GB/T 34960,数据治理规范,要点整理
术语与定义
- 数据治理(data governance)
数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。 - 数据管理(data management)
数据资源获取、控制、价值提升等活动的集合。 - 数据资产(data asset)
组织拥有和控制的,能够产生效益的数据资源。 - 数据战略(data strategy)
组织开展数据工作的愿景和高阶指引。 - 数据架构(data architecture)
数据要素、结构和接口等抽象及其相互关系的框架。 - 元数据(metadata)
定义和描述其他数据的数据。 - 数据生存周期(data life cycle)
数据获取、存储、整合分析、应用、呈现、归档和销毁等各种生存形态演变的过程。
数据治理总则
概述
- 数据治理源于组织的外部监管、内部数据管理及应用的需求,主要包括:
- 法律法规、行业监管和内部管控等对数据及其应用的安全.合规的要求;
- 数据产品化、资产化和价值化的要求;.
- 数据生存周期管理及应用过程中,数据架构、数据模型、数据标准、数据质量和数据安全等体系建设的要求。
目标
- 数据治理的目标是保障数据及其应用过程中的运营合规、风险可控和价值实现,主要包括:
- 运营合规:建立符合法律法规和行业监管的数据运营管理体系,保障数据及其应用的合规;
- 风险可控:建立数据风险管控机制.确保数据及其应用满足风险偏好和风险容忍度;
- 价值实现:构建数据价值实现体系.促进数据资产化和数据价值实现。
任务
- 组织应通过评估、指导和监督的方法,按照统筹和规划、构建和运行、监控和评价以及改进和优化的过程,实施数据治理的任务,主要包括:
- 评估数据治理的现状及需求、数据治理环境、数据资源管理和数据资产运营能力;
- 指导数据治理体系的构建、数据治理域的建立和数据治理的实施落地;
- 制定合理的评价体系与审计规范,监督数据治理内控、合规和绩效。
数据治理框架
- 数据治理框架包括:顶层设计、数据治理环境、数据治理域和数据治理过程四大部分。
- 顶层设计包含数据相关的战略规划、组织构建和架构设计,是数据治理实施的基础。
- 数据治理环境包含内外部环境及促成因素,是数据治理实施的保障。
- 数据治理域包含数据管理体系和数据价值体系,是数据治理实施的对象。
- 数据治理过程包含统筹和规划、构建和运行、监控和评价以及改进和优化,是数据治理实施的方法。
顶层设计
战略规划
- 数据战略规划应保持与业务规划、信息技术规划一致,并明确战略规划实施的策略,至少应:
- 理解业务规划和信息技术规划,调研需求并评估数据现状、技术现状、应用现状和环境;
- 制定数据战略规划,包含但不限于愿景、目标、任务、内容、边界、环境和蓝图等;
- 指导数据治理方案的建立,包含但不限于实施主体、责权利、技术方案、管控方案、实施策略和实施路线等,并明确数据管理体系和数据价值体系;
- 明确风险偏好、符合性、绩效和审计等要求,监控和评价数据治理的实施并持续改进。
组织构建
- 组织构建应聚焦责任主体及责权利,通过完善组织机制,获得利益相关方的理解和支持,制定数据管理的流程和制度,以支撑数据治理的实施,至少应:
- 建立支撑数据战略的组织机构和组织机制,明确相关的实施原则和策略;
- 明确决策和实施机构,设立岗位并明确角色,确保责权利的--致;
- 建立相关的授权、决策和沟通机制,保证利益相关方理解、接受相应的职责和权利;
- 实现决策、执行、控制和监督等职能,评估运行绩效并持续改进和优化。
架构设计
- 架构设计应关注技术架构、应用架构和架构管理体系等,通过持续的评估、改进和优化,以支撑数据的应用和服务,至少应:
- 建立与战略一致的数据架构,明确技术方向、管理策略和支撑体系,以满足数据管理、数据流通、数据服务和数据洞察的应用需求;
- 评估数据架构设计的合理性和先进性,监督数据架构的管理和应用;
- 评估数据架构的管理机制和有效性,并持续改进和优化。
数据治理环境
内外部环境
- 组织应分析业务、市场和利益相关方的需求,适应内外部环境变化,支撑数据治理的实施,至少应:
- 遵循法律法规、行业监管和内部管控,满足数据风险控制、数据安全和隐私的要求;
- 遵从组织的业务战略和数据战略,满足利益相关方需求;
- 识别并评估市场发展、竞争地位和技术变革等变化;
- 规划并满足数据治理对各类资源的需求,包括人员、经费和基础设施等。
促成因素
- 组织应识别数据治理的促成因素,保障数据治理的实施,至少应:
