DB33T 1329-2023數(shù)據(jù)資產確認工作指南

數(shù)據(jù)資產確認工作指南2023-11-05發(fā)布2023-12-05實施浙江省市場監(jiān)督管理局發(fā)布1數(shù)據(jù)資產確認工作指南僅該日期對應的版本適用于本標準；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本GB/T35295信息技術大數(shù)據(jù)術語DB33/T2227.2—2021資產分類與編碼規(guī)范第2部分：資產多維分類編碼DB33/T2227.3—2021資產分類與編碼規(guī)范第3部分：資產卡片信息多維描述數(shù)據(jù)資產確認dataassetconfirmation2數(shù)據(jù)在整個生存周期內(從產生、傳播到消亡)的演變信息和演變處理內容的記錄。一種確保數(shù)據(jù)處理系統(tǒng)的資源只能由經授權實體以授權方式進行訪問的手段。4工作框架4.1.1組織建立與實施數(shù)據(jù)資產管理內部控制對開展數(shù)據(jù)資產確認工作是十分必要的，宜參照GB/T33173的要求建立數(shù)據(jù)資產管理體系。通過制定數(shù)據(jù)資產管理以及確認工作制度，明確數(shù)據(jù)資產管理責任制，規(guī)范數(shù)據(jù)資產確認工作。4.1.2數(shù)據(jù)資產確認工作環(huán)節(jié)包括初始確認、變更確認和終止確認。數(shù)據(jù)資產確認工作框架包括以下內容：a)工作制度：梳理數(shù)據(jù)資產確認工作需遵循的相關法律法規(guī)與政策文件，基于數(shù)據(jù)資產管理內部控制，制定數(shù)據(jù)資產確認工作程序，明確初始確認、變更確認和終止確認等環(huán)節(jié)的要求，確保決策、執(zhí)行和監(jiān)督相互分離，形成制衡；b)工作流程：數(shù)據(jù)資產確認工作模式見附錄A圖A.1,需對照圖A.1細化梳理數(shù)據(jù)資產確認工作c)工作執(zhí)行：明確作業(yè)崗位及人員，配備軟硬件執(zhí)行工具，按照作業(yè)流程和指導書執(zhí)行作業(yè)，并保護好作業(yè)痕跡。5初始確認5.1.1識別要素組織對過去的交易或事項形成的數(shù)據(jù)資源進行梳理，識別出可能作為資產的數(shù)據(jù)資源。識別要素主要包括以下方面：a)數(shù)據(jù)來源：可追蹤、可溯源，來源清晰，包括交易獲得、合法授權、自主生產等。數(shù)據(jù)溯源技術方法參見附錄B;b)數(shù)據(jù)名稱：文件名、表名、列名等；c)數(shù)據(jù)存儲方式：主要包括數(shù)據(jù)庫、文件系統(tǒng)、對象存儲系統(tǒng)等；d)數(shù)據(jù)存儲位置：在特定的邏輯存儲類型下，數(shù)據(jù)具體存儲位置。例如特定數(shù)據(jù)庫的特定表或特定文件系統(tǒng)的特定目錄；e)數(shù)據(jù)狀態(tài)：根據(jù)數(shù)據(jù)訪問頻繁程度進行區(qū)分的一種描述方式。包括活躍狀態(tài)、留存狀態(tài)、休眠3DB33/T1329—2023f)數(shù)據(jù)使用場景：根據(jù)不同使用需要進行區(qū)分的一種描述方式。例如運維場景、開發(fā)場景、業(yè)務g)數(shù)據(jù)分類分級：根據(jù)國家及行業(yè)對數(shù)據(jù)分類分級的要求，結合自身數(shù)據(jù)業(yè)務特性，對數(shù)據(jù)進行分類分級。多維分類方法見DB33/T2227.2—2021和DB33/T2227.3—2021;h)數(shù)據(jù)脫敏狀態(tài)：已脫敏、未脫敏；i)數(shù)據(jù)加密狀態(tài)：已加密、未加密；j)數(shù)據(jù)訪問控制：包括但不限于用戶訪問限制、網(wǎng)絡地址訪問限制、應用訪問限制等。