附详解！全球首个数据资产管理国际标准（ISO 55013）正式发布

ISO55013标准为企业提供了在全球范围内适用的、系统全面的数据全生命周期管理指南，有助于企业在数据创新时代更好地管理和利用数据资产，增强了我国在全球数据资产管理领域的话语权和影响力。

据ISO55013标准召集人和项目负责人杨晓峰博士介绍，ISO55013标准涵盖了数据的定义、收集、存储、分析、使用、保护等各环节，为企业提供数据生命周期管理、数据质量管理、数据安全与保护、数据治理、数据价值实现等详细的实施指南和方法工具，支持企业进行分析决策、优化业务流程，增强竞争优势。

在国际标准ISO55013正式发布之际，南方财经全媒体记者专访杨晓峰博士，详解ISO55013标准的出炉全过程，以及在企业管理中的落地应用前景。他表示，有效的数据资产管理是对企业运营和战略的全面提升，将在南沙开展区域示范、优先落地应用，创建具有国际影响力的最佳实践案例，形成数字经济发展的“南沙经验”。

01

数据资源向数据资产转变，形成“南沙经验”

记者：通过治理和管理将数据资源变成数据资产，可以给企业带来哪些好处？

杨晓峰：将数据资源转化为数据资产，不仅是技术上的改进，更是对企业运营和战略的全面提升。企业通过有效的数据治理和管理，能够确保数据的准确性和一致性，基于高质量的数据，做出更加科学和精确的决策；能够优化业务流程，使各部门协同工作更加顺畅，从而提高整体运营效率。以数据为创新驱动力，企业可以发现新的市场机会，识别和防范潜在风险，为客户提供更加个性化的精准服务，优化资源使用，实现可持续发展目标。

记者：一些企业在信息化转型过程中，已积累了大量数据，这是否对企业向数据资产管理的转变有所帮助？对于这一管理方式的转变，你有哪些建议？

杨晓峰：企业在信息化转型中积累的数据，为企业向数据资产管理的转变提供了重要基础。我认为，企业首先需要认识到自己已有涉及降本增效的数据是重要资产，通过系统化的管理和利用，可以带来实际价值。为实现转型，企业需要建立完善的数据治理框架，明确数据管理的职责和权限，制定数据管理政策和标准。可以借助先进的数据管理技术，如数据存储、数据分析、数据安全等，确保数据的准确性、一致性和安全性。人才方面，企业需要建立专业的数据管理团队，并推动数据文化建设，通过培训和教育提升员工的数据意识和数据素养。此外，在向数据资产管理转变的过程中，企业应采取循序渐进的策略，先从一些关键业务领域或项目入手，根据实际情况不断优化和改进，以此确保管理方式的平稳过渡。不同行业的企业还应灵活应用ISO55013标准，根据自身特点需求和数据管理的关键环节，寻找定制化的解决方案。

记者：接下来计划怎样推动ISO55013标准在南沙的落地，并形成最佳实践案例？

杨晓峰：ISO55013标准是源于南沙的。我们希望通过在南沙优先落地应用，助力南沙成为数据资产管理的标杆地区。作为标准的提出单位，广州市标准化研究院已将南沙作为ISO55013《数据资产管理指南》优先落地应用的核心区域，与南沙区市场监督管理局及社会各界共同努力推动标准落地推广，通过开展区域示范、加强多方合作、开展培训宣贯活动等方式，依托数据资产管理人工智能实验室的技术支持，创建具有国际影响力的最佳实践案例，形成数字经济发展的“南沙经验”。

02

30余国专家合力编写，在全球范围内适用

记者：ISO55013标准自2021年就已立项成功，十分具有前瞻性。当时怎么想到要聚焦数据资产？立项的想法是怎么产生的？

杨晓峰：标准的准备工作其实可以追溯到2019年底。当时，广州市标准化研究院和南沙区市场监督管理局共同申报了“广州南沙粤港澳科技创新团体标准服务平台研究与应用”国家市场监管总局科技项目。我担任这个项目的负责人。在项目建设和企业调研过程中，我们发现很多企业拥有大量数据，这些数据不仅具有巨大的潜在价值，而且一些企业已经从中获益匪浅。

例如，有一家企业研发了通过识别人类语言来判断儿童自闭症或老年人阿尔茨海默病几率的AI病理机器人，他们积累了大量数据，正是港澳医疗研发机构亟需的。然而，在当时这些数据普遍难以自由流通，通常只能作为具体商品的附属品进行交流。

