ISO/iec38505数据治理安全管理体系认证
ISO/IEC 38505数据治理认证是全球首个针对企业数据治理的管理体系认证,代表了数据治理的国际通行要求。数据治理是全球新兴的安全理念,包括企业数据的安全管理、质量管理、分类分级管理、数据治理的安全籍核等。数据治理体系是一种动态安全体系,面向的是支持业务系统的数据,数据是可以流转、使用的、共享的,并从价值、风险、约束三个维度对数据全生命周期进行管理。
业务背景
数据治理是指对数据资产管理行使权力和控制的活动集合(规划、监督和执行),旨在为组织的数字化转型奠基并赋能,助力实现数据资产的价值最大化,并拓展数字化应用的想象空间。
ISO(国际标准化组织)于2008年推出第一个IT治理的国际标准:ISO 38500.随后在2015年巴西会议上形成决议,将数据治理国际标准分为两个部分:ISO/IEC 38505-1《基于ISO/IEC 38500的数据治理》(以下称ISO 38505-1)和ISO/IEC TR 38505-2《数据治理对数据管理的影响》。目前,ISO/IEC 38505-1已正式发布,并沿用了ISO 38500 IT治理框架的原则及模型。
标准概述
ISO 38505-1阐述了数据治理的意义,明确了治理主体的职责以及对数据治理监督机制的要求,提出了数据治理框架(包括目标、原则和模型)以帮助治理主体评估、指导和监督数据利用的过程。在目标方面,ISO 38505-1认为数据治理应在提升利用数据价值的同时,确保合规约束和风险管控;在原则方面,ISO 38505-1沿用了IT治理的六条基本原则:职责(Responsibility)、战略(Strategy)、获取(Acquisition)、绩效(Performance)、合规(Conformance)和人员行为(Human behavior),并具体阐述了这些原则如何指导数据治理中的决策;在模型方面,ISO 38505-1认为治理主体应运用评估(evaluate)-指导(Direct)-监督(Monitor)的EDM模型来开展数据治理工作。
良好的数据治理有哪些好处?
良好的数据治理有助于组织确保在整个组织中使用数据通过以下方式对组织的绩效作出积极贡献:
● 服务、市场和业务创新;
● 数据资产的适当实施和操作;
● 明确保护和增值潜力的责任和问责制;
● 尽量减少不利或意外后果。
数据治理良好的组织应该:
● 为数据所有者和数据用户提供可信赖的交易组织;
● 能够为共享提供可靠的数据;
● 保护知识产权和数据产生的其他价值;
● 有政策和实践来阻止黑客和欺诈活动的组织;
● 准备将数据泄露的影响降至最低;
● 了解何时以及如何重用数据;
● 能够展示良好的数据处理实践。
组织在数据治理方面的职责
为了更好的治理数据,组织应该:
● 负责管理数据,并对本组织有效、高效和可接受地使用数据负责。
● 在有效、高效和可接受地使用数据方面的权力、责任和问责制源自其对组织治理的总体责任,以及对外部利益相关者(包括监管机构)的义务。
● 在数据治理中的主要作用是确保组织从数据和相关数据的投资中获得价值,同时管理风险并考虑约束。
● 此外,应确保清楚地了解本组织正在使用哪些数据以及使用这些数据的目的,并建立有效的管理制度,确保履行数据保护、隐私和尊重知识产权等义务。
数据治理的监督机制
组织应建立与业务对数据的依赖程度相适应的数据管理监督机制,包括:
● 应清楚了解数据对组织业务战略的重要性,以及使用这些数据对组织的潜在战略风险。对数据的重视程度应基于这些因素。
● 应确保其成员和相关治理机制(如审计、风险管理和相关委员会)以及管理人员对数据的重要性具有必要的知识和理解。
● 设立一个小组委员会,协助组织从战略角度监督本组织对数据的使用。
● 应确保为数据的治理和管理建立适当的治理框架。
● 应通过要求审计和独立评估等程序来确保治理有效,从而监测治理和数据管理机制的有效性。
认证流程
步骤1 —SGS根据组织的规模及业务类型提供定制化的建议,在您签署建议书后,审核即可开始。
步骤2 —SGS提供可选择的针对准备情况与薄弱环节的“预审”服务。
步骤3 —正式审核。
第一阶段:准备情况评估,对组织建立的文件化体系及其他重要体系进行评估,提出审核发现。
步骤4 —第二阶段:包括与工作人员面谈、文件记录的检查以及对工作实践的现场考察,提出审核发现。
审核合格后会签发证书。
步骤5 —根据合同,每半年或一年对体系和整改计划的实施进行监督审核。
步骤6 —证书签发满3年期后,实施再认证审核。
ISO38505认证周期
我们可以了解到ISO38505认证的周期主要取决于以下几个方面:
体系运行时间:按照ISO38505标准要求,企业建立的体系必须运行3个月以上才能申请认证。这是为了让企业有足够的时间来实施和运行ISO38505标准,确保各项规定得到有效执行。
认证流程的配合度:认证周期的长短还取决于企业的执行力度和对认证流程的配合度。如果企业能够积极参与认证过程,迅速响应认证机构的要求,那么认证周期可能会缩短。
管理体系的完善程度:企业在申请认证之前,需要有一个完善的数据治理体系。如果企业的管理体系不够成熟,需要花费更多的时间来进行整改和完善,这也会延长认证周期。
认证机构的工作效率:不同的认证机构工作效率可能有所不同,这也会影响认证周期的长短。一些高效的认证机构能够在短时间内完成审核和认证工作,从而缩短认证周期。
综上所述,ISO38505认证的周期一般在1-6个月之间。企业应该提前做好准备,确保体系的有效运行,并积极配合认证机构的工作,以期在最短的时间内完成认证。
