GB/T 34960，数据治理规范，要点整理

术语与定义

1. 数据治理(data governance)
   数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。
2. 数据管理(data management)
   数据资源获取、控制、价值提升等活动的集合。
3. 数据资产(data asset)
   组织拥有和控制的，能够产生效益的数据资源。
4. 数据战略(data strategy)
   组织开展数据工作的愿景和高阶指引。
5. 数据架构(data architecture)
   数据要素、结构和接口等抽象及其相互关系的框架。
6. 元数据(metadata)
   定义和描述其他数据的数据。
7. 数据生存周期(data life cycle)
   数据获取、存储、整合分析、应用、呈现、归档和销毁等各种生存形态演变的过程。

数据治理总则

概述

• 数据治理源于组织的外部监管、内部数据管理及应用的需求，主要包括：

1. 法律法规、行业监管和内部管控等对数据及其应用的安全.合规的要求;
2. 数据产品化、资产化和价值化的要求;.
3. 数据生存周期管理及应用过程中，数据架构、数据模型、数据标准、数据质量和数据安全等体系建设的要求。

目标

• 数据治理的目标是保障数据及其应用过程中的运营合规、风险可控和价值实现,主要包括:

1. 运营合规:建立符合法律法规和行业监管的数据运营管理体系,保障数据及其应用的合规;
2. 风险可控:建立数据风险管控机制.确保数据及其应用满足风险偏好和风险容忍度;
3. 价值实现:构建数据价值实现体系.促进数据资产化和数据价值实现。

任务

• 组织应通过评估、指导和监督的方法,按照统筹和规划、构建和运行、监控和评价以及改进和优化的过程,实施数据治理的任务，主要包括:

1. 评估数据治理的现状及需求、数据治理环境、数据资源管理和数据资产运营能力;
2. 指导数据治理体系的构建、数据治理域的建立和数据治理的实施落地;
3. 制定合理的评价体系与审计规范,监督数据治理内控、合规和绩效。

数据治理框架

• 数据治理框架包括：顶层设计、数据治理环境、数据治理域和数据治理过程四大部分。
  

1. 顶层设计包含数据相关的战略规划、组织构建和架构设计,是数据治理实施的基础。
2. 数据治理环境包含内外部环境及促成因素,是数据治理实施的保障。
3. 数据治理域包含数据管理体系和数据价值体系，是数据治理实施的对象。
4. 数据治理过程包含统筹和规划、构建和运行、监控和评价以及改进和优化,是数据治理实施的方法。

顶层设计

战略规划

• 数据战略规划应保持与业务规划、信息技术规划一致,并明确战略规划实施的策略,至少应:

1. 理解业务规划和信息技术规划,调研需求并评估数据现状、技术现状、应用现状和环境;
2. 制定数据战略规划,包含但不限于愿景、目标、任务、内容、边界、环境和蓝图等;
3. 指导数据治理方案的建立,包含但不限于实施主体、责权利、技术方案、管控方案、实施策略和实施路线等,并明确数据管理体系和数据价值体系;
4. 明确风险偏好、符合性、绩效和审计等要求,监控和评价数据治理的实施并持续改进。

组织构建

• 组织构建应聚焦责任主体及责权利,通过完善组织机制,获得利益相关方的理解和支持,制定数据管理的流程和制度,以支撑数据治理的实施,至少应:

1. 建立支撑数据战略的组织机构和组织机制,明确相关的实施原则和策略;
2. 明确决策和实施机构,设立岗位并明确角色,确保责权利的--致;
3. 建立相关的授权、决策和沟通机制,保证利益相关方理解、接受相应的职责和权利;
4. 实现决策、执行、控制和监督等职能,评估运行绩效并持续改进和优化。

架构设计

• 架构设计应关注技术架构、应用架构和架构管理体系等,通过持续的评估、改进和优化,以支撑数据的应用和服务,至少应:

1. 建立与战略一致的数据架构,明确技术方向、管理策略和支撑体系，以满足数据管理、数据流通、数据服务和数据洞察的应用需求;
2. 评估数据架构设计的合理性和先进性,监督数据架构的管理和应用;
3. 评估数据架构的管理机制和有效性,并持续改进和优化。

数据治理环境

内外部环境

• 组织应分析业务、市场和利益相关方的需求,适应内外部环境变化，支撑数据治理的实施,至少应:

1. 遵循法律法规、行业监管和内部管控,满足数据风险控制、数据安全和隐私的要求;
2. 遵从组织的业务战略和数据战略，满足利益相关方需求;
3. 识别并评估市场发展、竞争地位和技术变革等变化;
4. 规划并满足数据治理对各类资源的需求,包括人员、经费和基础设施等。

促成因素

• 组织应识别数据治理的促成因素,保障数据治理的实施,至少应:

