数据资产台账管理规范

数据资产台账管理规范1适用范围本规范适用于本单位及所属全资、控股子公司所有数据资产的台账全生命周期管理，覆盖数据资产梳理、登记、核验、更新、应用、归档、销毁全流程管控场景。纳入台账管理的数据资产包含本单位合法拥有或控制、可产生经济价值或社会效益的所有结构化、半结构化、非结构化数据，具体包括内部业务系统产生的原生数据、外部采购的授权使用数据、合作方共享的共有数据、公开渠道爬取的合规数据、沉淀的纸质档案电子化数据等，涉及国家秘密、商业秘密、个人信息的敏感数据资产需同步纳入台账特殊管控范畴。2术语和定义2.1数据资产：指本单位通过合法途径获取、持有或控制，具备明确使用场景、可直接或间接产生经济收益或管理价值的数据资源，需同时满足权属清晰、可计量、可访问三个核心条件。2.2数据资产台账：指记录数据资产全生命周期属性信息的统一管理载体，分为线上系统台账和线下纸质备案台账两类，线上台账为日常管理核心载体，线下台账为涉密、核心数据资产的补充备案载体。2.3元数据：指描述数据资产属性的信息，包含技术元数据（存储结构、字段规则、接口参数等）、业务元数据（业务含义、统计口径、使用场景等）、管理元数据（权属、分级、责任人、运维记录等）三类。2.4数据责任人：指对数据资产的真实性、准确性、合规性承担首要责任的人员，分为业务责任人、技术责任人、合规责任人三类，其中业务责任人为数据产生或归属部门的指定人员，技术责任人为数据存储、运维的信息技术部门指定人员，合规责任人为法务合规部指定人员。3职责分工3.1数据资产管理委员会：为台账管理最高决策机构，负责审批台账管理规范及相关细则、审批数据资产台账总目录、审批年度台账盘点报告及奖惩方案、协调跨部门数据资产权属争议、决策台账管理相关的重大事项。3.2数据管理部：为台账管理牵头执行部门，负责制定台账管理操作细则、统筹各部门开展数据资产梳理登记、建设运维台账管理系统、组织开展台账质量稽核、推动台账信息共享应用、对接各部门数据联络员开展业务培训、牵头开展年度数据资产盘点、负责台账管理考核打分。3.3业务部门：为数据资产的责任主体，负责梳理本部门所有数据资产、按照统一模板上报台账信息、及时更新台账变更内容、对上报信息的真实性和准确性承担首要责任、配合开展台账质量稽核和年度盘点、反馈数据资产应用效果。各业务部门需指定1名专职或兼职数据联络员，负责本部门台账管理的对接工作，人员变更需在3个工作日内告知数据管理部。3.4信息技术部：为台账管理技术支撑部门，负责台账管理系统的开发、运维、安全防护、漏洞修复；负责台账系统与各业务系统、元数据管理系统、数据服务平台的接口开发与维护，保障自动同步字段的准确性；负责数据资产存储信息的核验、备份策略落地；负责台账系统的等保测评工作，确保符合国家网络安全等级保护三级要求。3.5法务合规部：为台账合规管控部门，负责核验数据资产的权属合法性、审核数据资产分级分类的合规性、核查个人信息及涉密数据的管控措施有效性、审核对外共享数据资产的台账信息合规性、处理数据资产相关的权属纠纷及合规风险事件。3.6财务部：为台账价值管理部门，负责基于台账信息开展数据资产价值评估、将数据资产纳入国有资产登记体系、核算数据资产的成本与收益、将数据资产价值信息纳入单位资产负债表、对接上级单位开展数据资产统计上报工作。4数据资产台账内容构成台账实行统一字段标准，分为核心基础层、资产属性层、运维管理层、价值应用层四个模块，所有字段不得随意删减，确需新增字段需报数据管理部审批后统一调整。