ISO38505數(shù)據(jù)治理安全標(biāo)準(zhǔn)

隨著大數(shù)據(jù)時代來臨，數(shù)字技術(shù)從助力經(jīng)濟發(fā)展的工具轉(zhuǎn)變?yōu)橐I(lǐng)經(jīng)濟發(fā)展的核心。據(jù)IDC(國際數(shù)據(jù)公司)預(yù)測，2025年中國數(shù)據(jù)規(guī)模將達到 48.6ZB，總量將躍居世界第一。如此龐大的數(shù)據(jù)量之下，數(shù)據(jù)賦能企業(yè)價值的前景將大有可為。為保證數(shù)字化建設(shè)高質(zhì)、高效、安全，不可或缺的便是開展數(shù)據(jù)治理。本文將從數(shù)據(jù)治理的角度出發(fā)，介紹該領(lǐng)域最新的國際標(biāo)準(zhǔn)ISO 38505-1.探討該標(biāo)準(zhǔn)的認(rèn)證實踐。

1)背景

數(shù)據(jù)治理是指對數(shù)據(jù)資產(chǎn)管理行使權(quán)力和控制的活動集合(規(guī)劃、監(jiān)督和執(zhí)行)，旨在為組織的數(shù)字化轉(zhuǎn)型奠基并賦能，助力實現(xiàn)數(shù)據(jù)資產(chǎn)的價值最大化，并拓展數(shù)字化應(yīng)用的想象空間。

ISO(國際標(biāo)準(zhǔn)化組織)于2008年推出第一個IT治理的國際標(biāo)準(zhǔn)：ISO 38500.隨后在2015年巴西會議上形成決議，將數(shù)據(jù)治理國際標(biāo)準(zhǔn)分為兩個部分：ISO/IEC 38505-1《基于ISO/IEC 38500的數(shù)據(jù)治理》(以下稱ISO 38505-1)和ISO/IEC TR 38505-2《數(shù)據(jù)治理對數(shù)據(jù)管理的影響》。目前，ISO/IEC 38505-1已正式發(fā)布，并沿用了ISO 38500 IT治理框架的原則及模型。

2)ISO 38505-1標(biāo)準(zhǔn)內(nèi)容

ISO 38505-1闡述了數(shù)據(jù)治理的意義，明確了治理主體的職責(zé)以及對數(shù)據(jù)治理監(jiān)督機制的要求，提出了數(shù)據(jù)治理框架(包括目標(biāo)、原則和模型)以幫助治理主體評估、指導(dǎo)和監(jiān)督數(shù)據(jù)利用的過程。

在目標(biāo)方面，ISO 38505-1認(rèn)為數(shù)據(jù)治理應(yīng)在提升利用數(shù)據(jù)價值的同時，確保合規(guī)約束和風(fēng)險管控;在原則方面，ISO 38505-1沿用了IT治理的六條基本原則：職責(zé)(Responsibility)、戰(zhàn)略(Strategy)、獲取(Acquisition)、績效(Performance)、合規(guī)(Conformance)和人員行為(Human behavior)，并具體闡述了這些原則如何指導(dǎo)數(shù)據(jù)治理中的決策;在模型方面，ISO 38505-1認(rèn)為治理主體應(yīng)運用評估(evaluate)-指導(dǎo)(Direct)-監(jiān)督(Monitor)的EDM模型來開展數(shù)據(jù)治理工作，如下圖所示：

ISO 38505-1 EDM模型

EDM模型用于評估、指導(dǎo)和監(jiān)督

評估：當(dāng)前及未來的數(shù)據(jù)使用情況。例如評估數(shù)據(jù)方面的公司戰(zhàn)略與商業(yè)模式、技術(shù)工具的應(yīng)用情況等。

指導(dǎo)：編制及實施戰(zhàn)略和政策，以確保數(shù)據(jù)使用符合業(yè)務(wù)目標(biāo)。圍繞評估情況制定數(shù)據(jù)戰(zhàn)略及相應(yīng)的治理體系政策。

監(jiān)督：政策及戰(zhàn)略的落地執(zhí)行情況。建立相應(yīng)的監(jiān)督機制以確保在組織內(nèi)部推行相關(guān)措施，例如將相關(guān)治理指標(biāo)納入KPI考核體系等。