- 获得数据治理决策机构的授权和支持;
- 明确人员的业务技能及职业发展路径,开展培训和能力提升;
- 关注技术发展趋势和技术体系建设,开展技术研发和创新;
- 制定数据治理实施流程和制度,并持续改进和优化;
- 营造数据驱动的创新文化,构建数据管理体系和数据价值体系;
- 评估数据资源的管理水平和数据资产的运营能力,不断提升数据应用能力。
数据治理域
数据管理体系
- 组织应围绕数据标准、数据质量、数据安全、元数据管理和数据生存周期等,开展数据管理体系的治理,至少应:
- 评估数据管理的现状和能力,分析和评估数据管理的成熟度;
- 指导数据管理体系治理方案的实施,满足数据战略和管理要求;
- 监督数据管理的绩效和符合性,并持续改进和优化。
数据价值体系
- 组织应围绕数据流通、数据服务和数据洞察等,开展数据资产运营和应用的治理,至少应:
- 评估数据资产的运营和应用能力,支撑数据价值转化和实现;
- 指导数据价值体系治理方案的实施,满足数据资产的运营和应用要求;
- 监督数据价值实现的绩效和符合性,并持续改进和优化。
数据治理过程
统筹和规划
- 明确数据治理目标和任务,营造必要的治理环境,做好数据治理实施的准备,包括:
- 评估数据治理的资源、环境和人员能力等现状,分析与法律法规行业监管、业务发展以及利益相关方需求等方面的差距,为数据治理方案的制定提供依据;
- 指导数据治理方案的制定,包括组织机构和责权利的规划、治理范围和任务的明确以及实施策略和流程的设计;
- 监督数据治理的统筹和规划过程,保证现状评估的客观、组织机构设计的合理以及数据治理方案的可行。
构建与运行
- 构建数据治理实施的机制和路径,确保数据治理实施的有序运行,包括:
- 评估数据治理方案与现有资源、环境和能力的匹配程度,为数据治理的实施提供指导;
- 制定数据治理实施的方案,包括组织机构和团队的构建,责权利的划分、实施路线图的制定、实施方法的选择以及管理制度的建立和运行等;
- 监督数据治理的构建和运行过程,保证数据治理实施过程与方案的符合、治理资源的可用和治理活动的可持续。
- 监控数据治理的过程,评价数据治理的绩效、风险与合规,保障数据治理目标的实现,包括:
- 构建必要的绩效评估体系、内控体系或审计体系,制定评价机制、流程和制度;
- 评估数据治理成效与目标的符合性,必要时可聘请外部机构进行评估,为数据治理方案的改进和优化提供参考;
- 定期评价数据治理实施的有效性、合规性,确保数据及其应用符合法律法规和行业监管要求。
监控和评价
- 监控数据治理的过程,评价数据治理的绩效、风险与合规,保障数据治理目标的实现,包括:
- 构建必要的绩效评估体系、内控体系或审计体系,制定评价机制、流程和制度;
- 评估数据治理成效与目标的符合性,必要时可聘请外部机构进行评估,为数据治理方案的改进和优化提供参考;
- 定期评价数据治理实施的有效性、合规性,确保数据及其应用符合法律法规和行业监管要求。
改进和优化
- 改进数据治理方案,优化数据治理实施策略、方法和流程,促进数据治理体系的完善,包括:
- 持续评估数据治理相关的资源、环境、能力、实施和绩效等,支撑数据治理体系的建设;
- 指导数据治理方案的改进,优化数据治理的实施策略、方法、流程和制度,促进数据管理体系和数据价值体系的完善;
- 监督数据治理的改进和优化过程,为数据资源的管理和数据价值的实现提供保障。
数据管理体系的治理
数据标准
-组织应明确数据标准的内涵和范围,建立数据标准体系及其管理机制,以支撑数据的标准化建设,保障数据在应用过程中的一致性,至少应:
- 明确数据标准的内涵和范围,制定通用的数据规范,包括但不限于数据分类、数据类型、数据格式和编码规则等,保证数据应用的过程中的一致性;
- 建立数据标准的实施方案和计划,推进数据标准化实施的落地;
- 建立数据标准化管理机构和机制,明确责权利和流程,开展数据标准化的实施;
- 制定数据标准管理制度,保障数据标准化的实施和落地;
- 保证数据标准的先进性、前瞻性和技术层面的可执行性,满足数据应用发展需要,持续开展数据标准的更新。
数据质量
- 组织应制定数据质量管理目标,建立数据质量管理体系及实施机制、优化数据质量并持续改进,满足数据应用的需求,至少应:
- 结合数据标准对数据质量进行分类管理,明确不同数据之间的关系和依赖性,制定数据质量管理目标;
- 建立数据质量管理机构和机制,定义数据质量管理的角色和职责,建立数据质量管理方法;
- 研发数据质量相关技术,支撑数据质量管理和数据质量提升;
