数据治理@@@@国际标准@@@@@@研究@@

　　摘要@@：本文介绍了由中国提出并将形成国际标准@@的@@ISO/IEC 38505-1和@@ISO/IEC TR 38505-2的主要内容@@。ISO/IEC38505-1旨在@@为治理@@主体@@提供原则@@、定义以及模型@@,以帮助治理@@主体@@评估@@、指导和@@监督其数据利用的过程@@。ISO/IEC TR 38505-2为组织的治理@@主体@@和@@管理者建立关联@@,确保数据管理活动符合组织的数据治理@@@@@@战略@@。阐述了数据治理@@@@和@@@@@@IT治理@@国际标准@@@@的关系@@,以及数据治理@@@@未来的发展方向@@@@。

　　1、引言@@

　　数据已经逐渐取代传统的@@IT基础设施和@@应用成为组织发展新的动力和@@重要的资产@@。数据的价值被组织的高层管理者所接受@@,越来越多的组织通过加强数据的利用@@寻找新业务的增长点@@。而传统的数据质量@@、数据标准@@、数据模型@@、元数据@@、主数据等数据管理活动只解决数据相关的局部问题@@,其相互之间没有统一的协调和@@安排@@,管理活动之间存在@@割裂和@@不一致@@,导致数据利用的效率降低@@。因此@@,开展数据利用活动不仅需要组织高层管理者的参与@@@@,也需要明确数据治理@@@@和@@@@管理@@的区别和@@联系@@(如@@图@@@@1所示@@),从而建立数据治理@@@@机制来促进数据管理活动的协调一致@@,更有效地挖掘数据的潜在@@价值@@,满足组织战略目标@@。

　　2、数据治理@@@@国际标准@@@@@@的发展历程@@

　　数据治理@@@@的概念建立在@@@@IT治理@@的基础上@@,在@@ISO标准和@@中国国家标准中@@,数据治理@@@@标准@@都属于@@IT治理@@标准体系@@,遵循@@IT治理@@的思想@@。数据治理@@@@国际标准@@@@@@发展历程如@@图@@@@@@2。

图@@1 数据治理@@@@和@@@@管理@@

图@@2 数据治理@@@@国际标准@@@@@@的发展历程@@

　　●2014年@@

　　中国数据治理@@@@国家标准@@立项后@@,中国代表@@团在@@澳大利亚召开的@@ISO/IEC JTC1/SC40/WG1(IT服务管理与@@@@IT治理@@分技术委员会@@/IT治理@@工作组@@)会议上提出需要开展数据治理@@@@国际标准@@@@@@工作@@,得到国际专家的认可@@。

　　在@@同年@@召开的荷兰会议上@@,中国代表@@团提交了由中国数据治理@@@@国家标准@@工作组编写的@@《数据治理@@@@白皮书@@》(英文版@@),白皮书引起了国际专家的高度重视@@。

　　●2015年@@

　　在@@巴西会议上@@,中国代表@@团正式提出数据治理@@@@的新工作项目建议@@,并得到国际与@@会专家的一致通过@@。经过会议讨论@@,将数据治理@@@@国际标准@@@@@@分为两个部分@@:ISO/IEC 38505-1《基于@@ISO/IEC 38500(IT治理@@)的数据治理@@@@@@》和@@ISO/IEC TR 38505-2《数据治理@@@@对数据管理的影响@@》,中国专家担任第一部分的联合编辑和@@第二部分的编辑@@。

　　在@@同年@@的爱尔兰会议上@@,ISO/IEC 38505-1形成了委员会草案@@(CD),ISO/IEC TR 38505-2形成编辑草案@@(ED)。

　　●2016年@@

　　在@@苏州会议上@@,ISO/IEC 38505-1形成了国际标准@@草案@@(DIS),ISO/IEC TR 38505-2形成第一版工作草案@@(WD1)。

　　在@@同年@@的英国会议上@@,ISO/IEC 38505-1形成了最终国际标准@@草案@@(FDIS),ISO/IEC TR 38505-2形成第二版工作草案@@(WD2)。

　　数据治理@@@@国际标准@@@@@@的两个部分预计在@@@@2017年@@5月日本会议后发布@@,这代表@@着数据治理@@@@在@@国际上的共识@@,也是中国作为@@ISO/IEC JTC1/SC40/WG1成员在@@@@IT治理@@国际标准@@@@工作组的重要贡献@@。

　　3、数据治理@@@@国际标准@@@@@@的主要内容@@@@

　　数据治理@@@@国际标准@@@@@@为组织的治理@@主体@@提供数据治理@@@@指南@@,组织的数据治理@@@@@@主体@@可以应用基于@@原则@@(IT治理@@国际标准@@@@ISO/IEC 38500:2015中提及的方法@@)的方法来开展数据治理@@@@活动@@,从而在@@减少数据风险的同时@@提升数据的价值@@。数据治理@@@@国际标准@@@@@@主要关注@@治理@@主体@@评估@@、指导和@@监督数据利用的过程@@,而不关注@@数据存储@@结构@@、恢复等数据管理活动@@。

