产品介绍
数据正在成为决定企业成功的核心企业资产。数字化转型无处不在。如果您能够管理数据,则只能利用数据资产并成功进行数字转换。这意味着必须部署适合您的组织以及未来业务目标和业务模型的数据治理框架。该框架必须控制此过程所需的数据标准,并在组织内部以及公司运营所在的业务生态系统中委派所需的角色和职责。
数据已经逐渐取代传统的IT基础设施和应用成为组织发展新的动力和重要的资产。数据的价值被组织的高层管理者所接受,越来越多的组织通过加强数据的利用寻找新业务的增长点。而传统的数据质量、数据标准、数据模型、元数据、主数据等数据管理活动只解决数据相关的局部问题,其相互之间没有统一的协调和安排,管理活动之间存在割裂和不—致,导致数据利用的效率降低。
一、什么是数据治理?
我们认为,数据治理是指从使用零散数据变为使用统一数据、从具有很少或没有组织流程到企业范围内的综合数据管控、从数据混乱状况到数据井井有条的一个过程。
所以,数据治理强调的是一个过程,是一个从混乱到有序的过程。从范围来讲,数据治理涵盖了从前端业务系统、后端业务数据库再到业务终端的数据分析,从源头到终端再回到源头,形成的一个闭环负反馈系统。
从目的来讲,数据治理就是要对数据的获取、处理和使用进行监督管理。具体一点来讲,数据治理就是以服务组织战略目标为基本原则,通过组织成员的协同努力,流程制度的制定,以及数据资产的梳理、采集清洗、 结构化存储、可视化管理和多维度分析,实现数据资产价值获取、业务模式创新和经营风险控制的过程。
所以,数据治理是一个过程,是逐步实现数据价值的过程,也正是因为这个过程特性,我们认为,数据治理是一个持续性的服务,而不是一个有着明确范围的一锤子买卖。
二、数据治理标准的主要内容
ISO 38505-1阐述了数据治理的意义,明确了治理主体的职责以及对数据治理监督机制的要求,提出了数据治理框架(包括目标、原则和模型)以帮助治理主体评估、指导和监督数据利用的过程。
在目标方面,ISO 38505-1认为数据治理应在提升利用数据价值的同时,确保合规约束和风险管控;
在原则方面,ISO 38505-1沿用了IT治理的六条基本原则:职责(Responsibility), 战略(Strategy), 获取(Acquisition), 绩效(Performance), 合规(Conformance)和人员行为(Human behavior),并具体阐述了这些原则如何指导数据治理中的决策;
在模型方面,ISO 38505-1认为治理主体应运用评估(Evaluate)-指导(Direct)-监督(Monitor)的EDM模型来开展数据治理工作,如下图所示:
ISO 38505-1 EDM模型
EDM模型用于评估、指导和监督
评估:当前及未来的数据使用情况。例如评估数据方面的公司战略与商业模式、技术工具的应用情况等。
指导:编制及实施战略和政策,以确保数据使用符合业务目标。围绕评估情况制定数据战略及相应的治理体系政策。
监督:政策及战略的落地执行情况。建立相应的监督机制以确保在组织内部推行相关措施,例如将相关治理指标纳入KPI考核体系等。
其中,数据治理范围需涵盖数据治理责任图——收集、存储、报告、决策、发布和处置。
ISO 38505-1 数据治理责任图
在实际数据应用中,企业通过创建、采集、采购等方式来收集数据并进行存储,将数据运用于报告分析、辅助决策来发挥其价值,并在某些情况下发布给外部各方或进行删除处置。因此数据责任图涵盖了数据应用范围,以促进企业改进数据责任点的管理,确保数据这一关键资产满足不同业务场景的需要和监管合规的要求。
数据责任图可结合数据治理的3个特征:价值(Value)、风险(Risk)和约束(Constraints)进行评估。其中,数据价值包括数据质量、时效性、体量和语境;数据风险包括风险管理、数据分类和安全性;约束包括法律法规、组织政策等内容。
三、体系认证条件
(一)独立法人资格
申请 ISO38505 认证的企业必须具有独立法人资格。
企业在法律上是独立的主体,能够独立承担民事责任。拥有独立法人资格是企业进行认证的基本前提,确保企业在认证过程中能够独立履行各项义务和责任。
(二)公司成立时间要求
公司成立 3 个月以上是申请 ISO38505 认证的条件之一。
这是为了确保企业在一定的时间内积累了一定的运营经验和管理基础,能够更好地实施数据治理体系。据统计,新成立的企业在管理体系和业务流程方面可能还不够成熟,需要一定的时间来稳定和完善。
(三)提供相关项目材料
企业需要提供大数据相关项目材料,包括需求、设计、测试等。这些材料能够证明企业在大数据领域的实际项目经验和能力。
例如,最终成果验收、功能截图等可以展示项目的实际效果和质量。
这些项目材料需要涵盖数据采集、存储、报告、决策、发布、处置等各个环节,以体现企业的数据治理能力。
(四)依据标准建立体系并运行
企业需要依据 ISO38505 标准建立体系,并运行 3 个月以上。企业要全面理解和贯彻 ISO38505 标准的要求,建立起完善的数据治理体系,并在实际运营中持续运行和改进。在这个过程中,企业需要制定数据治理战略、明确数据治理职责、建立数据治理流程等,确保数据治理体系的有效性和可持续性。