这就启发我们，数据作为一种重要资源，亟需一个系统化、标准化的管理框架。于是，我开始为立项进行预研和筹备，也得到了南沙区市场监管局给予的很多支持，在一年多后，通过ISO/TC251(资产管理国际标准化技术委员会)的立项申请，启动了ISO55013标准的制定。

记者：ISO55013的立项、设计、审核等过程大致是怎样的？有哪些令人印象深刻的细节？

杨晓峰：ISO55013标准的立项、编制和审查过程主要经过了新工作项目提案、工作组草案、委员会草案、国际标准草案、最终国际标准草案、国际标准等阶段。在新工作项目提案阶段，项目组基于调研情况和社会发展对于数据资产管理的需求，提出了制定一个以资产管理为基础的系统化、标准化的数据资产管理国际标准的立项申请，并顺利通过立项投票。中国提案通过后，我被任命为ISO/TC251WG9的召集人和项目负责人，与来自30多个国家的专家组成了工作组，开始工作草案的编写。工作草案形成后，经过委员会草案、国际标准草案、最终国际标准草案阶段的多轮审查和修改，最终版本提交给ISO/TC251的全体成员国进行正式投票和批准。投票获批后，ISO55013正式发布成为国际标准，开始在全球范围内推广和实施。

工作组专家由各国推荐组建，不同文化之间的协调和沟通成为一大挑战，仅数据资产这一术语的定义就不断被挑战和修改，整个过程持续了两年多，经过无数质疑和修订，才最终达成共识并稳定下来。这样形成的一整套专业且包容性的逻辑表述，使得标准能够在不同的法律和政策环境中广泛适用。身处不同时区的专家们展现了极高的专业奉献精神和合作精神，不仅提升了标准质量，也加深了成员之间的理解和合作。

记者：从立项之初就瞄准国际标准，这对于我国企业参与国际竞争有哪些意义？

杨晓峰：提出国际标准提案某种程度也真实反映了我国在数据管理领域的发展水平。作为国际标准，ISO55013有很高的全球认可度。采用ISO55013标准，意味着数据管理水平达到了世界认可的高度，有助于提升企业的信誉和国际竞争力，吸引国际投资和合作。ISO55013标准在制定过程中考虑了包括我国在内的各国的法律差异，通过包容性表述，使得标准在全球范围内都能适用，企业可以依此更好地适应国际环境，降低合规风险。参与ISO55013标准的制定和实施，有助于企业了解全球数据管理的最新趋势和技术，增强我国在全球数据管理领域的话语权和影响力。

 来源   数据要素社整理自南方财经全媒体、ISO国际标准化组织

以下是ISO 55013《资产管理 — 数据资产管理指南》详解

引言

0.1 概述

本文件提供了在应用资产管理原则或资产管理系统要求时管理数据的指南。这些原则和要求分别在ISO 55000和ISO 55001中描述。许多资产管理涉及决策，这些决策特别在较大和复杂的背景下依赖数据。

本文件旨在帮助组织在资产管理的背景下管理数据。有效的资产管理通常依赖于适当的数据管理，这些数据对资产是相关的。组织可以将数据作为一种资产进行管理，以支持其组织管理。本文件涵盖了支持资产管理实践的数据管理以及将数据作为资产进行处理。

注意：在本文件的目的范围内，术语“资产数据”指列出和描述资产的数据，而术语“数据资产”指具有资产属性的数据集合。

本文件为以下人员提供指导：

a) 确定数据在实现组织资产管理目标（包括履行其责任）方面的有用性或适用性；b) 参与资产管理背景下数据的建立、实施、维护、管理和改进；c) 参与基于数据的资产管理活动的规划、设计、实施和审查，以及服务提供者；d) 资产所有者、资产管理者、信息管理者、服务提供者、维护人员、合作伙伴、审计员、监管者和投资者；e) 内部和外部利益相关者，包括影响或受资产管理背景下数据管理影响的内部和外部人员（正面或负面）。

数据管理在其他管理系统以及资产管理系统中起着关键作用。同时，组织在集成和实施多个管理系统方面可以获得许多好处。实现与其他管理系统的相互对齐需要基于组织内适当的跨职能数据交换和分析的方法。

