ISO38505数据治理安全标准
随着大数据时代来临,数字技术从助力经济发展的工具转变为引领经济发展的核心。据IDC(国际数据公司)预测,2025年中国数据规模将达到 48.6ZB,总量将跃居世界第一。如此庞大的数据量之下,数据赋能企业价值的前景将大有可为。为保证数字化建设高质、高效、安全,不可或缺的便是开展数据治理。本文将从数据治理的角度出发,介绍该领域最新的国际标准ISO 38505-1.探讨该标准的认证实践。
1)背景
数据治理是指对数据资产管理行使权力和控制的活动集合(规划、监督和执行),旨在为组织的数字化转型奠基并赋能,助力实现数据资产的价值最大化,并拓展数字化应用的想象空间。
ISO(国际标准化组织)于2008年推出第一个IT治理的国际标准:ISO 38500.随后在2015年巴西会议上形成决议,将数据治理国际标准分为两个部分:ISO/IEC 38505-1《基于ISO/IEC 38500的数据治理》(以下称ISO 38505-1)和ISO/IEC TR 38505-2《数据治理对数据管理的影响》。目前,ISO/IEC 38505-1已正式发布,并沿用了ISO 38500 IT治理框架的原则及模型。
2)ISO 38505-1标准内容
ISO 38505-1阐述了数据治理的意义,明确了治理主体的职责以及对数据治理监督机制的要求,提出了数据治理框架(包括目标、原则和模型)以帮助治理主体评估、指导和监督数据利用的过程。
在目标方面,ISO 38505-1认为数据治理应在提升利用数据价值的同时,确保合规约束和风险管控;在原则方面,ISO 38505-1沿用了IT治理的六条基本原则:职责(Responsibility)、战略(Strategy)、获取(Acquisition)、绩效(Performance)、合规(Conformance)和人员行为(Human behavior),并具体阐述了这些原则如何指导数据治理中的决策;在模型方面,ISO 38505-1认为治理主体应运用评估(evaluate)-指导(Direct)-监督(Monitor)的EDM模型来开展数据治理工作,如下图所示:
ISO 38505-1 EDM模型
EDM模型用于评估、指导和监督
评估:当前及未来的数据使用情况。例如评估数据方面的公司战略与商业模式、技术工具的应用情况等。
指导:编制及实施战略和政策,以确保数据使用符合业务目标。围绕评估情况制定数据战略及相应的治理体系政策。
监督:政策及战略的落地执行情况。建立相应的监督机制以确保在组织内部推行相关措施,例如将相关治理指标纳入KPI考核体系等。
其中,数据治理范围需涵盖数据治理责任图——收集、存储、报告、决策、发布和处置。
ISO 38505-1 数据治理责任图
在实际数据应用中,企业通过创建、采集、采购等方式来收集数据并进行存储,将数据运用于报告分析、辅助决策来发挥其价值,并在某些情况下发布给外部各方或进行删除处置。因此数据责任图涵盖了数据应用范围,以促进企业改进数据责任点的管理,确保数据这一关键资产满足不同业务场景的需要和监管合规的要求。
数据责任图可结合数据治理的3个特征:价值(Value)、风险(Risk)和约束(Constraints)进行评估。其中,数据价值包括数据质量、时效性、体量和语境;数据风险包括风险管理、数据分类和安全性;约束包括法律法规、组织政策等内容。
3)ISO 38505-1标准重点解读
数据治理的责任主体在治理层,治理层在开展数据治理的过程中主要通过制定数据战略来指导数据管理活动,而管理层需要通过管理活动来实现战略目标。同时,治理主体需要通过建立数据政策来保障数据管理活动符合数据战略的需要,进而满足企业的战略目标。数据治理体系文档由数据战略和数据政策组成。
ISO 38505-1标准主要内容
4)ISO 38505-1认证实践
4.1 数据治理体系文档编纂
数据治理体系的文档需体现ISO 38505-1标准的指导思想和涵盖内容,但并非照本宣科,而是以该标准为纲,首先对企业的数据治理现状做自上而下全面的摸排检视,再根据实际情况对既有的治理体系进行完善设计,形成完整而符合标准的数据治理体系文档。
根据标准的要求,数据战略需适配公司的业务战略。因此在制定时需对公司战略情况有深入了解,如此才能有的放矢,真正起到数据治理对企业发展目标的赋能作用。
而数据政策通常可分为三级文档:一级文档作为总纲,对治理体系进行指导和治理域框架划定,主要涵盖治理体系的方针目标、组织架构、治理域范围等内容;二级文档作为管理规范,涵盖ISO 38505-1标准中的核心要求,建立各治理域的管理政策;三级文档作为管理程序,具体构建管理规范在企业中的运行管理流程及附上相应的模板、表单等。
在实际编纂过程中,值得注意的是:
a. 对数据治理现状进行详尽评估是体系文档编纂前的一大参考要素,也是保障数据治理实现常态化管控的重要起点。数据治理体系文档的建设基础是体系内容符合ISO 38505-1标准的各个要求,而真正难点在于实现与企业既有业务流程的高契合度,这是治理体系标准落地的核心,否则难以持续性地推行落地。