4.1核心基础层核心基础层为数据资产的基础识别信息，所有条目必填，具体包含以下字段：4.1.1资产唯一标识：采用18位统一编码规则，结构为“单位编码（2位）+数据域编码（2位）+业务线编码（3位）+资产类型编码（2位）+流水号（9位）”，其中单位编码总部为00、各子公司按序分配，数据域编码客户域为01、产品域为02、运营域为03、管理域为04、公共服务域为05，资产类型编码结构化为01、半结构化为02、非结构化为03，流水号按登记顺序自动生成，全局唯一不可重复。4.1.2资产名称：采用“时间范围+覆盖范围+业务含义+数据类型”的统一命名规则，不得使用模糊表述，例如“2024年上半年华东区域个人客户消费明细结构化数据”，禁止使用“消费数据”“用户数据”等歧义名称。4.1.3数据来源：内部产生数据需标注产生系统全称、采集时间、采集方式；外部采购数据需标注供应商全称、采购合同编号、授权使用范围、授权有效期；合作共享数据需标注合作单位全称、共享协议编号、使用限制；公开采集数据需标注采集渠道、采集时间、合规性说明。4.1.4数据结构：结构化数据需标注表名、字段总数、核心字段名称、字段类型、字段长度、约束条件、统计口径；半结构化数据需标注存储格式（JSON/XML等）、核心节点含义、嵌套层级；非结构化数据需标注存储格式（文档/音频/视频/图片等）、内容梗概、单个文件大小范围。4.1.5数据量级：结构化数据标注有效行数，半结构化/非结构化数据标注文件总数量、存储总容量，容量单位统一为GB或TB，精确到小数点后2位。4.2资产属性层资产属性层为数据资产的权属、合规、生命周期相关信息，所有条目必填，具体包含以下字段：4.2.1权属属性：标注所有权归属（本单位/子公司/多方共有）、使用权范围（内部使用/内部共享/对外授权）、使用限制（例如“仅可用于内部风控分析，不得对外提供”“个人信息数据需完成去标识化后方可使用”）。4.2.2分类分级：按照本单位《数据分类分级管理规范》标注一级分类、二级分类、安全等级，其中安全等级分为公开级、内部级、敏感级、核心级四级。4.2.3合规属性：标注是否涉及国家秘密、是否涉及商业秘密、是否涉及个人信息、是否完成合规备案，涉及个人信息的需标注是否完成去标识化/匿名化处理、是否获取用户授权、是否符合《个人信息保护法》相关要求。4.2.4生命周期属性：标注当前所处生命周期阶段（采集/存储/使用/共享/归档/销毁）、数据有效期、到期处置方式。4.3运维管理层运维管理层为数据资产的日常运维、权限、存储相关信息，由业务部门和信息技术部共同填报，具体包含以下字段：4.3.1责任主体：标注业务责任人、技术责任人、合规责任人的姓名、工号、部门、联系方式，确保权责清晰可追溯。4.3.2运维记录：标注最近一次更新时间、更新频次（实时/日/周/月/季度/年/按需）、最近一次质量校验时间、校验结果、历史问题整改记录。4.3.3存储信息：标注存储位置（本地服务器/私有云/公有云/离线存储介质）、具体存储路径、备份策略（全量/增量、备份频次、备份位置、备份保留周期）、加密方式（传输加密/存储加密、加密算法类型）。4.3.4权限配置：标注数据资产的访问权限等级、审批流程、历史权限申请及审批记录。4.4价值应用层价值应用层为数据资产的成本、收益、应用相关信息，由业务部门和财务部共同填报，具体包含以下字段：4.4.1价值评估信息：标注评估方式（成本法/收益法/市场法）、评估值、评估时间、评估机构（外部评估需标注机构名称）。4.4.2应用场景：标注已落地的应用场景名称、应用效果（例如“提升用户转化率12%”“降低风险损失320万元”）、应用起止时间。