5.1.2識別流程a)識別數(shù)據(jù)資源環(huán)境信息，包括準備識別工具，需要開放的端口、權限等；b)梳理組織擁有或控制的數(shù)據(jù)庫、文件系統(tǒng)、對象存儲系統(tǒng)等；c)對梳理出的文件系統(tǒng)和數(shù)據(jù)庫信息進行結果核查和查缺補漏；d)識別文件系統(tǒng)及數(shù)據(jù)庫中的文件、數(shù)據(jù)字段等內容；e)對識別出的文件、數(shù)據(jù)字段等進行多維度標識；f)形成初步的可能作為資產的數(shù)據(jù)資源清單。5.2確認條件判斷5.2.1判斷關鍵點在識別基礎上判斷數(shù)據(jù)資源是否符合數(shù)據(jù)資產定義并同時滿足預期價值流入和可靠計量的確認條5.2.2.1數(shù)據(jù)資源是組織過去的交易獲得、合法授權、自主生產等事項形成的。5.2.2.2交易獲得的數(shù)據(jù)資源具有合法的交易憑證，如稅務發(fā)票。5.2.2.3合法授權的數(shù)據(jù)資源具有合法合規(guī)的授權憑據(jù)，不合法的授權不符合確認條件。5.2.2.4自主生產的數(shù)據(jù)資源具有相應的成本和費用支出。5.2.2.5虛構的、沒有發(fā)生的或者尚未發(fā)生的交易或事項不符合數(shù)據(jù)資產確認條件。5.2.3擁有或控制5.2.3.1數(shù)據(jù)資源是組織合法擁有或者控制的，即享有某項數(shù)據(jù)資源的所有權，或者雖然不享有某項數(shù)據(jù)資源的所有權，但該數(shù)據(jù)資源能被合法控制。5.2.3.2宜采用以訪問控制為核心的信息技術對數(shù)據(jù)資源進行管控，可保證復雜網(wǎng)絡環(huán)境下的數(shù)據(jù)資源和服務被合法用戶使用，同時防止被非法用戶竊取和濫用。5.2.3.3達不到有效控制條件的數(shù)據(jù)資源不符合數(shù)據(jù)資產確認條件。5.2.3.4訪問控制技術方法參見附錄C。45.2.4.1在判斷數(shù)據(jù)資源產生的經濟利益是否很可能流入時，需對數(shù)據(jù)資產在預計使用壽命內可能存在的各種經濟因素作出合理估計，并且提供明確證據(jù)支持。5.2.4.2數(shù)據(jù)資源預期會給組織帶來經濟利益，具備直接或者間接導致現(xiàn)金和現(xiàn)金等價物流入的潛力。5.2.4.3不能明確預期價值流入的數(shù)據(jù)資源不符合數(shù)據(jù)資產確認條件。5.2.5.1數(shù)據(jù)資源的成本能夠可靠地計量。5.2.5.2無法進行成本可靠計量的數(shù)據(jù)資源不符合數(shù)據(jù)資產確認條件。5.3.1組織識別出可能作為資產的數(shù)據(jù)資源，經判斷符合數(shù)據(jù)資產定義和確認條件的，可確認為數(shù)據(jù)5.3.2數(shù)據(jù)資產初始確認工作由采購、生產、使用等部門提出請求，數(shù)據(jù)資產管理部門發(fā)起申請，財務部門啟動流程。5.3.3財務部門確認流程啟動至數(shù)據(jù)資產初始確認的過程包括：b)數(shù)據(jù)資產管理部門核實合法擁有或控制數(shù)據(jù)資源；c)財務部門核實滿足預期價值流入和可靠計量條件后確定數(shù)據(jù)資產成本；d)內部決策機構審定數(shù)據(jù)資產初始確認。6變更確認在數(shù)據(jù)資產使用、更新和維護過程中，進行數(shù)據(jù)資產內容變更識別。對識別提出內容變更的數(shù)據(jù)資產，判斷是否進行數(shù)據(jù)資產管理變更，并評估是否符合數(shù)據(jù)資產變更6.3變更確認流程6.3.1組織識別出數(shù)據(jù)資產變更內容，經評估判斷符合變更條件的，可變更確認數(shù)據(jù)資產。