　　数据治理@@@@的责任主体@@在@@治理@@层@@,治理@@层在@@开展数据治理@@@@的过程中主要通过制定数据战略来指导数据管理活动@@,而管理层需要通过管理活动来实现战略目标@@。同时@@,治理@@主体@@需要通过建立数据策略@@来保障数据管理活动符合数据战略的需要@@,进而满足组织的战略目标@@@@。两者之间的关系@@见图@@@@3。

图@@3 ISO/IEC 38505-1与@@ISO/IEC TR 38505-2之间的关系@@

　　数据治理@@@@是@@随着大数据的广泛应用发展起来的@@,是比较新的领域@@。为了促进数据治理@@@@国际标准@@@@@@对于行业实践的指导@@、适应组织发展的需要@@,数据治理@@@@国际标准@@@@@@仍在@@不断扩展中@@。标准工作组正在@@调研行业数据治理@@@@应用和@@实践@@,以开发针对特定行业的数据治理@@@@@@行业指南@@,以优化行业和@@组织数据利用的过程@@。

　　3.1 ISO/IEC 38505-1

　　ISO/IEC 38505-1保持了与@@@@ISO/IEC 38500:2015的一致性@@,基于@@IT治理@@的原则和@@模型@@给出了数据治理@@@@的原则和@@模型@@@@,同时@@提出了数据治理@@@@的责任和@@特征作为标准的主体@@@@,并用数据治理@@@@责任@@和@@特征构成数据治理@@@@责任@@矩阵@@@@,为组织的数据治理@@@@@@主体@@提供实践指南@@。

　　数据治理@@@@责任@@图@@@@(图@@4)包括收集@@、存储@@、报告@@、决策@@、发布和@@处置几个活动@@。组织通过收集来获取数据@@,经过存储@@@@、报告@@、决策@@再到收集形成反馈循环@@,以确保数据适合不同场景的需要@@,这样可以促进组织改进数据收集过程@@,同时@@提升企业的业务决策@@效率@@。对于不同业务类型的组织@@,数据治理@@@@责任@@图@@@@从治理@@的视角标识出治理@@主体@@需要关注@@的主题@@。

图@@4 数据治理@@@@责任@@

　　数据治理@@@@的特征@@(如@@图@@@@5所示@@)包括价值@@、风险和@@约束@@。数据的价值在@@于在@@规避风险和@@符合要求的前提下@@,从其包含的信息中分析出未来的趋势@@,或者通过利用数据提高决策@@效果@@。首先@@,从数据中提取信息要关注@@数据的质量@@、时效性@@、语境@@、体量@@,以最大化数据的价值@@。其次@@@@,在@@利用数据的过程中存在@@相应的风险@@,因此@@需要关注@@数据相关的分类@@@@、风险管理和@@信息安全等活动@@。最后@@,组织在@@利用的数据的过程中需要遵守相关的法律法规@@,同时@@考虑社会化对数据利用过程@@的约束@@。

图@@5 数据治理@@@@特征@@

　　数据责任矩阵@@(如@@表@@@@1所示@@)由数据治理@@@@责任@@和@@数据治理@@@@的三个特征构成@@6×3的矩阵@@,旨在@@通过矩阵阐述组织的治理@@主体@@在@@开展数据治理@@@@活动时需要关注@@的主要内容@@@@。如@@,矩阵中的@@V2代表@@治理@@主体@@应考虑数据存储@@相关的价值@@(治理@@主体@@需要提供相关策略@@以分配数据存储@@和@@数据服务的资源@@,从而发现数据的潜在@@价值@@)。通过表@@@@1的描述@@,治理@@主体@@可以从价值@@、风险和@@约束@@三方面@@,体系化@@、系统地了解从收集到处置过程中的数据治理@@@@@@责任@@@@。

表@@1 数据治理@@@@责任@@矩阵@@

　　ISO/IEC 38505-1给出了数据治理@@@@原则@@、模型和@@数据特征@@,以及治理@@主体@@需要采取的行动@@,最大限度地提高组织在@@数据利用方面的价值@@,同时@@管理相关的风险和@@约束@@@@,以促进在@@组织中执行良好的数据治理@@@@@@活动@@。

　　3.2 ISO/IEC TR 38505-2

　　ISO/IEC 38505-2描述了组织的治理@@主体@@需要建立相关机制@@,以评估@@、指导和@@监督数据管理活动@@,确保管理活动符合数据治理@@@@原则的要求@@。数据治理@@@@作为@@IT治理@@的一部分@@,用来帮助组织从数据中获取最大价值@@。因此@@,治理@@主体@@需要制定数据战略@@,而管理者需要了解数据治理@@@@战略@@,并通过管理活动来实现组织的战略目标@@。同时@@,管理者需要为治理@@主体@@提供相关的建议和@@计划来帮助治理@@主体@@建立数据治理@@@@战略@@。ISO/IEC TR 38505-2在@@数据治理@@@@主体@@和@@管理者之间建立了沟通机制@@,同时@@给出建立数据治理@@@@策略@@的建议@@,以确保数据管理活动符合数据治理@@@@战略@@,进而实现整个组织的战略目标@@。