4.4.3共享流通记录：标注内部共享的申请部门、申请时间、用途、审批人；标注外部流通的合作方名称、流通时间、用途、合同编号、收益金额。4.4.4成本收益信息：标注年度采集成本、存储成本、运维成本、直接收益、间接收益、投入产出比。5数据资产台账建设流程5.1需求梳理阶段数据管理部每年度1月初牵头启动全量数据资产梳理工作，发布统一填报模板，各业务部门需在15个工作日内完成本部门所有数据资产的梳理填报，提交初步清单。数据管理部对照业务系统清单、采购合同、合作协议、历史台账开展初核，发现漏报、错报的，需在3个工作日内反馈业务部门补报修改。新增数据资产（含新产生、新采购、新合作获取的数据）需在投入使用前7个工作日内提交台账登记申请，禁止未登记的数据资产投入使用。5.2信息核验阶段数据管理部联合法务合规部、财务部、信息技术部开展多维度核验：法务合规部负责核验权属、合规属性的准确性；财务部负责核验价值评估、成本收益信息的准确性；信息技术部负责核验数据结构、存储信息、量级信息的准确性；数据管理部负责核验基础信息、运维信息、应用信息的准确性。核验不通过的条目需在5个工作日内退回业务部门修改重报，核验通过率低于90%的部门需提交书面说明。5.3编码入库阶段对核验通过的数据资产，由台账系统自动生成唯一标识，录入台账系统，同步对接元数据管理系统、业务系统接口，自动同步更新频次、量级、更新时间等可自动采集的字段，减少人工填报工作量，降低人为错误率。涉密数据资产的台账信息需单独录入涉密台账系统，不得接入公有云及公共网络。5.4目录发布阶段数据管理部汇总全量台账信息，编制分级分类的数据资产总目录，提交数据资产管理委员会审批，审批通过后5个工作日内发布到内部数据服务平台，公开级、内部级台账信息对全体员工开放查询，敏感级、核心级台账信息需经审批后方可查看。6台账日常管理要求6.1动态更新管理6.1.1自动更新：可通过接口采集的字段（包括数据量级、更新时间、访问量、备份记录）由系统实时自动同步，无需人工干预，信息技术部每月排查一次接口运行情况，接口故障需在24小时内修复，确保同步数据准确率100%。6.1.2定期更新：资产属性、责任主体、应用场景等相对稳定的字段，每季度末最后5个工作日由各业务部门数据联络员核对更新，无变更的需提交“无变更”确认，有变更的提交变更申请，数据管理部需在2个工作日内完成审核，审核通过后同步更新台账信息。6.1.3触发更新：发生以下情形的，业务部门需在3个工作日内提交变更申请：数据资产权属发生变更、数据资产分类分级调整、责任主体变更、数据资产有效期届满、数据资产销毁或归档。数据管理部收到申请后需联合相关部门核验变更真实性，核验通过后2个工作日内完成更新。6.1.4更新留痕：所有台账变更记录（含变更申请人、变更时间、变更内容、审批人、核验结果）需永久留存，数据资产销毁后相关变更记录仍需留存3年以上，禁止随意删除或篡改变更记录。6.2台账校验管理6.2.1日常抽查：数据管理部每月抽取不少于10%的台账条目开展校验，核对台账信息与实际数据资产的一致性，发现问题的下发整改通知书，业务部门需在5个工作日内完成整改，整改结果纳入月度考核。6.2.2季度全量稽核：每季度末由数据管理部牵头，联合多部门开展全量台账稽核，重点核查台账完整性（是否存在漏登资产）、准确性（字段信息是否与实际一致）、合规性（是否存在合规风险），稽核结果形成季度报告提交数据资产管理委员会，稽核通过率低于95%的部门需制定专项整改方案，限期1个月整改。