0.2 本文件的背景

在信息技术（IT）进步和利益相关者需求多样化的背景下，如何在资产管理的背景下管理数据现已成为许多组织面临的紧迫问题。随着组织规模的扩大和复杂性的增加，支持明智决策的可靠数据需求变得越来越重要。数据获取和维护对组织来说是一种成本，而数据的潜在价值在其使用或未来可用时才能实现。如果数据不可靠、过时和/或应用不当，其价值将降低。

因此，数据的角色从支持管理活动的资源转变为通过协调方式管理而产生价值的非物理资产，就像任何其他有形或无形资产一样。

在资产管理背景下，数据具有以下特征：

a) 与物理资产一样，资产数据遵循一系列生命周期阶段；它可以多次使用，尽管数据的有用性可能会随着生命周期的推进而变化；b) 如果未适当保护，数据可能会被盗窃；这种数据盗窃不会导致数据丢失，因此组织可能不会立即察觉，但会产生持续的负面影响；c) 数据易于复制、传输甚至损坏，但如果丢失、销毁或损坏，可能很难或不可能再现；d) 数据可以用于多种目的：同一数据甚至可以同时被多个人使用；同样，许多人和过程可以同时添加或更新数据；e) 当数据与其他资产结合时，可以产生新的价值；f) 许多数据的使用常常导致更多数据需要处理；大多数组织管理着越来越多的数据及其数据集之间的关系；g) 数据和信息在组织内部和/或两个职能或部门之间进行业务活动时是必不可少的；大多数从战略到操作级别的业务决策通常涉及数据共享。

尽管这些特征与其他资产相似，但作为一个整体，它们与其他资产类型的性质有所不同。这需要不同的方法来确保数据管理在资产管理背景下支持其目标。

不同的数据集可能被视为对组织成功至关重要的资产。在这种情况下，组织可以将这些数据集合视为数据资产。应将ISO 55000中描述的资产管理原则应用于数据资产的管理。

0.3 与ISO 55000和ISO 55001的关系

ISO 55000是实施资产管理的基础，因此是理解本文件的前提。

ISO 55001可以由组织应用于建立和实施资产管理系统。这同样适用于数据资产的资产管理系统。另一方面，由于组织的资产管理系统依靠基于信息或数据及其分析的决策，满足ISO 55001要求的资产管理系统的决策标准制定过程通常包括数据管理过程。因此，本文件帮助组织在其资产管理系统中包含数据资产。

1 范围

本文件提供了管理数据的指南，以支持组织实现其资产管理目标，进而实现其组织目标。

本文件适用于任何类型或规模的组织。

本文件不提供数据资产价值的导出或评估方法。

本文件不提供数据资产的财务价值导出方法。

本文件不为组织提供是否需要计算资产数据财务价值的方向。

2 规范性引用文件

下列文件在本文中引用，其全部或部分内容构成本文件的要求。对于注明日期的引用文件，仅引用所提及的版本适用。对于未注明日期的引用文件，最新版本的引用文件（包括任何修订）适用。

ISO 55000，资产管理 — 词汇、概述和原则

3 术语和定义

为本文件的目的，ISO 55000中的术语和定义以及以下术语和定义适用。

ISO和IEC维护用于标准化的术语数据库，可通过以下地址获得：— ISO在线浏览平台：https://www.iso.org/obp— IEC Electropedia：https://www.electropedia.org/

