ISO/IEC 38505数据治理服务

业务背景

数据治理是指对数据资产管理行使权力和控制的活动集合（规划、监督和执行），旨在为组织的数字化转型奠基并赋能，助力实现数据资产的价值最大化，并拓展数字化应用的想象空间。

ISO（国际标准化组织）于2008年推出第一个IT治理的国际标准：ISO 38500。随后在2015年巴西会议上形成决议，将数据治理国际标准分为两个部分：ISO/IEC 38505-1《基于ISO/IEC 38500的数据治理》（以下称ISO 38505-1）和ISO/IEC TR 38505-2《数据治理对数据管理的影响》。目前，ISO/IEC 38505-1已正式发布，并沿用了ISO 38500 IT治理框架的原则及模型。

标准概述

ISO 38505-1阐述了数据治理的意义，明确了治理主体的职责以及对数据治理监督机制的要求，提出了数据治理框架（包括目标、原则和模型）以帮助治理主体评估、指导和监督数据利用的过程。在目标方面，ISO 38505-1认为数据治理应在提升利用数据价值的同时，确保合规约束和风险管控；在原则方面，ISO 38505-1沿用了IT治理的六条基本原则：职责（Responsibility）、战略(Strategy)、获取(Acquisition)、绩效(Performance)、合规(Conformance)和人员行为(Human behavior)，并具体阐述了这些原则如何指导数据治理中的决策；在模型方面，ISO 38505-1认为治理主体应运用评估(Evaluate)-指导(Direct)-监督(Monitor)的EDM模型来开展数据治理工作。

良好的数据治理有哪些好处？

良好的数据治理有助于组织确保在整个组织中使用数据通过以下方式对组织的绩效作出积极贡献：

● 服务、市场和业务创新；

● 数据资产的适当实施和操作；

● 明确保护和增值潜力的责任和问责制；

● 尽量减少不利或意外后果。

数据治理良好的组织应该：

● 为数据所有者和数据用户提供可信赖的交易组织；

● 能够为共享提供可靠的数据；

● 保护知识产权和数据产生的其他价值；

● 有政策和实践来阻止黑客和欺诈活动的组织；

● 准备将数据泄露的影响降至最低；

● 了解何时以及如何重用数据；

● 能够展示良好的数据处理实践。

组织在数据治理方面的职责

为了更好的治理数据，组织应该：

● 负责管理数据，并对本组织有效、高效和可接受地使用数据负责。

● 在有效、高效和可接受地使用数据方面的权力、责任和问责制源自其对组织治理的总体责任，以及对外部利益相关者（包括监管机构）的义务。

● 在数据治理中的主要作用是确保组织从数据和相关数据的投资中获得价值，同时管理风险并考虑约束。

● 此外，应确保清楚地了解本组织正在使用哪些数据以及使用这些数据的目的，并建立有效的管理制度，确保履行数据保护、隐私和尊重知识产权等义务。

数据治理的监督机制

组织应建立与业务对数据的依赖程度相适应的数据管理监督机制，包括：

● 应清楚了解数据对组织业务战略的重要性，以及使用这些数据对组织的潜在战略风险。对数据的重视程度应基于这些因素。

● 应确保其成员和相关治理机制（如审计、风险管理和相关委员会）以及管理人员对数据的重要性具有必要的知识和理解。

● 设立一个小组委员会，协助组织从战略角度监督本组织对数据的使用。

● 应确保为数据的治理和管理建立适当的治理框架。

● 应通过要求审计和独立评估等程序来确保治理有效，从而监测治理和数据管理机制的有效性。