厦门ISO38505认证标准认证福州 ISO/IEC 38505-1:2017数据治理符合性评价认证
ISO38505数据治理安全认证是全球首个针对企业数据安全治理的管理体系认证,代表了数据治理安全的国际通行要求。数据治理安全是全球新兴的安全理念,包括企业数据资产的安全管理、数据使用的安全管控、数据治理的安全稽核等。数据治理安全体系是一种动态安全体系,面向的是支持业务系统的数据,数据是可以流转、使用的、共享的,并从治理和技术两个视角看数据服务及技术生命周期,进行安全等级的划分。
ISO38505阐述了数据治理的意义,明确了治理主体的职责以及对数据治理监督机制的要求,提出了数据治理框架(包括目标、原则和模型)以帮助治理主体评估、指导和监督数据利用的过程。
在目标方面,ISO38505认为数据治理应在提升利用数据价值的同时,确保合规约束和风险管控。
在原则方面,ISO38505沿用了IT治理的六条基本原则:职责、战略、获取、绩效、合规和人员行为,并具体阐述了这些原则如何指导数据治理中的决策。
在模型方面,ISO38505认为治理主体应运用评估(Evaluate)-指导(Direct)-监督(Monitor)的EDM模型来开展数据治理工作。
EDM模型用于评估、指导和监督
- 评估:当前及未来的数据使用情况。例如评估数据方面的公司战略与商业模式、技术工具的应用情况等。
- 指导:编制及实施战略和政策,以确保数据使用符合业务目标。围绕评估情况制定数据战略及相应的治理体系政策。
- 监督:政策及战略的落地执行情况。建立相应的监督机制以确保在组织内部推行相关措施,例如将相关治理指标纳入KPI考核体系等。
其中,数据治理范围需涵盖数据治理责任图——收集、存储、报告、决策、发布和处置。
在实际数据应用中,企业通过创建、采集、采购等方式来收集数据并进行存储,将数据运用于报告分析、辅助决策来发挥其价值,并在某些情况下发布给外部各方或进行删除处置。因此数据责任图涵盖了数据应用范围,以促进企业改进数据责任点的管理,确保数据这一关键资产满足不同业务场景的需要和监管合规的要求。
数据责任图可结合数据治理的3个特征:价值、风险和约束进行评估。其中,数据价值包括数据质量、时效性、体量和语境;数据风险包括风险管理、数据分类和安全性;约束包括法律法规、组织政策等内容。 ISO38505认证标准介绍 ISO38505认证标准范围 ISO38505认证标准的规范性引用文件 ISO38505认证的好处 我们主要从事ISO38505、ISO27001、ISO27017、ISO27018、ISO27701、ISO22301、ISO20000、ISO29100、ITSS、CMMI、CCRC、CCID、CS信息系统集成等管理体系标准的咨询评估服务。
本文档的目的是为理事机构在评估,指导和监视组织中数据的处理和使用时使用的原则,定义和模型。
本文档是基于原则的高级咨询标准。除了提供有关理事机构作用的广泛指导之外,它还鼓励组织使用适当的标准来支持其数据治理。
所有组织都使用数据,并且这些数据的主要部分以电子方式存储在整个IT系统中。随着云计算的出现,“物联网”潜力的实现以及“大数据”分析的日益广泛使用,数据变得越来越易于生成,收集,存储和挖掘有用的信息。数据的泛滥给管理机构带来了紧迫的要求和责任,以确保利用宝贵的机会并保护和保护敏感数据。
本文档旨在为理事机构成员提供指导,以将基于原则的方法应用于数据治理,从而在减少与该数据相关的风险的同时增加数据的价值。ISO / IEC 38500为组织的理事机构提供了原则和模型,以指导其当前的使用并计划其未来对信息技术(IT)的使用,此处使用的是该文档。
与ISO / IEC 38500一样,本文档主要针对组织的理事机构,并且无论组织的规模或其行业或部门如何,都同样适用。治理与管理不同,因此我们关注的是评估,指导和监视数据的使用,而不是存储,检索或管理数据的机制。话虽这么说,但概述了对某些数据管理和技术的理解,以便阐明理事机构可以指导的可能的策略和政策。
本文档为组织理事机构的成员(可以包括所有者,董事,合伙人,执行经理或类似组织)提供指导原则,以指导组织有效,高效和可接受地使用数据
-将ISO / IEC 38500的管理原则和模型应用于数据管理,
—向利益相关者保证,如果遵循本文档中提出的原则和惯例,他们可以对组织的数据治理充满信心,
-通知和指导理事机构其组织中数据的使用和保护,以及
—建立用于数据治理的词汇。
该文档还可以为更广泛的社区提供指导,包括:
-执行经理,
-外部企业或技术专家,例如法律或会计专家,零售或行业协会或专业团体,
—内部和外部服务提供商(包括顾问),以及
-审核员。
尽管本文档着眼于组织内部数据的治理及其使用,但通常可以在ISO / IEC / TS 38501中找到有关有效进行IT治理的实施安排的指南。ISO / IEC / TS 38501中的构造可帮助识别与IT治理相关的内部和外部因素,并有助于定义有益的结果并识别成功的证据。
本文档适用于IT系统创建,收集,存储或控制的数据的当前和将来使用的治理,并且影响与数据有关的管理过程和决策。
本文档将数据治理定义为IT治理的子集或域,IT本身就是组织的子集或域,对于公司而言,则是公司治理。
本文档适用于所有组织,包括上市和私有公司,政府实体和非营利组织。本文档适用于从最小到最大的各种规模的组织,无论它们对数据的依赖程度如何。
在本文中,以下文档的引用方式以其部分或全部内容构成本文档的要求。凡是注日期的引用文件,仅所引用的版本适用。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。
ISO / IEC 38500,信息技术—组织的IT治理
1. 提高企业的管理水平:ISO38505认证能够帮助企业提高管理水平,提高企业的绩效,提高企业的效率,提高企业的竞争力。
2. 提高企业的信誉:ISO38505认证能够帮助企业提高信誉,增强客户对企业的信任,提高企业的知名度,提高企业的市场份额。
3. 提高企业的质量:ISO38505认证能够帮助企业提高质量,提高产品的质量,提高服务的质量,提高企业的整体质量水平。
4. 提高企业的安全性:ISO38505认证能够帮助企业提高安全性,提高企业的安全管理水平,提高企业的安全控制能力,提高企业的安全保障能力。
泉州