- 识别数据生存周期各个阶段的数据质量关键因素,构建数据质量评估框架,包含但不限于数据的准确性、完整性、一致性、可访问性、及时性、相关性和可信度等;
- 采用定性评估、定量评估或综合评估等方法,评估和持续优化数据质量。
数据安全
- 组织应制定数据安全的管理目标、方针和策略,建立数据安全体系,实施数据安全管控,持续改进数据安全管理能力,至少应:
- 明确数据安全的内外部监管和管理需求,制定数据安全管理的目标、方针和策略,并持续改进和优化,确保数据防泄露、防篡改和防损毁;
- 建立数据安全管理机构,明确数据安全管理的角色和责任,提升人员的意识、能力和素质;
- 建立数据安全分类分级规范,建立满足不同业务场景、不同级别的数据安全规范、保护机制,确保数据的保密性、完整性、可用性以及数据的可追溯性;
- 构建数据安全管理视图,识别数据应用过程中的风险,并建立数据泄露、应急响应、沟通协作和责任追究等安全管控机制;
- 建立数据应用过程中的数据授权、访问和审计机制;
- 定期开展安全审计和风险评估,对数据安全管理能力进行监督,并持续改进和优化。
元数据管理
- 组织应明确元数据管理的范围和优先级,建立元数据管理的策略和流程,开展元数据创建、存储、整合与控制等,并持续改进和优化,至少应:
- 明确元数据的管理范围,构建元数据库;
- 建立完整的数据字典、数据模型、数据架构及其管理体系;
- 建立元数据管理机制,明确元数据的管理过程及角色、职责;
- 建立元数据创建、维护、整合、存储、分发、查询、报告和分析机制;
- 建立元数据管理的质量标准和评估指标,开展元数据绩效评估并持续改进。
数据生存周期
- 组织应定义数据生存周期,并对其不同的阶段制定对应的管理策略,降低成本和风险,支撑数据资源管理和数据资产运营,至少应:
- 识别数据资源和数据资产运营现状,明确数据资源和数据资产的管理目标和策略;
- 识别数据生存周期的各个阶段,明确各个阶段之间的关联和关系,并制定相应的管理策略;
- 确保数据生存周期各个阶段的数据保密性、完整性和可用性;
- 确保数据生存周期的管理符合法律法规、行业监管等要求,保证数据的获取合法、存储完整、整合高效、分析有效、应用合规、归档可靠和销毁完全等。
数据价值体系的治理
数据流通
- 组织应识别数据资产,明确数据权属,定义数据开放共享、交换和交易等流通方式,保证数据流通过程的合法合规、数据安全和隐私,至少应:
- 建立数据资产的识别方法和机制,建立数据资产价值评估指标,包含但不限于数据的整体性、动态性、针对性、准确性、层次性和可度量性等,并开展数据价值的评估;
- 遵循法律法规、行业监管和内部管控等内外部要求,明确可流通的数据权属、流通方式等;
- 结合数据分级分类管理机制,采用必要的技术手段对流通数据进行加密、脱敏等处理,确保数据的准确性、可用性、安全性和保密性;
- 采用必要的技术手段,保证数据资产及其流通过程中的安全,明确数据流通参与方的责权利,保证数据权属合法清晰、流通方式合规以及流通过程可靠;
- 确保数据流通过程的可追溯,保存数据流通日志或记录,包含但不限于时间戳、数据流通方式、参与者身份以及数据内容描述等;
- 建立数据流通 管理机制,符合法律法规、行业监管和内部管控要求。
数据服务
- 组织应明确数据服务的内涵,形成数据服务目录,不断改进和优化数据的服务能力,至少应:
- 分析数据服务需求、现有资源和环境,明确数据服务内涵、范围、类型、团队和服务方式;
- 明确数据服务的内容和能力,制定数据服务目录、服务级别协议和实施方法;
- 建立数据服务管控流程,监督数据服务的安全性与合规性,并对实施过程进行审核和控制;
- 建立数据服务支持流程,通过标准化、自动化等方式支撑数据服务的交付,满足服务需求;
- 构建数据服务管理机制,对数据服务的过程、质量和安全等进行管理,并持续改进和优化;
- 开展数据服务能力评价,定期对数据服务能力和价值进行评估、改进和优化,促进服务创新。
数据洞察
- 组织应创建业务视角和用户视角,对数据及其内在的规律进行分析,识别不同数据集的关联,挖掘数据价值,获取数据洞察的能力,至少应:
- 获得业务视角和用户视角下的数据应用的需求,进行静态和动态场景识别,获取不同场景和应用下的数据应用模型;
- 识别支撑数据洞察的有效数据源,并进行数据抽取、数据清洗和数据转换等预处理,开展规律性、交互性和关联性分析;
- 融合业务、数据、算法和技术,挖掘数据及其之间的规律,获取数据洞察结果;
- 构建数据洞察的管理和应用机制,持续改进和优化流程、提高能力和提升价值;
- 建立数据洞察的数据安全和隐私保护机制,符合法律法规和行业监管等要求。