1. 获得数据治理决策机构的授权和支持;
2. 明确人员的业务技能及职业发展路径,开展培训和能力提升;
3. 关注技术发展趋势和技术体系建设,开展技术研发和创新;
4. 制定数据治理实施流程和制度,并持续改进和优化;
5. 营造数据驱动的创新文化，构建数据管理体系和数据价值体系;
6. 评估数据资源的管理水平和数据资产的运营能力,不断提升数据应用能力。

数据治理域

数据管理体系

• 组织应围绕数据标准、数据质量、数据安全、元数据管理和数据生存周期等,开展数据管理体系的治理,至少应:

1. 评估数据管理的现状和能力,分析和评估数据管理的成熟度;
2. 指导数据管理体系治理方案的实施,满足数据战略和管理要求;
3. 监督数据管理的绩效和符合性,并持续改进和优化。

数据价值体系

• 组织应围绕数据流通、数据服务和数据洞察等,开展数据资产运营和应用的治理,至少应:

1. 评估数据资产的运营和应用能力，支撑数据价值转化和实现;
2. 指导数据价值体系治理方案的实施,满足数据资产的运营和应用要求;
3. 监督数据价值实现的绩效和符合性,并持续改进和优化。

数据治理过程

统筹和规划

• 明确数据治理目标和任务,营造必要的治理环境，做好数据治理实施的准备,包括:

1. 评估数据治理的资源、环境和人员能力等现状，分析与法律法规行业监管、业务发展以及利益相关方需求等方面的差距,为数据治理方案的制定提供依据;
2. 指导数据治理方案的制定,包括组织机构和责权利的规划、治理范围和任务的明确以及实施策略和流程的设计;
3. 监督数据治理的统筹和规划过程,保证现状评估的客观、组织机构设计的合理以及数据治理方案的可行。

构建与运行

• 构建数据治理实施的机制和路径，确保数据治理实施的有序运行,包括:

1. 评估数据治理方案与现有资源、环境和能力的匹配程度,为数据治理的实施提供指导;
2. 制定数据治理实施的方案,包括组织机构和团队的构建,责权利的划分、实施路线图的制定、实施方法的选择以及管理制度的建立和运行等;
3. 监督数据治理的构建和运行过程,保证数据治理实施过程与方案的符合、治理资源的可用和治理活动的可持续。

• 监控数据治理的过程,评价数据治理的绩效、风险与合规,保障数据治理目标的实现,包括:

1. 构建必要的绩效评估体系、内控体系或审计体系，制定评价机制、流程和制度;
2. 评估数据治理成效与目标的符合性,必要时可聘请外部机构进行评估,为数据治理方案的改进和优化提供参考;
3. 定期评价数据治理实施的有效性、合规性,确保数据及其应用符合法律法规和行业监管要求。

监控和评价

• 监控数据治理的过程,评价数据治理的绩效、风险与合规,保障数据治理目标的实现,包括:

1. 构建必要的绩效评估体系、内控体系或审计体系，制定评价机制、流程和制度;
2. 评估数据治理成效与目标的符合性,必要时可聘请外部机构进行评估，为数据治理方案的改进和优化提供参考;
3. 定期评价数据治理实施的有效性、合规性,确保数据及其应用符合法律法规和行业监管要求。

改进和优化

• 改进数据治理方案,优化数据治理实施策略、方法和流程,促进数据治理体系的完善,包括:

1. 持续评估数据治理相关的资源、环境、能力、实施和绩效等，支撑数据治理体系的建设;
2. 指导数据治理方案的改进,优化数据治理的实施策略、方法、流程和制度,促进数据管理体系和数据价值体系的完善;
3. 监督数据治理的改进和优化过程,为数据资源的管理和数据价值的实现提供保障。

数据管理体系的治理

数据标准

-组织应明确数据标准的内涵和范围,建立数据标准体系及其管理机制,以支撑数据的标准化建设，保障数据在应用过程中的一致性，至少应:

1. 明确数据标准的内涵和范围,制定通用的数据规范,包括但不限于数据分类、数据类型、数据格式和编码规则等,保证数据应用的过程中的一致性;
2. 建立数据标准的实施方案和计划,推进数据标准化实施的落地;
3. 建立数据标准化管理机构和机制,明确责权利和流程,开展数据标准化的实施;
4. 制定数据标准管理制度,保障数据标准化的实施和落地;
5. 保证数据标准的先进性、前瞻性和技术层面的可执行性,满足数据应用发展需要,持续开展数据标准的更新。

数据质量

• 组织应制定数据质量管理目标,建立数据质量管理体系及实施机制、优化数据质量并持续改进,满足数据应用的需求,至少应:

1. 结合数据标准对数据质量进行分类管理,明确不同数据之间的关系和依赖性,制定数据质量管理目标;
2. 建立数据质量管理机构和机制,定义数据质量管理的角色和职责,建立数据质量管理方法;
3. 研发数据质量相关技术，支撑数据质量管理和数据质量提升;
4. 识别数据生存周期各个阶段的数据质量关键因素,构建数据质量评估框架,包含但不限于数据的准确性、完整性、一致性、可访问性、及时性、相关性和可信度等;
5. 采用定性评估、定量评估或综合评估等方法,评估和持续优化数据质量。