其中，數(shù)據(jù)治理范圍需涵蓋數(shù)據(jù)治理責(zé)任圖——收集、存儲、報告、決策、發(fā)布和處置。

ISO 38505-1 數(shù)據(jù)治理責(zé)任圖

在實際數(shù)據(jù)應(yīng)用中，企業(yè)通過創(chuàng)建、采集、采購等方式來收集數(shù)據(jù)并進行存儲，將數(shù)據(jù)運用于報告分析、輔助決策來發(fā)揮其價值，并在某些情況下發(fā)布給外部各方或進行刪除處置。因此數(shù)據(jù)責(zé)任圖涵蓋了數(shù)據(jù)應(yīng)用范圍，以促進企業(yè)改進數(shù)據(jù)責(zé)任點的管理，確保數(shù)據(jù)這一關(guān)鍵資產(chǎn)滿足不同業(yè)務(wù)場景的需要和監(jiān)管合規(guī)的要求。

數(shù)據(jù)責(zé)任圖可結(jié)合數(shù)據(jù)治理的3個特征：價值(Value)、風(fēng)險(Risk)和約束(Constraints)進行評估。其中，數(shù)據(jù)價值包括數(shù)據(jù)質(zhì)量、時效性、體量和語境;數(shù)據(jù)風(fēng)險包括風(fēng)險管理、數(shù)據(jù)分類和安全性;約束包括法律法規(guī)、組織政策等內(nèi)容。

3）ISO 38505-1標(biāo)準(zhǔn)重點解讀

數(shù)據(jù)治理的責(zé)任主體在治理層，治理層在開展數(shù)據(jù)治理的過程中主要通過制定數(shù)據(jù)戰(zhàn)略來指導(dǎo)數(shù)據(jù)管理活動，而管理層需要通過管理活動來實現(xiàn)戰(zhàn)略目標(biāo)。同時，治理主體需要通過建立數(shù)據(jù)政策來保障數(shù)據(jù)管理活動符合數(shù)據(jù)戰(zhàn)略的需要，進而滿足企業(yè)的戰(zhàn)略目標(biāo)。數(shù)據(jù)治理體系文檔由數(shù)據(jù)戰(zhàn)略和數(shù)據(jù)政策組成。

ISO 38505-1標(biāo)準(zhǔn)主要內(nèi)容

4)ISO 38505-1認(rèn)證實踐

4.1 數(shù)據(jù)治理體系文檔編纂

數(shù)據(jù)治理體系的文檔需體現(xiàn)ISO 38505-1標(biāo)準(zhǔn)的指導(dǎo)思想和涵蓋內(nèi)容，但并非照本宣科，而是以該標(biāo)準(zhǔn)為綱，首先對企業(yè)的數(shù)據(jù)治理現(xiàn)狀做自上而下全面的摸排檢視，再根據(jù)實際情況對既有的治理體系進行完善設(shè)計，形成完整而符合標(biāo)準(zhǔn)的數(shù)據(jù)治理體系文檔。

根據(jù)標(biāo)準(zhǔn)的要求，數(shù)據(jù)戰(zhàn)略需適配公司的業(yè)務(wù)戰(zhàn)略。因此在制定時需對公司戰(zhàn)略情況有深入了解，如此才能有的放矢，真正起到數(shù)據(jù)治理對企業(yè)發(fā)展目標(biāo)的賦能作用。

而數(shù)據(jù)政策通?？煞譃槿壩臋n：一級文檔作為總綱，對治理體系進行指導(dǎo)和治理域框架劃定，主要涵蓋治理體系的方針目標(biāo)、組織架構(gòu)、治理域范圍等內(nèi)容;二級文檔作為管理規(guī)范，涵蓋ISO 38505-1標(biāo)準(zhǔn)中的核心要求，建立各治理域的管理政策;三級文檔作為管理程序，具體構(gòu)建管理規(guī)范在企業(yè)中的運行管理流程及附上相應(yīng)的模板、表單等。

在實際編纂過程中，值得注意的是：

a. 對數(shù)據(jù)治理現(xiàn)狀進行詳盡評估是體系文檔編纂前的一大參考要素，也是保障數(shù)據(jù)治理實現(xiàn)常態(tài)化管控的重要起點。數(shù)據(jù)治理體系文檔的建設(shè)基礎(chǔ)是體系內(nèi)容符合ISO 38505-1標(biāo)準(zhǔn)的各個要求，而真正難點在于實現(xiàn)與企業(yè)既有業(yè)務(wù)流程的高契合度，這是治理體系標(biāo)準(zhǔn)落地的核心，否則難以持續(xù)性地推行落地。

