ISO38505数据治理认证
ISO/EC38505-1标准定义了ISO/EC 38500《组织的信息技术治理》(以下称ISO/EC 38500)在数据治理中的应用,提出了数据治理的意义、原则、模型和特征,并明确了数据治理的任务、实施导则和应用,包括:
1、明确了数据治理的意义、治理主体的职责、数据治理的监督机制;
2、在ISO/EC 38500的基础上,进一步明确数据治理的“E(评估)-D(指导)-M(监督)” 方法论;
3、提出了数据采集、存储、报告、决策、发布、处置相关的治理任务;
4、明确如何将ISO/IEC38500所定义的“责任、战略、获取、绩效、合规、人员行为”六大原则应用到数据治理中;
5、提出了ISO/EC 38500治理模型的应用方法;
6、提出基于"价值、风险和约束数据持性的治理导则;
7、提出了数据责任矩阵表及其应用方法。
ISO/EC38505-1的正式发布,代表着由我国提出的数据治理理念和方法论在国际上已达成共识,是中国对国际标准的重要贡献。ITSS分委会国际标准I作组将继续全面推进国际标准的研制、应用实践和藩地。
数据治理责任图包括收集、存储、报告、决策、发布和处置几个活动。组织通过收集来获取数据,经过存储、 报告、决策再到收集形成反馈牺环,以确保数据适合不同场景的需要,这样可以促进组织改进数据收集过程,同时提升企业的业务决策效率。对于不同业务类型的组织,数据治理责任图从治理的视角标识出治理主体需要关注的主题。
一、实施ISO38505数据治理基本条件:
1、具有独立法人资格,公司成立3个月以上
2、提供大数据相关项目材料:需求、设计、测试
3、最终成果验收、功能截图等
4、依据ISO38505标准建立体系,并运行3个月以上
5、至少进行一次内审、管理评审
二、实施ISO38505数据治理基本流程
1、我方编写体系文件初稿
2、贵司依据我司提供的资料清单,准备项目实施、运营文档
3、识别贵司认证范围涉及的数据资产,共同完成数据治理资料
4、我方检查资料完备性,双方补充资料记录;共同完成体系运行记录
5、现场审核、不符合整改、发证
随着云计算、物联网以及大数据越来越广泛的应用,人们获取信息变得越来越容易。面对海量数据,如何确保有效利用有价值的数据,并保护敏感数据的安全,完善数据管理,成为很多组织的迫切要求和责任。
《数据安全法》第二十七条也规定,“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。” 可见,只有对数据治理领域进行全面管理,才能够保证组织内部数据的安全、可靠和合规,实现数据价值最大化!
标准介绍
ISO/IEC 38505-1是全球首个针对企业数据安全治理的应用标准,全称为:《信息技术 IT治理 数据治理 第一部分ISO/IEC 38500在数据治理中的应用》。
标准提出了数据治理的意义、原则、模型和特征,并明确了数据治理的任务、实施导则和应用,具体包括:
1)数据治理机构的责任和监督机制;
2)责任、战略、获取、绩效、合规、人员行为的六大数据治理原则。
3)数据采集、存储、报告、决策、发布、处置的数据责任域。
4)数据治理的EDM模型——“E (评估)-D(指导) -M(监督)”。
5)基于“价值、风险和约束”数据特性的治理导则。
6)数据责任矩阵及其应用方法。
数据治理的EDM模型
ISO 38505数据治理管理体系认证适用于所有类型的组织,证书有效期三年。ISO 38505可以助力企业通过治理使数据从混乱到有序,在确保合规约束和风险管控的同时,提升数据使用价值。
资料提交
组织申请数据治理管理体系认证时,需提供以下资料:
1) 基本资料(营业执照、行政许可(如有)、临时场所清单等);
2) 管理手册、程序文件;
3) 适用的法律法规及标准的清单;
4) 数据责任图;
5) EDM 模型;
6)《管理体系认证申请书》中列出的内容;
如何选择ISO38505认证机构
在选择ISO38505认证机构时,需要考虑以下几个方面:
1. 认证机构的资格
无论是国内外的认证机构,境内经营的认证机构,其资格和认证状态均需向国家认证认可监督委员会备案1.同时,需要注意认证机构的资格是否有效,以及它们被批准的认证类别和认证领域的范围。这些信息可以在国家认证认可委员会(CNCA)的网站上公开查询。此外,还需要注意认证机构是否有关于违规/处罚的信息,或者其自身业务如何,可以通过查看工商信息来进行了解。
2. 审查小组的水平
例如,审核员的入职要求和行业要求是什么,比如某些组织要求审核员必须拥有60多名专业人员,并且审核员必须具有5-10年的行业经验,并且熟悉行业和认证程序1.现在,市场上许多认证机构聘用了大量的兼职审计师以控制成本,因此很难控制审计师的资格,专业水平和职业道德。
3. 认证机构的审核服务、声誉和品牌
由于管理系统的快速发展和新管理系统标准的出现,公司在选择时应考虑其未来需求,并且所选组织应能够对不同系统进行多次审核。认证机构的声誉和品牌也非常重要,许多公司已将“是否通过认证”的要求更改为“由哪个认证机构认证”。
4. 认证机构的行业优势
每个认证机构都有其优势产业,在某种程度上,这方面可以解释认证机构在该行业的审核经验以及审核员的水平;认证机构优势行业的客户群也可以反映出认证机构的行业地位。
5. 认证客户的整体素质
经代理商认证的客户在很大程度上反映了代理商的水平和定位。通常,认证机构将发布通过认证的客户列表。
6. 是否有违规行为
认证行业与其他商业运营完全不同,认证有很多要求和标准,其中大多数是原则性问题。但是,为了获得更多的成本优势,某些认证机构将10人日所需的审核次数减少到2或3人日,这严重违反了认证规则。
在选择ISO38505认证机构时,还需要注意该认证机构是否获得了中国合格评定国家认可委员会(CNAS)的认可,因为这表明该认证机构所颁发的证书在国际上也受到认可。不过,通过CNAS认可的认证机构通常会收取更高的认证费用。
此外,可以参考相关的认证咨询公司,如英伦凯悦等,它们在数据治理安全方向有专业的技术和实践经验,并且已经取得了ISO38505数据治理安全认证证书75.这样的认证咨询公司通常具有较强的技术实力、专业能力和品牌影响力,能够为企业提供高质量的认证服务。