　　数据治理@@@@主体@@和@@数据管理者需要建立沟通机制@@(如@@图@@@@6所示@@),促进数据管理者的管理过程与@@数据战略保持一致@@,沟通机制由战略@@、策略@@、控制和@@过程四个部分组成@@(本标准只关注@@从战略到策略@@的过程@@,因为控制和@@过程属于管理范畴@@)。治理@@主体@@需要根据组织的实际情况建立数据治理@@@@战略@@,同时@@需要根据管理者的反馈@@(建议或计划@@)与@@管理者共同制定数据策略@@@@。沟通机制是双向的@@,治理@@主体@@也需要通过监督活动@@,了解数据管理的控制和@@过程是否满足数据策略@@和@@战略的需要@@。

图@@6 数据治理@@@@和@@@@管理@@沟通机制@@

　　ISO/IEC TR 38505-2也给出了制定数据治理@@@@策略@@的基本方法和@@关键内容@@,为治理@@主体@@开发数据策略@@提供指导@@。如@@图@@@@7所示@@,建立数据治理@@@@策略@@需要通过计划和@@开发@@、发布和@@授权@@、宣贯和@@实施@@、监督和@@维护四个部分@@,组织的治理@@主体@@可以根据组织的特点和@@实际情况参照此过程建立数据治理@@@@策略@@@@。

图@@7 策略@@开发过程@@

　　表@@2给出制定数据策略@@需要具备关键要素的示例@@。示例中显示@@,数据策略@@需要包括数据策略@@的名称@@、分类@@、目的@@、范围@@、内容和@@沟通方法@@。组织的治理@@主体@@通过建立数据策略@@@@,为管理者实施数据治理@@@@活动提供指导@@。

表@@2 数据策略@@关键要素@@

　　4、数据治理@@@@和@@@@IT治理@@国际标准@@@@的关系@@

　　数据治理@@@@是@@IT治理@@的组成部分@@,需要符合@@ISO/IEC 38500:2105中提出的@@IT治理@@的原则和@@模型@@,同项目治理@@@@、信息安全治理@@等相关内容共同组成@@IT治理@@的框架@@,促进组织对@@IT的利用@@。

　　治理@@主体@@应通过三项主要任务开展数据治理@@@@工作@@:

　　(1)评估现在@@和@@将来对数据的利用@@@@;

　　(2)建立数据治理@@@@战略和@@策略@@@@,保证数据利用符合业务需求@@;

　　(3)监督数据治理@@@@实施的符合性@@,满足组织的战略目标@@。

　　数据治理@@@@国际标准@@@@@@采用了@@IT治理@@国际标准@@@@的模型@@,在@@IT治理@@模型中增加了针对数据治理@@@@的说明@@。治理@@主体@@在@@评估组织数据利用的活动时@@,应从组织视角考虑内部需求和@@外部压力@@,审查和@@判断当前和@@将来数据的利用@@@@,明确数据治理@@@@的职责@@,指导数据治理@@@@战略和@@策略@@的建立及实施@@。同时@@,治理@@主体@@也需要建立适当的测量体系来监督数据利用的绩效@@,确保在@@数据治理@@@@过程中遵循@@战略目标@@,确保符合内部策略@@和@@外部需求@@。

　　5、数据治理@@@@未来的发展方向@@

　　数据作为劳动力@@、土地@@、资本之外新的生产要素@@,是通过对自然世界的精神构建向物质构建转换的过程@@。本质是收集过去的信息@@,经过处理和@@利用对未来进行预测的过程@@(如@@图@@@@8所示@@)。数据利用的过程需要基础设施@@(如@@云计算@@)服务的支持@@,基础设施服务相关技术的发展对数据进入大数据时代起到很大的促进作用@@,提升了数据利用的能力@@。

图@@8 数据利用过程@@

　　开展数据治理@@@@主要目的@@是利用数据对社会或组织产生价值@@,因此@@组织需要开展面向价值的数据治理@@@@@@@@。在@@开展数据治理@@@@活动中需要了解数据的价值和@@组织自身的能力特点@@,识别适合于组织的价值空间@@@@,进而根据组织不同的价值取向@@,有针对性地开展数据治理@@@@活动@@。如@@图@@@@9所示@@,组织可以从四个不同的层次@@识别数据相关的价值空间@@@@。

　　首先@@,组织可以利用从外部收集或自己产生的数据与@@其他组织进行交易@@,但是在@@交易过程中需要符合@@法律法规的要求@@,避免隐私@@、信息安全等相关的风险@@。其次@@@@,数据可以作为资产@@,在@@组织重组或兼并等过程中计入资产估值@@,以增加组织的无形资产的价值@@。再次@@@@,数据可以作为企业内部的服务@@,为业务提供支持@@,为重大决策@@提供支撑@@。最后@@,组织也可以通过数据开展业务创新@@,面向用户提供相应的数据业务@@。