b.ISO 38505-1的數(shù)據(jù)治理屬于廣義概念，企業(yè)在認(rèn)證前需框定具體的數(shù)據(jù)治理認(rèn)證范圍：數(shù)據(jù)范圍和數(shù)據(jù)治理域(如數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量)。因此數(shù)據(jù)治理體系文檔在規(guī)劃時應(yīng)覆蓋具體認(rèn)證范圍，并從全局視角規(guī)劃體系文檔數(shù)量和各治理域要點。一方面是為了避免體系內(nèi)部出現(xiàn)不必要的重復(fù)，另一方面是為了避免與企業(yè)其他文檔發(fā)生沖突或產(chǎn)生冗余而增大后續(xù)落地運行的難度。

c.數(shù)據(jù)治理體系文檔要符合ISO 38505-1標(biāo)準(zhǔn)的要求，除了內(nèi)容需將標(biāo)準(zhǔn)中的要點覆蓋全面以外，還應(yīng)從治理主體角度考慮，如何將體系文檔對應(yīng)納入EDM 模型之中，從而體現(xiàn)治理層在開展數(shù)據(jù)治理工作時對EDM模型的運用。

4.2 體系宣貫與試運行

“實踐是檢驗理的唯一標(biāo)準(zhǔn)”

試運行階段是對已搭建完成的數(shù)據(jù)治理體系進行的一次測試，同時也是體系建設(shè)者對體系尋錯、糾正、調(diào)整的一次絕佳時機，更重要的是，該階段踐行著PDCA戴明環(huán)中“檢查(Check)”和“處理(Act)”兩個環(huán)節(jié)，為體系后續(xù)真正運行后進入下一循環(huán)做鋪墊。

PDCA循環(huán)管理模式圖

而數(shù)據(jù)治理體系的試運行工作終究是要落在各項涉及治理管控措施的負(fù)責(zé)人(包括實施者)手上，缺乏對這些體系所涉及的“一線”人員進行意識培訓(xùn)與體系引導(dǎo)，很可能會導(dǎo)致辛苦建設(shè)完成的數(shù)據(jù)治理體系成為一紙空文。

當(dāng)然，治理體系的培訓(xùn)宣貫也需要講究方法與對策。這一過程通常會面對兩種挑戰(zhàn)：一是對涉及體系的多數(shù)人員來說都是初次接觸數(shù)據(jù)治理領(lǐng)域，直接灌輸治理體系知識反而效果差;再者，不同部門、不同角色對數(shù)據(jù)治理體系控制域的側(cè)重點不一樣，業(yè)務(wù)部門可能更關(guān)注數(shù)據(jù)利用的效率，安全部門可能更關(guān)注敏感數(shù)據(jù)的保密性。因此，治理體系的培訓(xùn)宣貫適宜循序漸進，同時為了提高效率，涉及相同治理域的部門或角色可集中進行培訓(xùn)宣貫。

以價值為導(dǎo)向持續(xù)優(yōu)化

數(shù)據(jù)治理體系的建設(shè)與投入始終是要以提升業(yè)務(wù)價值為導(dǎo)向，同時在數(shù)據(jù)治理體系的建設(shè)和維護過程中，需要注意避免對ISO 38505-1標(biāo)準(zhǔn)的教條式理解、缺少與企業(yè)實際業(yè)務(wù)場景的結(jié)合。最后需要強調(diào)的是，數(shù)據(jù)治理的落地建設(shè)是一項長期工程。企業(yè)需要不斷踐行PDCA循環(huán)，讓企業(yè)在數(shù)據(jù)治理方面持續(xù)地散發(fā)活力，讓數(shù)據(jù)與業(yè)務(wù)達到一個更加穩(wěn)定、平衡的狀態(tài)，更自信地迎接來自信息時代的機遇與挑戰(zhàn)。

5)實踐指導(dǎo)意義

ISO 38505-1在國內(nèi)已經(jīng)形成了認(rèn)證體系，申請機構(gòu)可獲得由國家認(rèn)可的認(rèn)證機構(gòu)頒發(fā)的證書。但由于ISO 38505-1認(rèn)證較新、覆蓋面較廣，目前在國內(nèi)獲得認(rèn)證的機構(gòu)并不多。但隨著數(shù)字化時代的來臨，數(shù)據(jù)一方面成為組織的重要資產(chǎn)和新興商業(yè)模式的助推器，一方面也衍生出安全風(fēng)險問題。在此背景下，越來越多的企業(yè)已認(rèn)識到數(shù)據(jù)治理在長期戰(zhàn)略層面的的價值和必要性。因此建議相關(guān)企業(yè)也與時俱進，把握時代轉(zhuǎn)型浪潮，考慮申請認(rèn)證。從而提升自身的數(shù)據(jù)治理能力與國際接軌，提前在市場上取得先發(fā)優(yōu)勢，為企業(yè)數(shù)字化轉(zhuǎn)型提供強勁動力，為未來的數(shù)據(jù)業(yè)務(wù)提前布局、奠定基礎(chǔ)。