3.1 资产数据

列出和描述资产的数据

注1：资产数据可以以多种格式存在，如结构化数据、文档信息、传感器数据等，需要不同的管理方法。

注2：支持资产管理决策的数据可以被视为资产数据。

3.2 数据资产

具有资产属性的数据

注1：数据资产可以按照ISO 55001作为资产进行管理。

注2：资产数据（3.1）可以是多个数据资产的一部分。数据资产之间可以有关系。

3.3 类型

数据类型

具有一组值、一种表示这些值的语法和一组解释、操作或存储这些值的操作的数据类别

【来源：ISO/IEC 1539-1:2023，3.144，修改——增加了“或存储”】

3.4 元数据

定义和描述其他数据的数据

【来源：ISO 24531:2013，4.32】

3.5 数据质量

一组固有特性的程度，以满足要求

【来源：ISO 8000-2:2022，3.8.1，修改——删除了注释】

3.6 互操作性

两个或多个实体按照每个实体实现的规则和机制交换项目的能力，以执行其指定的任务

注1：实体的例子包括设备、装备、机器、人、过程、应用、计算机固件和应用软件单元、数据交换系统和企业。

注2：项目的例子包括服务、信息、标准中的材料、设计文件和图纸、改进项目、能耗减少计划、控制活动、资产描述和想法。

注3：在此背景下，实体向其他实体提供项目，并从其他实体接受项目，他们以这种方式交换的项目用于使他们能够有效地共同运作。

【来源：ISO 18435-1:2009，3.12，修改——定义中的“各自”改为“指定”，注释1和2扩展。注释3增加。】

3.7 管理职能

负责数据治理计划的战略指导的职能

注1：管理职能负责数据治理项目和计划的优先排序，组织范围内的数据政策和标准的批准，以及数据治理计划的持续支持、理解和意识。

注2：根据组织的文化，管理机构可以称为其他名称，如数据治理委员会、数据治理指导委员会/小组、数据治理咨询委员会/小组、数据监护委员会、数据所有者委员会。

4 数据管理的原则

4.1 数据作为资产管理的一部分

在资产管理背景下，数据的管理应遵循与其他资产管理相类似的原则。组织应将数据视为一种资产，并应用适当的管理实践以确保其质量、可用性和安全性。

4.2 数据生命周期管理

数据有其生命周期，包括数据的创建、使用、维护和处置。组织应定义和实施数据生命周期管理过程，以确保数据在其整个生命周期中的一致性和可靠性。

4.3 数据质量管理

数据质量对资产管理的有效性至关重要。组织应制定和实施数据质量管理计划，明确数据质量的标准和指标，并定期评估和改进数据质量。

4.4 数据治理

有效的数据管理需要明确的治理结构。数据治理包括制定数据政策、标准和程序，以及建立数据管理职责和权限。组织应确保数据治理得到充分资源的支持，并在组织内得到广泛的理解和遵循。

4.5 数据安全和隐私

数据安全和隐私是数据管理的重要方面。组织应制定和实施数据安全政策和程序，保护数据免受未经授权的访问、使用、披露、篡改或损毁。组织还应遵守相关的隐私法律和法规，保护个人数据的隐私。

4.6 数据集成和互操作性

资产管理系统中的数据通常需要与其他系统和数据源进行集成。组织应确保数据的互操作性，促进数据在不同系统和功能之间的无缝交换和共享。

4.7 数据分析和决策支持

数据的价值在于其能支持组织的决策过程。组织应制定数据分析策略，利用数据分析工具和技术，从数据中提取有价值的信息，以支持资产管理决策。

5 数据管理的实施

5.1 数据管理策略

组织应制定明确的数据管理策略，定义数据管理的目标、原则和方法。数据管理策略应与组织的资产管理策略和总体业务目标一致。

5.2 数据管理计划

基于数据管理策略，组织应制定具体的数据管理计划。数据管理计划应包括数据的创建、获取、维护、存储、使用、共享和处置的详细过程和方法。

5.3 数据管理角色和职责

为了有效地管理数据，组织应明确数据管理相关的角色和职责。这些角色和职责应包括数据所有者、数据管理员、数据使用者和数据治理委员会等。

5.4 数据管理工具和技术

组织应选择和使用适当的工具和技术来支持数据管理过程。这些工具和技术应包括数据存储和管理系统、数据质量管理工具、数据分析工具和数据安全工具等。

5.5 数据管理的培训和意识

组织应为员工提供数据管理相关的培训，提升其数据管理技能和意识。培训计划应包括数据管理的基本知识、工具使用技巧和数据治理政策的理解等。

5.6 数据管理的持续改进

数据管理是一个持续改进的过程。组织应定期评估数据管理的效果，识别改进机会，并实施相应的改进措施。数据管理的评估应包括数据质量评估、数据使用效果评估和数据治理评估等。

6 数据管理的评估和审计

6.1 数据管理评估

组织应定期评估其数据管理实践的效果。这些评估应包括数据质量、数据安全、数据治理和数据分析的评估。评估的结果应用于改进数据管理策略和计划。

6.2 数据管理审计

组织应定期进行数据管理审计，确保数据管理实践的合规性和有效性。数据管理审计应包括对数据管理政策、标准、程序和实际操作的审查。审计的结果应报告给数据治理委员会，并用于改进数据管理实践。

