ISO38505數據治理安全標準
隨著大數據時代來臨,數字技術從助力經濟發展的工具轉變為引領經濟發展的核心。據IDC(國際數據公司)預測,2025年中國數據規模將達到 48.6ZB,總量將躍居世界第一。如此龐大的數據量之下,數據賦能企業價值的前景將大有可為。為保證數字化建設高質、高效、安全,不可或缺的便是開展數據治理。本文將從數據治理的角度出發,介紹該領域最新的國際標準ISO 38505-1.探討該標準的認證實踐。
1)背景
數據治理是指對數據資產管理行使權力和控制的活動集合(規劃、監督和執行),旨在為組織的數字化轉型奠基并賦能,助力實現數據資產的價值最大化,并拓展數字化應用的想象空間。
ISO(國際標準化組織)于2008年推出第一個IT治理的國際標準:ISO 38500.隨后在2015年巴西會議上形成決議,將數據治理國際標準分為兩個部分:ISO/IEC 38505-1《基于ISO/IEC 38500的數據治理》(以下稱ISO 38505-1)和ISO/IEC TR 38505-2《數據治理對數據管理的影響》。目前,ISO/IEC 38505-1已正式發布,并沿用了ISO 38500 IT治理框架的原則及模型。
2)ISO 38505-1標準內容
ISO 38505-1闡述了數據治理的意義,明確了治理主體的職責以及對數據治理監督機制的要求,提出了數據治理框架(包括目標、原則和模型)以幫助治理主體評估、指導和監督數據利用的過程。
在目標方面,ISO 38505-1認為數據治理應在提升利用數據價值的同時,確保合規約束和風險管控;在原則方面,ISO 38505-1沿用了IT治理的六條基本原則:職責(Responsibility)、戰略(Strategy)、獲取(Acquisition)、績效(Performance)、合規(Conformance)和人員行為(Human behavior),并具體闡述了這些原則如何指導數據治理中的決策;在模型方面,ISO 38505-1認為治理主體應運用評估(evaluate)-指導(Direct)-監督(Monitor)的EDM模型來開展數據治理工作,如下圖所示:
ISO 38505-1 EDM模型
EDM模型用于評估、指導和監督
評估:當前及未來的數據使用情況。例如評估數據方面的公司戰略與商業模式、技術工具的應用情況等。
指導:編制及實施戰略和政策,以確保數據使用符合業務目標。圍繞評估情況制定數據戰略及相應的治理體系政策。
監督:政策及戰略的落地執行情況。建立相應的監督機制以確保在組織內部推行相關措施,例如將相關治理指標納入KPI考核體系等。
其中,數據治理范圍需涵蓋數據治理責任圖——收集、存儲、報告、決策、發布和處置。
ISO 38505-1 數據治理責任圖
在實際數據應用中,企業通過創建、采集、采購等方式來收集數據并進行存儲,將數據運用于報告分析、輔助決策來發揮其價值,并在某些情況下發布給外部各方或進行刪除處置。因此數據責任圖涵蓋了數據應用范圍,以促進企業改進數據責任點的管理,確保數據這一關鍵資產滿足不同業務場景的需要和監管合規的要求。
數據責任圖可結合數據治理的3個特征:價值(Value)、風險(Risk)和約束(Constraints)進行評估。其中,數據價值包括數據質量、時效性、體量和語境;數據風險包括風險管理、數據分類和安全性;約束包括法律法規、組織政策等內容。
3)ISO 38505-1標準重點解讀
數據治理的責任主體在治理層,治理層在開展數據治理的過程中主要通過制定數據戰略來指導數據管理活動,而管理層需要通過管理活動來實現戰略目標。同時,治理主體需要通過建立數據政策來保障數據管理活動符合數據戰略的需要,進而滿足企業的戰略目標。數據治理體系文檔由數據戰略和數據政策組成。
ISO 38505-1標準主要內容
4)ISO 38505-1認證實踐
4.1 數據治理體系文檔編纂
數據治理體系的文檔需體現ISO 38505-1標準的指導思想和涵蓋內容,但并非照本宣科,而是以該標準為綱,首先對企業的數據治理現狀做自上而下全面的摸排檢視,再根據實際情況對既有的治理體系進行完善設計,形成完整而符合標準的數據治理體系文檔。
根據標準的要求,數據戰略需適配公司的業務戰略。因此在制定時需對公司戰略情況有深入了解,如此才能有的放矢,真正起到數據治理對企業發展目標的賦能作用。
而數據政策通常可分為三級文檔:一級文檔作為總綱,對治理體系進行指導和治理域框架劃定,主要涵蓋治理體系的方針目標、組織架構、治理域范圍等內容;二級文檔作為管理規范,涵蓋ISO 38505-1標準中的核心要求,建立各治理域的管理政策;三級文檔作為管理程序,具體構建管理規范在企業中的運行管理流程及附上相應的模板、表單等。
在實際編纂過程中,值得注意的是:
a. 對數據治理現狀進行詳盡評估是體系文檔編纂前的一大參考要素,也是保障數據治理實現常態化管控的重要起點。數據治理體系文檔的建設基礎是體系內容符合ISO 38505-1標準的各個要求,而真正難點在于實現與企業既有業務流程的高契合度,這是治理體系標準落地的核心,否則難以持續性地推行落地。
b.ISO 38505-1的數據治理屬于廣義概念,企業在認證前需框定具體的數據治理認證范圍:數據范圍和數據治理域(如數據安全、數據質量)。因此數據治理體系文檔在規劃時應覆蓋具體認證范圍,并從全局視角規劃體系文檔數量和各治理域要點。一方面是為了避免體系內部出現不必要的重復,另一方面是為了避免與企業其他文檔發生沖突或產生冗余而增大后續落地運行的難度。