ISO38505認(rèn)證常見問題

1. ISO38505認(rèn)證的性質(zhì)

根據(jù)搜索結(jié)果，ISO38505認(rèn)證并不是一次性的，而是一個持續(xù)改進的過程 2.這意味著企業(yè)需要建立符合ISO標(biāo)準(zhǔn)要求的管理體系，并持續(xù)監(jiān)督和改進管理體系，以確保其持續(xù)符合ISO標(biāo)準(zhǔn)要求。

2. ISO38505認(rèn)證的流程

申請ISO38505認(rèn)證的基本條件包括具有獨立法人資格、公司成立3個月以上、提供大數(shù)據(jù)相關(guān)項目材料、依據(jù)ISO38505標(biāo)準(zhǔn)建立體系并運行3個月以上、至少進行一次內(nèi)審和管理評審 。認(rèn)證流程包括收集基本信息、編寫體系文件初稿、識別企業(yè)認(rèn)證范圍涉及的數(shù)據(jù)資產(chǎn)、檢查資料完備性、現(xiàn)場審核、不符合整改和發(fā)證。

3. ISO38505認(rèn)證的意義

ISO38505認(rèn)證的意義在于高效運營、從根本上解決數(shù)據(jù)質(zhì)量問題、規(guī)范和共享的需要、風(fēng)險管理的需求、管理創(chuàng)新需要、業(yè)務(wù)流程和資源配置的優(yōu)化以及避免出了問題再補漏。此外，ISO38505認(rèn)證證書是全國通用的，這對于企業(yè)來說具有重要意義，能夠提升企業(yè)的市場競爭力，提高數(shù)據(jù)的可靠性和安全性，以及提高數(shù)據(jù)的規(guī)范性和一致性。

4. ISO38505認(rèn)證的成本

雖然搜索結(jié)果中沒有直接提到ISO38505認(rèn)證的成本，但可以推測，由于ISO38505認(rèn)證是一個持續(xù)改進的過程，企業(yè)需要投入資源來維持和改進管理體系，這可能會帶來一定的成本。然而，這種投資可以通過提高業(yè)務(wù)管理能力、贏得更多商業(yè)機會、保護商業(yè)機密和客戶隱私等方式得到回報。

5. ISO38505認(rèn)證的監(jiān)督機制

ISO38505認(rèn)證的監(jiān)督機制包括定期的內(nèi)審和管理評審，以及外部審核機構(gòu)的評估和認(rèn)證 。這些監(jiān)督機制確保企業(yè)持續(xù)符合ISO標(biāo)準(zhǔn)要求，并不斷提升績效和滿足客戶需求。

6. ISO38505認(rèn)證的法律責(zé)任

如果企業(yè)在初次審核中未能滿足所有要求，審核機構(gòu)將提供具體的改進建議和指導(dǎo)，企業(yè)可以進行改進并重新申請認(rèn)證 。這表明企業(yè)在申請ISO38505認(rèn)證時必須承擔(dān)法律責(zé)任，確保其管理體系符合ISO標(biāo)準(zhǔn)的要求。

7. ISO38505認(rèn)證的有效期

搜索結(jié)果中沒有明確提及ISO38505認(rèn)證的有效期，但一般來說，認(rèn)證的有效期取決于認(rèn)證機構(gòu)的規(guī)定。企業(yè)需要在規(guī)定的時間內(nèi)重新申請認(rèn)證，以保持其管理體系的合規(guī)性和有效性 。

8. ISO38505認(rèn)證的全球通用性

ISO38505認(rèn)證是全球通用的，被廣泛接受和認(rèn)可。獲得ISO38505認(rèn)證可以證明企業(yè)在數(shù)據(jù)治理安全方面符合國際標(biāo)準(zhǔn)，增加了企業(yè)在國際市場上的競爭力和信譽 。

以上是對ISO38505認(rèn)證常見問題的一些解答，希望對您有所幫助。如果您還有其他問題，歡迎繼續(xù)提問。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202405/ccaa_62448.html