7 数据管理的风险管理

7.1 数据管理风险识别

组织应识别数据管理过程中可能存在的风险。这些风险包括数据丢失、数据泄露、数据质量问题和数据不完整等。风险识别应包括对数据生命周期各个阶段的风险评估。

7.2 数据管理风险评估

组织应评估识别到的数据管理风险的可能性和影响。风险评估应包括定量和定性的评估方法，并考虑风险对组织业务和资产管理目标的潜在影响。

7.3 数据管理风险控制

组织应制定和实施风险控制措施，以减少或消除数据管理风险。这些措施应包括数据备份、数据加密、访问控制和数据审计等。风险控制措施应根据风险评估的结果进行优先级排序和实施。

7.4 数据管理风险监控

组织应持续监控数据管理风险和控制措施的有效性。风险监控应包括定期的风险评估和审计，以及对数据管理过程的持续监控。风险监控的结果应报告给数据治理委员会，并用于改进风险管理策略。

8 数据管理的最佳实践

8.1 数据管理的标准化

组织应采用数据管理的最佳实践和标准化方法，以提高数据管理的效率和效果。标准化方法应包括数据格式、数据存储、数据交换和数据质量管理等方面的标准。

8.2 数据管理的自动化

组织应利用自动化技术来提高数据管理的效率。自动化技术应包括数据采集、数据处理、数据分析和数据报告等方面的自动化工具和系统。

8.3 数据管理的协作

组织应促进数据管理过程中的协作与沟通。协作应包括组织内部不同部门之间的协作，以及与外部合作伙伴、供应商和客户之间的协作。协作的目标是实现数据的高效共享和使用。

8.4 数据管理的创新

组织应鼓励数据管理的创新，利用新技术和方法改进数据管理实践。创新应包括大数据分析、人工智能、区块链和物联网等技术的应用，以提高数据管理的效果和价值。

结论

数据管理在资产管理中扮演着重要角色，组织应重视并积极实施数据管理实践。通过制定数据管理策略、实施数据管理计划、明确数据管理职责、选择适当的数据管理工具和技术、提供培训和提升意识，以及持续改进数据管理过程，组织可以有效地管理数据，支持资产管理目标的实现。

组织应定期评估和审计数据管理实践，识别和控制数据管理风险，并采用标准化、自动化、协作和创新的最佳实践，提高数据管理的效率和效果。通过这些措施，组织可以实现数据作为资产的最大价值，支持其业务和资产管理目标的达成。

为何选择DPOHUB？

优势包括但不限于：

• 跨学科的数据保护专家团队，法律、IT、风险、合规等复合背景

• 熟悉全球数据保护法和企业最佳实践的独立专家，没有利益冲突

• 熟悉全球监管性合规的挑战和障碍

• 能够进行与同行组织的基准比较

• 标准化服务：开发DPIA、个人信息保护合规审计等自动化生成软件

• 灵活定价：菜单式定制化服务
  

  
  

DPOHUB的核心服务

通知和建议

• 通知和建议控制者/处理者及员工关于适用数据保护法的义务

提供并确保合规

• 提供有关数据保护影响评估（DPIA）的建议，并在需要时进行DPIA

• 创建和维护处理活动登记册

监控合规

• 监控对适用数据保护法的合规情况

联系点(欧盟GDPR框架)

• 处理监管机构的查询

• 处理数据主体、处理者、控制者的查询或投诉

DPOHUB的增值服务

数据跨境传输影响评估 (TIA)

• 确定需要涵盖的传输

• 确定相关利益相关者

• 描述目的地国家的法律框架

• 概述独立机制的可用性

• 记录TIA

• 结束和/或修订必要合同

处理活动记录 (ROPA)

• 提供有关ROPA的建议

• 涉及利益相关者

• 设计、创建或修订ROPA的登记册

• 设计并对齐一个过程，明确角色和职责

• 记录关于数据处理的相关信息，如数据类别、处理目的和数据接收者

数据泄露事件应对

• 事前：事件应对预案

• 设计模板

• 与客户协同

• 泄露后：事件响应机制

• 迅速分析已识别的数据泄露

• 记录数据泄露

• 确定利益相关者

• 如有必要，向相关监管机构通报数据泄露

数据主体权利 (DSRs)

• 实施响应计划

• 审查和评估DSR的性质和有效性

• 捕获关于数据主体的所有个人信息

• 应用合法豁免（如适用）

• 记录与DSR相关的事实

• 直接与相关监管机构联络和互动

联系人：徐博士 

138 1664 6268  [email protected]

请备注：姓名+单位+职位