数据安全

• 组织应制定数据安全的管理目标、方针和策略,建立数据安全体系,实施数据安全管控,持续改进数据安全管理能力,至少应:

1. 明确数据安全的内外部监管和管理需求,制定数据安全管理的目标、方针和策略，并持续改进和优化，确保数据防泄露、防篡改和防损毁;
2. 建立数据安全管理机构，明确数据安全管理的角色和责任,提升人员的意识、能力和素质;
3. 建立数据安全分类分级规范,建立满足不同业务场景、不同级别的数据安全规范、保护机制,确保数据的保密性、完整性、可用性以及数据的可追溯性;
4. 构建数据安全管理视图,识别数据应用过程中的风险,并建立数据泄露、应急响应、沟通协作和责任追究等安全管控机制;
5. 建立数据应用过程中的数据授权、访问和审计机制;
6. 定期开展安全审计和风险评估,对数据安全管理能力进行监督,并持续改进和优化。

元数据管理

• 组织应明确元数据管理的范围和优先级,建立元数据管理的策略和流程,开展元数据创建、存储、整合与控制等,并持续改进和优化，至少应:

1. 明确元数据的管理范围,构建元数据库;
2. 建立完整的数据字典、数据模型、数据架构及其管理体系;
3. 建立元数据管理机制,明确元数据的管理过程及角色、职责;
4. 建立元数据创建、维护、整合、存储、分发、查询、报告和分析机制;
5. 建立元数据管理的质量标准和评估指标，开展元数据绩效评估并持续改进。

数据生存周期

• 组织应定义数据生存周期,并对其不同的阶段制定对应的管理策略,降低成本和风险，支撑数据资源管理和数据资产运营,至少应:

1. 识别数据资源和数据资产运营现状,明确数据资源和数据资产的管理目标和策略;
2. 识别数据生存周期的各个阶段,明确各个阶段之间的关联和关系，并制定相应的管理策略;
3. 确保数据生存周期各个阶段的数据保密性、完整性和可用性;
4. 确保数据生存周期的管理符合法律法规、行业监管等要求,保证数据的获取合法、存储完整、整合高效、分析有效、应用合规、归档可靠和销毁完全等。

数据价值体系的治理

数据流通

• 组织应识别数据资产,明确数据权属,定义数据开放共享、交换和交易等流通方式,保证数据流通过程的合法合规、数据安全和隐私,至少应:

1. 建立数据资产的识别方法和机制,建立数据资产价值评估指标,包含但不限于数据的整体性、动态性、针对性、准确性、层次性和可度量性等,并开展数据价值的评估;
2. 遵循法律法规、行业监管和内部管控等内外部要求,明确可流通的数据权属、流通方式等;
3. 结合数据分级分类管理机制,采用必要的技术手段对流通数据进行加密、脱敏等处理,确保数据的准确性、可用性、安全性和保密性;
4. 采用必要的技术手段,保证数据资产及其流通过程中的安全,明确数据流通参与方的责权利，保证数据权属合法清晰、流通方式合规以及流通过程可靠;
5. 确保数据流通过程的可追溯,保存数据流通日志或记录,包含但不限于时间戳、数据流通方式、参与者身份以及数据内容描述等;
6. 建立数据流通 管理机制,符合法律法规、行业监管和内部管控要求。

数据服务

• 组织应明确数据服务的内涵,形成数据服务目录,不断改进和优化数据的服务能力,至少应:

1. 分析数据服务需求、现有资源和环境,明确数据服务内涵、范围、类型、团队和服务方式;
2. 明确数据服务的内容和能力,制定数据服务目录、服务级别协议和实施方法;
3. 建立数据服务管控流程,监督数据服务的安全性与合规性,并对实施过程进行审核和控制;
4. 建立数据服务支持流程,通过标准化、自动化等方式支撑数据服务的交付,满足服务需求;
5. 构建数据服务管理机制,对数据服务的过程、质量和安全等进行管理,并持续改进和优化;
6. 开展数据服务能力评价，定期对数据服务能力和价值进行评估、改进和优化,促进服务创新。

数据洞察

• 组织应创建业务视角和用户视角,对数据及其内在的规律进行分析，识别不同数据集的关联,挖掘数据价值,获取数据洞察的能力,至少应:

1. 获得业务视角和用户视角下的数据应用的需求,进行静态和动态场景识别，获取不同场景和应用下的数据应用模型;
2. 识别支撑数据洞察的有效数据源,并进行数据抽取、数据清洗和数据转换等预处理,开展规律性、交互性和关联性分析;
3. 融合业务、数据、算法和技术,挖掘数据及其之间的规律,获取数据洞察结果;
4. 构建数据洞察的管理和应用机制,持续改进和优化流程、提高能力和提升价值;
5. 建立数据洞察的数据安全和隐私保护机制,符合法律法规和行业监管等要求。

参考：
标准号：GB/T 34960.5-2018 信息技术服务 治理 第5部分：数据治理规范