数据治理国际标准ISO 38505-1认证实践
原标题:数据治理国际标准ISO 38505-1认证实践
随着大数据时代来临,数字技术从助力经济发展的工具转变为引领经济发展的核心。据IDC(国际数据公司)预测,2025年中国数据规模将达到 48.6ZB,总量将跃居世界第一。如此庞大的数据量之下,数据赋能企业价值的前景将大有可为。为保证数字化建设高质、高效、安全,不可或缺的便是开展数据治理。本文将从数据治理的角度出发,介绍该领域最新的国际标准ISO 38505-1,探讨该标准的认证实践。
1)背景数据治理是指对数据资产管理行使权力和控制的活动集合(规划、监督和执行),旨在为组织的数字化转型奠基并赋能,助力实现数据资产的价值最大化,并拓展数字化应用的想象空间。
ISO(国际标准化组织)于2008年推出第一个IT治理的国际标准:ISO 38500。随后在2015年巴西会议上形成决议,将数据治理国际标准分为两个部分:ISO/IEC 38505-1《基于ISO/IEC 38500的数据治理》(以下称ISO 38505-1)和ISO/IEC TR 38505-2《数据治理对数据管理的影响》。目前,ISO/IEC 38505-1已正式发布,并沿用了ISO 38500 IT治理框架的原则及模型。
2)ISO 38505-1标准内容ISO 38505-1阐述了数据治理的意义,明确了治理主体的职责以及对数据治理监督机制的要求,提出了数据治理框架(包括目标、原则和模型)以帮助治理主体评估、指导和监督数据利用的过程。
在目标方面,ISO 38505-1认为数据治理应在提升利用数据价值的同时,确保合规约束和风险管控;在原则方面,ISO 38505-1沿用了IT治理的六条基本原则:职责(Responsibility)、战略(Strategy)、获取(Acquisition)、绩效(Performance)、合规(Conformance)和人员行为(Human behavior),并具体阐述了这些原则如何指导数据治理中的决策;在模型方面,ISO 38505-1认为治理主体应运用评估(Evaluate)-指导(Direct)-监督(Monitor)的EDM模型来开展数据治理工作,如下图所示:
ISO 38505-1 EDM模型
EDM模型用于评估、指导和监督
评估:当前及未来的数据使用情况。例如评估数据方面的公司战略与商业模式、技术工具的应用情况等。
指导:编制及实施战略和政策,以确保数据使用符合业务目标。围绕评估情况制定数据战略及相应的治理体系政策。
监督:政策及战略的落地执行情况。建立相应的监督机制以确保在组织内部推行相关措施,例如将相关治理指标纳入KPI考核体系等。
其中,数据治理范围需涵盖数据治理责任图——收集、存储、报告、决策、发布和处置。
ISO 38505-1 数据治理责任图
在实际数据应用中,企业通过创建、采集、采购等方式来收集数据并进行存储,将数据运用于报告分析、辅助决策来发挥其价值,并在某些情况下发布给外部各方或进行删除处置。因此数据责任图涵盖了数据应用范围,以促进企业改进数据责任点的管理,确保数据这一关键资产满足不同业务场景的需要和监管合规的要求。
数据责任图可结合数据治理的3个特征:价值(Value)、风险(Risk)和约束(Constraints)进行评估。其中,数据价值包括数据质量、时效性、体量和语境;数据风险包括风险管理、数据分类和安全性;约束包括法律法规、组织政策等内容。
3)ISO 38505-1标准重点解读
数据治理的责任主体在治理层,治理层在开展数据治理的过程中主要通过制定数据战略来指导数据管理活动,而管理层需要通过管理活动来实现战略目标。同时,治理主体需要通过建立数据政策来保障数据管理活动符合数据战略的需要,进而满足企业的战略目标。数据治理体系文档由数据战略和数据政策组成。
ISO 38505-1标准主要内容
4)ISO 38505-1认证实践4.1 数据治理体系文档编纂
数据治理体系的文档需体现ISO 38505-1标准的指导思想和涵盖内容,但并非照本宣科,而是以该标准为纲,首先对企业的数据治理现状做自上而下全面的摸排检视,再根据实际情况对既有的治理体系进行完善设计,形成完整而符合标准的数据治理体系文档。
根据标准的要求,数据战略需适配公司的业务战略。因此在制定时需对公司战略情况有深入了解,如此才能有的放矢,真正起到数据治理对企业发展目标的赋能作用。
而数据政策通常可分为三级文档:一级文档作为总纲,对治理体系进行指导和治理域框架划定,主要涵盖治理体系的方针目标、组织架构、治理域范围等内容;二级文档作为管理规范,涵盖ISO 38505-1标准中的核心要求,建立各治理域的管理政策;三级文档作为管理程序,具体构建管理规范在企业中的运行管理流程及附上相应的模板、表单等。
在实际编纂过程中,值得注意的是:
a. 对数据治理现状进行详尽评估是体系文档编纂前的一大参考要素,也是保障数据治理实现常态化管控的重要起点。数据治理体系文档的建设基础是体系内容符合ISO 38505-1标准的各个要求,而真正难点在于实现与企业既有业务流程的高契合度,这是治理体系标准落地的核心,否则难以持续性地推行落地。
b. ISO 38505-1的数据治理属于广义概念,企业在认证前需框定具体的数据治理认证范围:数据范围和数据治理域(如数据安全、数据质量)。因此数据治理体系文档在规划时应覆盖具体认证范围,并从全局视角规划体系文档数量和各治理域要点。一方面是为了避免体系内部出现不必要的重复,另一方面是为了避免与企业其他文档发生冲突或产生冗余而增大后续落地运行的难度。
>相关《 数据治理国际标准ISO 38505-1认证实践》内容:
1、 商品期货历史数据下载:期货信息怎么收集?
纽约商品交易所的黄金期货买卖是由交易所营业时间内的公开叫价交易时段和交易所收市后的电子交易时段所组成。传统的公开叫价时间内的报价由于是由出市代表叫喊,人为的流程会令市场价格较为波动。在电子交易时段内,因为交易所是以自动配对的方式将市场内...【继续阅读】
2、 OYO宣布招聘2名工程和数据科学高级领导者
全球旅游技术平台 OYO 周三表示,将任命两名新的工程和数据科学高级领导人。 Nirdosh Chouhan 从 Apple 加盟,担任 OYO 的工程高级副总裁。Kranthi Mitra Adusumilli 之前在在线食品配送公司 Swiggy 工作,他将成为 OYO 的高级首席数据科学家。 Chouhan 将...【继续阅读】
3、 下周重磅事件一览:12月PMI数据即将公布,7只新股及22只新基蓄势待发
理财鱼小提示:下周重磅事件一览:12月PMI数据即将公布,7只新股及22只新基蓄势待发 12月27日至1月2日当周重磅财经事件一览: 1、重要事件 周一:日本央行公布12月货币政策会议审议委员意见摘要 周四:欧洲央行公布经济公报 2、重要数据 周一:中国11月规模以上...【继续阅读】