6.3.2數(shù)據(jù)資產變更確認工作由采購、生產、使用等部門提出請求，數(shù)據(jù)資產管理部門發(fā)起申請，財務部門啟動流程。6.3.3財務部門變更流程啟動至數(shù)據(jù)資產變更確認的過程包括：a)采購、生產、使用等部門提供變更內容的證明材料；b)數(shù)據(jù)資產管理部門核實數(shù)據(jù)資產變更的必要性；c)財務部門核實確定數(shù)據(jù)資產變更情形；d)內部決策機構審定數(shù)據(jù)資產變更確認。7.1終止識別5在數(shù)據(jù)資產使用、更新和維護過程中，進行數(shù)據(jù)資產終止確認內容識別。7.2終止判斷對識別提出終止確認的數(shù)據(jù)資產，判斷該數(shù)據(jù)資產是否不再符合數(shù)據(jù)資產的定義和確認條件。7.3終止確認流程7.3.1組織識別出數(shù)據(jù)資產終止內容，經判斷符合數(shù)據(jù)資產終止確認條件的，可終止確認。7.3.2數(shù)據(jù)資產終止確認工作由采購、生產、使用等部門提出請求，數(shù)據(jù)資產管理部門發(fā)起申請，財7.3.3財務部門終止流程啟動至數(shù)據(jù)資產終止確認的過程包括：a)采購、生產、使用等部門提供不再符合數(shù)據(jù)資產的定義和確認條件的證明材料；b)數(shù)據(jù)資產管理部門核實數(shù)據(jù)資產終止確認的必要性；c)財務部門核實確定數(shù)據(jù)資產終止情形；6是重數(shù)據(jù)資產確認工作模式圖采購、生產和使用部門數(shù)據(jù)資產管理部門財務部門內部決菌機構雙是者肅量青更.可常計量星是五青香糖束7(資料性)數(shù)據(jù)資源溯源技術方法B.1概述數(shù)據(jù)資產的來源包括交易獲得、合法授權、自主生產的數(shù)據(jù)資源?？伤菰吹綌?shù)據(jù)資源形成來源方的交易、授權、生產來源，層層推進，一直追溯到數(shù)據(jù)的源頭。通過建立數(shù)據(jù)溯源模型，采用數(shù)據(jù)溯源方法，實現(xiàn)數(shù)據(jù)溯源及應用。B.2數(shù)據(jù)溯源模型B.2.1時間-值中心溯源模型主要應用于醫(yī)療行業(yè)，又稱Time-ValueCentric(TVC)模型。根據(jù)數(shù)據(jù)中的時間戳和流ID號來推斷醫(yī)療事件的序列和原始數(shù)據(jù)的痕跡。結合醫(yī)療領域數(shù)據(jù)源特點，處理醫(yī)療事件流的溯源信息。B.2.2四維溯源模型主要應用在地球學領域，將溯源看成一系列離散的活動集，這些活動發(fā)生在整個工作流生命周期中，并由四個維度(時間、空間、層和數(shù)據(jù)流分布)組成。通過時間維區(qū)分標注鏈中處于不同活動層中的多個活動，進而通過追蹤發(fā)生在不同工作流組件中的活動，捕獲工作流溯源和支持工作流執(zhí)行的數(shù)據(jù)溯源。B.2.3開放數(shù)據(jù)溯源模型從技術角度實現(xiàn)了不同系統(tǒng)之間交換時可用信息的溯源，允許并支持不同層級的描述同時存在，逐漸成為應用領域最為廣泛的數(shù)據(jù)溯源信息交換的執(zhí)行標準。支持實例級數(shù)據(jù)一體化進程的數(shù)據(jù)溯源模型，主要集中解決一體化進程系統(tǒng)中不允許用戶直接更新異構數(shù)據(jù)源而導致數(shù)據(jù)不一致的問題。由PrInt提供的再現(xiàn)性是基于日志記錄的，并將數(shù)據(jù)溯源納入一體化進程。B.2.5Provenir數(shù)據(jù)溯源模型應用在生物醫(yī)學科學、海洋學、傳感器、衛(wèi)生保健等領域，構建起完整的數(shù)據(jù)溯源管理系統(tǒng)。面向解決數(shù)據(jù)交易難題，ProVOC(ProvenanceVocabularyModel)數(shù)據(jù)溯源描述模型發(fā)布。