b.ISO 38505-1的数据治理属于广义概念,企业在认证前需框定具体的数据治理认证范围:数据范围和数据治理域(如数据安全、数据质量)。因此数据治理体系文档在规划时应覆盖具体认证范围,并从全局视角规划体系文档数量和各治理域要点。一方面是为了避免体系内部出现不必要的重复,另一方面是为了避免与企业其他文档发生冲突或产生冗余而增大后续落地运行的难度。
c.数据治理体系文档要符合ISO 38505-1标准的要求,除了内容需将标准中的要点覆盖全面以外,还应从治理主体角度考虑,如何将体系文档对应纳入EDM 模型之中,从而体现治理层在开展数据治理工作时对EDM模型的运用。
4.2 体系宣贯与试运行
“实践是检验理的唯一标准”
试运行阶段是对已搭建完成的数据治理体系进行的一次测试,同时也是体系建设者对体系寻错、纠正、调整的一次绝佳时机,更重要的是,该阶段践行着PDCA戴明环中“检查(Check)”和“处理(Act)”两个环节,为体系后续真正运行后进入下一循环做铺垫。
PDCA循环管理模式图
而数据治理体系的试运行工作终究是要落在各项涉及治理管控措施的负责人(包括实施者)手上,缺乏对这些体系所涉及的“一线”人员进行意识培训与体系引导,很可能会导致辛苦建设完成的数据治理体系成为一纸空文。
当然,治理体系的培训宣贯也需要讲究方法与对策。这一过程通常会面对两种挑战:一是对涉及体系的多数人员来说都是初次接触数据治理领域,直接灌输治理体系知识反而效果差;再者,不同部门、不同角色对数据治理体系控制域的侧重点不一样,业务部门可能更关注数据利用的效率,安全部门可能更关注敏感数据的保密性。因此,治理体系的培训宣贯适宜循序渐进,同时为了提高效率,涉及相同治理域的部门或角色可集中进行培训宣贯。
以价值为导向持续优化
数据治理体系的建设与投入始终是要以提升业务价值为导向,同时在数据治理体系的建设和维护过程中,需要注意避免对ISO 38505-1标准的教条式理解、缺少与企业实际业务场景的结合。最后需要强调的是,数据治理的落地建设是一项长期工程。企业需要不断践行PDCA循环,让企业在数据治理方面持续地散发活力,让数据与业务达到一个更加稳定、平衡的状态,更自信地迎接来自信息时代的机遇与挑战。
5)实践指导意义
ISO 38505-1在国内已经形成了认证体系,申请机构可获得由国家认可的认证机构颁发的证书。但由于ISO 38505-1认证较新、覆盖面较广,目前在国内获得认证的机构并不多。但随着数字化时代的来临,数据一方面成为组织的重要资产和新兴商业模式的助推器,一方面也衍生出安全风险问题。在此背景下,越来越多的企业已认识到数据治理在长期战略层面的的价值和必要性。因此建议相关企业也与时俱进,把握时代转型浪潮,考虑申请认证。从而提升自身的数据治理能力与国际接轨,提前在市场上取得先发优势,为企业数字化转型提供强劲动力,为未来的数据业务提前布局、奠定基础。
ISO38505认证常见问题
1. ISO38505认证的性质
根据搜索结果,ISO38505认证并不是一次性的,而是一个持续改进的过程 2.这意味着企业需要建立符合ISO标准要求的管理体系,并持续监督和改进管理体系,以确保其持续符合ISO标准要求。
2. ISO38505认证的流程
申请ISO38505认证的基本条件包括具有独立法人资格、公司成立3个月以上、提供大数据相关项目材料、依据ISO38505标准建立体系并运行3个月以上、至少进行一次内审和管理评审 。认证流程包括收集基本信息、编写体系文件初稿、识别企业认证范围涉及的数据资产、检查资料完备性、现场审核、不符合整改和发证。
3. ISO38505认证的意义
ISO38505认证的意义在于高效运营、从根本上解决数据质量问题、规范和共享的需要、风险管理的需求、管理创新需要、业务流程和资源配置的优化以及避免出了问题再补漏。此外,ISO38505认证证书是全国通用的,这对于企业来说具有重要意义,能够提升企业的市场竞争力,提高数据的可靠性和安全性,以及提高数据的规范性和一致性。
4. ISO38505认证的成本
虽然搜索结果中没有直接提到ISO38505认证的成本,但可以推测,由于ISO38505认证是一个持续改进的过程,企业需要投入资源来维持和改进管理体系,这可能会带来一定的成本。然而,这种投资可以通过提高业务管理能力、赢得更多商业机会、保护商业机密和客户隐私等方式得到回报。
5. ISO38505认证的监督机制
ISO38505认证的监督机制包括定期的内审和管理评审,以及外部审核机构的评估和认证 。这些监督机制确保企业持续符合ISO标准要求,并不断提升绩效和满足客户需求。
6. ISO38505认证的法律责任
如果企业在初次审核中未能满足所有要求,审核机构将提供具体的改进建议和指导,企业可以进行改进并重新申请认证 。这表明企业在申请ISO38505认证时必须承担法律责任,确保其管理体系符合ISO标准的要求。
7. ISO38505认证的有效期
搜索结果中没有明确提及ISO38505认证的有效期,但一般来说,认证的有效期取决于认证机构的规定。企业需要在规定的时间内重新申请认证,以保持其管理体系的合规性和有效性 。
8. ISO38505认证的全球通用性
ISO38505认证是全球通用的,被广泛接受和认可。获得ISO38505认证可以证明企业在数据治理安全方面符合国际标准,增加了企业在国际市场上的竞争力和信誉 。
以上是对ISO38505认证常见问题的一些解答,希望对您有所帮助。如果您还有其他问题,欢迎继续提问。