c.數據治理體系文檔要符合ISO 38505-1標準的要求,除了內容需將標準中的要點覆蓋全面以外,還應從治理主體角度考慮,如何將體系文檔對應納入EDM 模型之中,從而體現治理層在開展數據治理工作時對EDM模型的運用。
4.2 體系宣貫與試運行
“實踐是檢驗理的唯一標準”
試運行階段是對已搭建完成的數據治理體系進行的一次測試,同時也是體系建設者對體系尋錯、糾正、調整的一次絕佳時機,更重要的是,該階段踐行著PDCA戴明環中“檢查(Check)”和“處理(Act)”兩個環節,為體系后續真正運行后進入下一循環做鋪墊。
PDCA循環管理模式圖
而數據治理體系的試運行工作終究是要落在各項涉及治理管控措施的負責人(包括實施者)手上,缺乏對這些體系所涉及的“一線”人員進行意識培訓與體系引導,很可能會導致辛苦建設完成的數據治理體系成為一紙空文。
當然,治理體系的培訓宣貫也需要講究方法與對策。這一過程通常會面對兩種挑戰:一是對涉及體系的多數人員來說都是初次接觸數據治理領域,直接灌輸治理體系知識反而效果差;再者,不同部門、不同角色對數據治理體系控制域的側重點不一樣,業務部門可能更關注數據利用的效率,安全部門可能更關注敏感數據的保密性。因此,治理體系的培訓宣貫適宜循序漸進,同時為了提高效率,涉及相同治理域的部門或角色可集中進行培訓宣貫。
以價值為導向持續優化
數據治理體系的建設與投入始終是要以提升業務價值為導向,同時在數據治理體系的建設和維護過程中,需要注意避免對ISO 38505-1標準的教條式理解、缺少與企業實際業務場景的結合。最后需要強調的是,數據治理的落地建設是一項長期工程。企業需要不斷踐行PDCA循環,讓企業在數據治理方面持續地散發活力,讓數據與業務達到一個更加穩定、平衡的狀態,更自信地迎接來自信息時代的機遇與挑戰。
5)實踐指導意義
ISO 38505-1在國內已經形成了認證體系,申請機構可獲得由國家認可的認證機構頒發的證書。但由于ISO 38505-1認證較新、覆蓋面較廣,目前在國內獲得認證的機構并不多。但隨著數字化時代的來臨,數據一方面成為組織的重要資產和新興商業模式的助推器,一方面也衍生出安全風險問題。在此背景下,越來越多的企業已認識到數據治理在長期戰略層面的的價值和必要性。因此建議相關企業也與時俱進,把握時代轉型浪潮,考慮申請認證。從而提升自身的數據治理能力與國際接軌,提前在市場上取得先發優勢,為企業數字化轉型提供強勁動力,為未來的數據業務提前布局、奠定基礎。
ISO38505認證常見問題
1. ISO38505認證的性質
根據搜索結果,ISO38505認證并不是一次性的,而是一個持續改進的過程 2.這意味著企業需要建立符合ISO標準要求的管理體系,并持續監督和改進管理體系,以確保其持續符合ISO標準要求。
2. ISO38505認證的流程
申請ISO38505認證的基本條件包括具有獨立法人資格、公司成立3個月以上、提供大數據相關項目材料、依據ISO38505標準建立體系并運行3個月以上、至少進行一次內審和管理評審 。認證流程包括收集基本信息、編寫體系文件初稿、識別企業認證范圍涉及的數據資產、檢查資料完備性、現場審核、不符合整改和發證。
3. ISO38505認證的意義
ISO38505認證的意義在于高效運營、從根本上解決數據質量問題、規范和共享的需要、風險管理的需求、管理創新需要、業務流程和資源配置的優化以及避免出了問題再補漏。此外,ISO38505認證證書是全國通用的,這對于企業來說具有重要意義,能夠提升企業的市場競爭力,提高數據的可靠性和安全性,以及提高數據的規范性和一致性。
4. ISO38505認證的成本
雖然搜索結果中沒有直接提到ISO38505認證的成本,但可以推測,由于ISO38505認證是一個持續改進的過程,企業需要投入資源來維持和改進管理體系,這可能會帶來一定的成本。然而,這種投資可以通過提高業務管理能力、贏得更多商業機會、保護商業機密和客戶隱私等方式得到回報。
5. ISO38505認證的監督機制
ISO38505認證的監督機制包括定期的內審和管理評審,以及外部審核機構的評估和認證 。這些監督機制確保企業持續符合ISO標準要求,并不斷提升績效和滿足客戶需求。
6. ISO38505認證的法律責任
如果企業在初次審核中未能滿足所有要求,審核機構將提供具體的改進建議和指導,企業可以進行改進并重新申請認證 。這表明企業在申請ISO38505認證時必須承擔法律責任,確保其管理體系符合ISO標準的要求。
7. ISO38505認證的有效期
搜索結果中沒有明確提及ISO38505認證的有效期,但一般來說,認證的有效期取決于認證機構的規定。企業需要在規定的時間內重新申請認證,以保持其管理體系的合規性和有效性 。
8. ISO38505認證的全球通用性
ISO38505認證是全球通用的,被廣泛接受和認可。獲得ISO38505認證可以證明企業在數據治理安全方面符合國際標準,增加了企業在國際市場上的競爭力和信譽 。
以上是對ISO38505認證常見問題的一些解答,希望對您有所幫助。如果您還有其他問題,歡迎繼續提問。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