(五)进行内审和管理评审
企业至少进行一次内审和管理评审。
内审是企业对自身数据治理体系的自我检查和评估,通过内审可以发现体系中的问题和不足,并及时进行整改。
管理评审则是企业高层对数据治理体系的全面评估和决策,确保数据治理体系与企业的战略目标相一致。
四、数据治理的目标
数据治理的目标是建立标准化,集成,保护和存储公司数据的方法,职责集和流程。组织的主要目标应该是:
1、阵低风险
2、建立数据使用内部规则
3、实施合规要求
4、改善内部和外部沟通
5、增加数据价值
6、方便数据管理
7、降低成本
8、通过风险管理和优化来帮助确保公司的持续生存。
五、数据治理认证的益处
1、高效运营
2、从根本上解决数据质量问题
3、规范和共享的需要
4、风险管理的需求
5、管理创新需要
6、业务流程和资源配置的优化,可以提高业务管理能力;
7、避免出了问题再补漏,数据管理部门和生产部门相互推脱责任。
高质量的数据是分析挖掘的基础,有助于改善决策能力,做出正确的决策,发现更多商业机会。
办理流程
1、编写体系文件初稿
2、企业提供资料清单,准备项目实施、运营文档
3、识别企业认证范围涉及的数据资产,共同完成数据治理资料
4、检查资料完备性,双方补充资料记录;共同完成体系运行记录
5、现场审核、不符合整改、发证
所需材料
(一)组织基本信息资料
营业执照副本
用于证明组织的合法经营身份,确定组织的名称、注册地址、经营范围等基本信息。
组织架构图
展示组织内各部门、岗位之间的关系,明确数据治理相关部门和岗位的设置及其在整个组织架构中的位置。
联系方式
包括组织的联系人姓名、电话、电子邮箱、通信地址等,方便认证机构与组织沟通。
(二)数据治理战略与政策相关资料
数据治理战略文档
阐述组织的数据治理愿景、目标、长期规划等,例如在未来几年内如何提升数据质量、确保数据安全、利用数据创造价值等战略目标。
数据治理政策文件
涵盖数据分类分级政策,明确如何对数据按照敏感程度、重要性等进行分类分级;
数据访问控制政策,规定哪些人员在何种情况下可以访问何种数据;
数据共享政策,确定数据在组织内部和外部共享的原则和流程等。
(三)数据治理流程相关资料
数据规划流程文档
包括如何确定数据需求、制定数据资源规划、规划数据存储和管理架构等内容。
数据获取与采集流程
说明数据的来源(如业务系统、外部数据源等),数据采集的方式(如手动录入、系统接口传输等),以及确保数据采集准确性、完整性的控制措施。
数据存储与管理流程
描述数据存储的介质(如数据库类型)、存储架构(如集中式或分布式)、数据备份与恢复策略、数据存储的安全措施等。
数据处理与分析流程
涉及数据清洗、转换、整合等处理步骤,以及数据分析的方法(如统计分析、数据挖掘等)和工具使用情况。
数据质量控制流程
详细的数据质量评估标准(如准确性、完整性、一致性等指标的定义),数据质量监测方法,发现数据质量问题后的纠正措施流程。
数据安全管理流程
数据安全风险评估报告,确定组织面临的数据安全风险(如数据泄露、篡改风险等);数据加密策略与实施情况;数据安全事件应急响应流程等。
数据共享与交换流程
明确数据共享的内部和外部对象,共享的数据内容,数据交换的协议和技术手段,以及在共享和交换过程中的安全与合规保障措施。
(四)数据治理组织与人员相关资料
数据治理组织职责文档
明确数据治理委员会(如果有)、数据管理员、数据所有者等相关角色的职责,例如数据治理委员会负责制定战略和决策重大数据治理事项,数据管理员负责日常的数据管理操作等。
数据治理人员培训记录
包括数据治理相关培训课程内容(如数据治理理论、数据管理技术等),培训时间、参与人员名单、培训效果评估等,证明组织对数据治理人员的能力提升有投入。
(五)数据治理技术与工具相关资料
数据管理系统清单
列出组织使用的数据存储系统(如关系型数据库、非关系型数据库)、数据处理工具(如 ETL 工具)、数据分析平台等,以及这些系统和工具的功能简介。
数据治理技术架构文档
展示组织的数据治理技术框架,包括各技术组件之间的关系,如何实现数据的采集、存储、处理、分析等功能的技术集成。
(六)数据治理绩效评估相关资料
数据治理绩效指标体系文档
定义数据治理的关键绩效指标(如数据质量提升率、数据安全事件发生率等),以及如何对这些指标进行测量和监控。
数据治理绩效评估报告
定期(如季度、年度)的数据治理绩效评估结果,分析数据治理工作在各个方面的成效和不足,为改进提供依据。
(七)合规性相关资料
与数据治理相关的法律法规清单
如《网络安全法》、《数据保护法》等法律法规,以及组织如何确保数据治理工作符合这些法律法规的要求。
数据隐私保护措施文档
针对个人数据或敏感数据的隐私保护措施,包括如何获取用户同意、如何进行数据匿名化处理等。
以上材料清单仅供参考,具体要求可能因认证机构和企业实际情况而有所不同。在准备认证材料时,企业应与机构充分沟通,确保提供准确、完整的材料,以顺利通过认证审核。
扫码微信咨询