ProVOC模型由數(shù)據(jù)，活動和執(zhí)行實體三個基本類構件組成，詳見GB/T34945—2017。B.2.7數(shù)據(jù)溯源安全模型面向防止惡意篡改數(shù)據(jù)溯源中起源鏈的相關信息，數(shù)據(jù)溯源安全與區(qū)塊鏈技術緊密相連、密切相關。構建基于區(qū)塊鏈技術的溯源管理模型成為數(shù)據(jù)溯源安全模型的重要選擇。8B.3數(shù)據(jù)溯源方法B.3.1標注法通過記錄處理相關的信息來追溯數(shù)據(jù)的歷史狀態(tài)。用標注的方式來記錄原始數(shù)據(jù)的一些重要信息，并讓標注和數(shù)據(jù)一起傳播，通過查看目標數(shù)據(jù)的標注來獲得數(shù)據(jù)的溯源。B.3.2反向查詢法也稱逆置函數(shù)法，通過逆向查詢或構造逆向函數(shù)對查詢求逆，根據(jù)轉換過程反向推導，由結果追溯到原數(shù)據(jù)的過程，是在需要時才計算的方法。B.3.3數(shù)據(jù)追蹤方法引用追蹤路徑和追蹤圖的概念，將表視圖作為元數(shù)據(jù)存儲為特定的存儲圖，通過解析程序提出查詢的特殊追蹤路徑，根據(jù)路徑從數(shù)據(jù)庫中提取出所需要的數(shù)據(jù)的方法。B.3.4面向關系數(shù)據(jù)庫的溯源方法面臨復雜的結構化查詢語言時，借助某種關聯(lián)將數(shù)據(jù)溯源過程轉化，對溯源數(shù)據(jù)進行計算、對溯源結果進行查詢。B.3.5面向科學工作流的溯源方法面向科學工作流的溯源計算方法是對不同階段的科學工作過程及產品信息進行溯源。采用繼承方法、分解算法、雙向指針溯源方法，實現(xiàn)科學數(shù)據(jù)的高效追蹤。B.3.6面向大數(shù)據(jù)平臺的溯源方法云計算環(huán)境下進行數(shù)據(jù)溯源，建立通信通道對虛擬層和物理層進行統(tǒng)一管理，實現(xiàn)云環(huán)境下存儲虛擬化，能夠快捷、安全地對數(shù)據(jù)溯源信息進行訪問。B.3.7面向區(qū)塊鏈的溯源方法借助面向區(qū)塊鏈技術的數(shù)據(jù)溯源方法，采用區(qū)塊鏈、智能合約、人工智能等安全算法，將數(shù)據(jù)溯源嵌入數(shù)據(jù)采集、數(shù)據(jù)確權、數(shù)據(jù)流通、數(shù)據(jù)交易、數(shù)據(jù)監(jiān)管等全生命周期節(jié)點。9C.1概述訪問控制技術方法是一套將所有的數(shù)據(jù)資源組織起來標識出來托管起來的方法。訪問控制中主體是提出訪問數(shù)據(jù)資源具體請求的發(fā)起者，可以是某一用戶，也可以是用戶啟動的進程、服務和設備等?？腕w是被訪問的數(shù)據(jù)資源，包括所有可以被操作的信息、文件、記錄，也可以是信息、文件、記錄的集合體。訪問控制內容包括訪問識別，控制策略實施和安全審計等。C.2訪問識別C.2.1.1實現(xiàn)統(tǒng)一用戶身份認證管理，包括用戶基本信息管理、組織機構信息管理、賬號生命周期管C.2.1.2經過對網(wǎng)絡用戶身份進行識別后，才允許遠程登入訪問數(shù)據(jù)資源。C.2.1.3對用戶身份認證信息生命周期的管理，支持身份認證信息的創(chuàng)建、注銷、修改、刪除等操作。實現(xiàn)主體對客體的識別及客體對主體的檢驗確認。C.3控制策略實施C.3.1通過數(shù)據(jù)脫敏技術，對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護，幫助安全地使用脫敏后的真實數(shù)據(jù)集。C.3.2通過數(shù)據(jù)加密技術，在軟件和硬件方面采取措施，提高數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破譯。包括數(shù)據(jù)傳輸加密技術、數(shù)據(jù)存儲加密技術、數(shù)據(jù)完整性的鑒別技術和密鑰