ISO38505数据治理安全管理体系认证是什么
ISO38505数据治理安全认证是全球首个针对企业数据安全治理的管理体系认证,代表了数据治理安全的国际通行要求。数据治理安全是全球新兴的安全理念,包括企业数据资产的安全管理、数据使用的安全管控、数据治理的安全稽核等。数据治理安全体系是一种动态安全体系,面向的是支持业务系统的数据,数据是可以流转、使用的、共享的,并从治理和技术两个视角看数据服务及技术生命周期,进行安全等级的划分。
ISO/IEC38505-1标准定义了ISO/IEC 38500《组织的信息技术治理》( 以下称ISO/IEC 38500 )在数据治理中的应用,提出了数据治理的意义、原则、模型和特征,并明确了数据治理的任务、实施导则和应用,包括:
1、明确了数据治理的意义、治理主体的职责、数据治理的监督机制;
2、在ISO/IEC 38500的基础上,进一步明确数据治理的“E (评估)-D(指导) -M(监督)”方法论;
3、提出了数据采集、存储、报告、决策、发布、处置相关的治理任务;
4、明确如何将ISO/IEC 38500所定义的“责任、战略、获取、绩效、合规、人员行为”六大原则应用到数据治理中;
5、提出了ISO/IEC 38500治理模型的应用方法;
6、提出基于“价值、风险和约束”数据特性的治理导则;
7、提出了数据责任矩阵表及其应用方法。
ISO/IEC38505-1的正式发布,代表着由我国提出的数据治理理念和方法论在国际上已达成共识,是中国对国际标准的重要贡献。
数据治理的目标
数据治理的目标是建立标准化、集成、保护和存储公司数据的方法,职责集和流程。组织的主要目标应该是:
1、降低风险;
2、建立数据使用内部规则;
3、实施合规要求;
4、改善内部和外部沟通;
5、增加数据价值;
6、方便数据管理;
7、降低成本;
8、通过风险管理和优化来帮助确保公司的持续生存。
申请ISO38505认证的基本条件
1、具有独立法人资格,公司成立3个月以上;
2、提供大数据相关项目材料:需求、设计、测试;
3、最终成果验收、功能截图等;
4、依据ISO38505标准建立体系,并运行3个月以上;
5、至少进行一次内审、管理评审。
申请ISO38505认证流程
1、认证中心编写体系文件初稿;
2、企业依据中心提供的资料清单,准备项目实施、运营文档;
3、识别企业认证范围涉及的数据资产,共同完成数据治理资料;
4、中心检查资料完备性,双方补充资料记录,共同完成体系运行记录;
5、现场审核、不符合整改、发证。
申请ISO38505认证的意义
1、高效运营;
2、从根本上解决数据质量问题;
3、规范和共享的需要;
4、风险管理的需求;
5、管理创新需要;
6、业务流程和资源配置的优化,可以提高业务管理能力;
7、避免出了问题再补漏,数据管理部门和生产部门相互推脱责任。
ISO38505认证流程和要求
1. 申请ISO38505认证的基本条件
要申请ISO38505认证,企业需要满足一些基本条件。首先,公司需要具有独立法人资格,并且公司成立至少3个月以上。其次,企业需要提供大数据相关项目的材料,包括需求、设计、测试等,并经过最终成果验收和功能截图等步骤。此外,企业还需要依据ISO38505标准建立体系,并运行至少3个月以上,同时进行至少一次内审和管理评审。
2. 申请ISO38505认证的流程
申请ISO38505认证的流程包括以下几个步骤:
收集基本信息并递交认证申请:这是认证流程的第一步,需要收集企业的基本信息,并根据这些信息编写体系文件初稿,同时准备项目实施和运营文档。
编写体系文件初稿:企业在接到认证中心提供的资料清单后,需要依据这些资料清单准备项目实施和运营文档。
识别企业认证范围涉及的数据资产:企业需要与认证中心共同完成数据治理资料的识别和编制工作。
检查资料完备性:认证中心会检查企业的资料是否完备,双方需要补充资料记录,共同完成体系运行记录。
现场审核、不符合整改、发证:在完成上述步骤后,认证中心会对企业进行现场审核,发现不符合项的企业需要进行整改,整改完成后即可获得ISO38505认证证书。
3. 申请ISO38505认证的意义
ISO38505认证可以帮助企业实现高效运营,从根本上解决数据质量问题,同时也能规范和共享数据资源,满足风险管理的需求,推动管理创新,优化业务流程和资源配置,从而提高业务管理能力。此外,通过ISO38505认证,企业还可以避免出现数据问题后再进行补救,避免数据管理部门和生产部门相互推脱责任。
4. ISO38505认证标准的主要内容
ISO38505认证标准主要涉及数据治理的意义、原则、模型和特征等方面。它明确了数据治理的意义、治理主体的职责以及对数据治理监督机制的要求,并提出了数据治理框架,包括目标、原则和模型,以帮助治理主体评估、指导和监督数据利用的过程。此外,ISO38505还沿用了IT治理的六条基本原则:职责、战略、获取、绩效、合规和人员行为,并具体阐述了这些原则如何指导数据治理中的决策。