6.2.3年度盘点：每年12月开展全量数据资产盘点，对照台账条目逐一核查实际存储的数据资产，做到账实相符，盘盈的资产需在10个工作日内补登台账，盘亏的资产需查明原因，明确责任主体，盘点结果作为年度考核的核心依据。6.3安全管理6.3.1权限管控：台账系统访问实行最小必要原则，普通员工仅可查询公开级、内部级台账的基础信息，敏感级、核心级台账信息查询需经部门负责人及数据管理部双重审批，台账系统管理员权限仅授予数据管理部2名指定工作人员，实行双人双钥管理，所有访问操作全程留痕，留存期限不低于10年。6.3.2数据防护：台账系统数据实行存储加密、传输加密，加密算法符合国家密码管理要求，每月开展一次漏洞扫描，每半年开展一次渗透测试，每年开展一次等保测评，确保系统安全稳定运行。6.3.3备份管理：台账数据每日开展全量备份，实行异地多节点存储，备份数据保留期限不低于10年，发生系统故障需在4小时内完成数据恢复，不影响正常业务使用。6.3.4涉密管控：涉及国家秘密、核心商业秘密的数据资产台账信息仅可存储在本地涉密服务器，不得接入公共网络，访问需经单位主要负责人审批，禁止拷贝、传播涉密台账信息，相关管理要求符合国家保密规定及单位保密制度。6.4归档与销毁管理6.4.1归档：达到归档条件的数据资产，台账信息需同步归档至电子档案管理系统，与对应数据资产的电子档案、纸质档案关联，归档后的台账信息不得随意修改，确需修改的需经档案管理部门及数据管理部共同审批。6.4.2销毁：数据资产按照相关规定完成销毁的，业务部门需提交销毁申请，附销毁清单、销毁操作记录、销毁证明，经数据管理部、法务合规部审核通过后，在台账中标记为“已销毁”状态，保留所有历史记录，禁止直接删除台账条目。7台账质量管控体系7.1质量指标台账质量实行量化管控，核心指标如下：1）完整性：数据资产登记率100%，无漏登、瞒报；必填字段完整率100%，无空值；2）准确性：台账字段信息准确率≥99%，无虚假、错误信息；3）及时性：变更信息更新及时率100%，无延迟更新；4）合规性：台账信息合规率100%，无违反法律法规及内部规定的内容。7.2质量问题处置发现台账质量问题的，按照“谁产生谁负责、谁上报谁整改”的原则处置，一般问题（字段填写错误、信息滞后）需在3个工作日内完成整改，重大问题（漏登核心资产、虚假信息、合规风险）需在7个工作日内完成整改，整改完成后由数据管理部复核，复核不通过的再次下发整改通知，直到整改合格。7.3质量追溯建立台账质量全链路追溯机制，每条台账条目可追溯到上报人、核验人、更新人、审批人，出现质量问题的倒查全链路责任，明确责任主体。8台账应用管理8.1内部共享应用各部门需使用数据资产的，优先在台账目录中查询，找到对应资产后按照权限提交申请，审批通过后由数据管理部协调提供数据，避免重复采集、重复存储，降低数据管理成本。对于台账中已登记的可共享数据资产，业务部门重复采集的，产生的成本由本部门自行承担，同时纳入考核扣分。8.2对外流通应用对外提供、共享、授权使用数据资产的，需先在台账中核对资产权属、合规属性、使用限制，符合要求的方可走后续审批流程，流通完成后7个工作日内将流通记录录入台账价值应用层，作为价值核算的依据。8.3价值核算应用财务部每年末基于台账中的成本、收益、应用信息，开展数据资产价值重估，更新数据资产账面价值，将数据资产纳入单位资产负债表，对接上级单位完成国有资产登记上报。8.4决策支撑应用数据管理部每季度基于台账信息编制数据资产运营分析报告，梳理全单位数据资产总量、分类分布、应用情况、投入产出比，提出数据资产优化配置建议，为管理层决策提供支撑。8.5应用反馈机制数据使用部门在使用数据资产后7