎn)確認(rèn)工作模式圖6附錄 B（資料性）數(shù)據(jù)資源溯源技術(shù)方法概述數(shù)據(jù)溯源模型時間-值中心溯源模型主要應(yīng)用于醫(yī)療行業(yè)，又稱Time-ValueCentric(TVC)模型。根據(jù)數(shù)據(jù)中的時間戳和流ID號來推斷醫(yī)療事件的序列和原始數(shù)據(jù)的痕跡。結(jié)合醫(yī)療領(lǐng)域數(shù)據(jù)源特點，處理醫(yī)療事件流的溯源信息。四維溯源模型開放數(shù)據(jù)溯源模型PrInt數(shù)據(jù)溯源模型PrIntProvenir數(shù)據(jù)溯源模型應(yīng)用在生物醫(yī)學(xué)科學(xué)、海洋學(xué)、傳感器、衛(wèi)生保健等領(lǐng)域，構(gòu)建起完整的數(shù)據(jù)溯源管理系統(tǒng)。ProVOC模型VocabularyProVOC模型由數(shù)據(jù)，活動和執(zhí)行實體三個基本類構(gòu)件組成，詳見GB/T34945—2017。數(shù)據(jù)溯源安全模型7數(shù)據(jù)溯源方法標(biāo)注法通過記錄處理相關(guān)的信息來追溯數(shù)據(jù)的歷史狀態(tài)。用標(biāo)注的方式來記錄原始數(shù)據(jù)的一些重要信息，并讓標(biāo)注和數(shù)據(jù)一起傳播，通過查看目標(biāo)數(shù)據(jù)的標(biāo)注來獲得數(shù)據(jù)的溯源。反向查詢法數(shù)據(jù)追蹤方法面向關(guān)系數(shù)據(jù)庫的溯源方法面向科學(xué)工作流的溯源方法分解算法、雙向指針?biāo)菰捶椒?，實現(xiàn)科學(xué)數(shù)據(jù)的高效追蹤。面向大數(shù)據(jù)平臺的溯源方法分解算法、雙向指針?biāo)菰捶椒?，實現(xiàn)科學(xué)數(shù)據(jù)的高效追蹤。面向大數(shù)據(jù)平臺的溯源方法面向區(qū)塊鏈的溯源方法8附錄 C（資料性）訪問控制技術(shù)方法概述訪問識別身份認(rèn)證實現(xiàn)統(tǒng)一用戶身份認(rèn)證管理，包括用戶基本信息管理、組織機(jī)構(gòu)信息管理、賬號生命周期管理等。經(jīng)過對網(wǎng)絡(luò)用戶身份進(jìn)行識別后，才允許遠(yuǎn)程登入訪問數(shù)據(jù)資源。行為驗證實現(xiàn)主體對客體的識別及客體對主體的檢驗確認(rèn)。控制策略實施通過數(shù)據(jù)脫敏技術(shù)，對某些敏感信息通過脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護(hù)，幫助安全地使用脫敏后的真實數(shù)據(jù)集。通過數(shù)據(jù)加密技術(shù)，在軟件和硬件方面采取措施，提高數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破譯。包括數(shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)存儲加密技術(shù)、數(shù)據(jù)完整性的鑒別技術(shù)和密鑰管理技術(shù)等。合理地設(shè)定控制規(guī)則集合，確保用戶對信息資源在授權(quán)范圍內(nèi)的合法使用。防止非法用戶侵權(quán)進(jìn)入系統(tǒng)，使有價值的信息資源泄露。并對合法用戶，也不能越權(quán)行使權(quán)限以外的功能及訪問范圍。應(yīng)明確人員訪問權(quán)限，遵循權(quán)