国家标准 GB/34960.5一2018 信息技术服务治理第5部分;数据治理规范 lnformationtechnologyservice一Governance Part5;Specifeationofdatagwvemanee 2018-06-07发布 2019-01-01实施国家市场监督管理总局发布币国国家标准化管理委员会国家标准
GB;/T34960.5一2018 目次前言引言范围 2 规范性引用文件术语和定义数据治理总则 4.1概述 4.2目标 4.3任务 5 数据治理框架 6 顶层设计 6.1战略规划组织构建 6.,2 6.3架构设计数据治理环境 7.l内外部环境 7.2促成因素数据治理域 8 8.1数据管理体系 8.2数据价值体系数据治理过程 9.1统筹和规划 9.2构建和运行 9.3监控和评价 9.4改进和优化附录A规范性附录)数据管理体系的治理附录B(规范性附录数据价值体系的治理参考文献
GB;/T34960.5一2018 前言 GB/T34960(信息技术服务治理》分为如下部分第1部分:通用要求; 第2部分:实施指南; 第3部分;绩效评价第4部分;审计导则; S 第5部分:数据洽理规范本部分为GB/T34960的第5部分本部分按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本部分由全国信息技术标准化技术委员会(sAc/Tc28)提出并归口本部分起草单位;上海计算机软件技术开发中心心.电子技术标准化研究院、北京米元数据科技有限公司、北京中百信信息技术股份有限公司北京中扬天成科技有限公司北京锐银天成科技有限公司,四川久远银海软件股份有限公司、北京中软融鑫计算机系统工程有限公司、北京微步在线科技有限公司,天津天大康博科技有限公司、北京德信永道信息技术服务有限公司、北京趋势引领信息咨询有限公司、华融资产管理股份有限公司科技咨询有限公司、长江三峡集团公司、邢台银行股份有限公司、深圳市华傲数据技术有限公司,北京神州泰岳软件股份有限公司、上海感知城市数据科学研究院、上海产业技术研究院、联通系统集成有限公司、上海市国有资产信息中心气象局气象干部培训学院、上海超级计算中心,银行股份有限公司上海数据资产运营管理有限公司、北京易服务信息技术有限公司 .上海万隆信息技术咨询有限公司深圳云塔信息技术有限公司、北京肯思捷信息系统咨询有限公司、上海理想信息产业(集团)有限公司北京中启智源数字信息技术有限责任公司、交通运输部科学研究院、北京华康同邦科技有限公司、上海浦东软件平台有限公司、广州赛宝联睿信息科技有限公司、成都信息化技术应用发展中心、上海翰纬信息科技有限公司,山东鲁能软件技术有限公司、广州赛宝认证中心服务有限公司、深圳德讯信息技术有限公司、一汽铸造有限公司平安保险(集团)股份有限公司、上海谷航信息科技发展有限公司本部分主要起草人;张绍华、杨琳,潘蓉,李鸣、刘增志、,宋俊典、谢江、卢学哲、杨泽明、邓宏,张寒梅俞文平、孙佩,郑晨光、杨泉、张引杨国兵、钟晓良、陆雯毋、黄建新、王春涛、刘晨、金和平、刘小茵、张肠肠、阳奕、付君广、黎俊茂、王庆磊,朱琳,高洪美、张明英,李豪、王宇颖,谢卫、韩亦舜、陈忠德、周勇戴炳荣、纪婷婷、徐莹、吴新颖、谢晨、汤仰止、许妍、范颖捷、宋跃武、焦烈窥、刘卓、孙军、吴江龙、丁富强、李玉红、金龙、赵正松,邱兢、盛林、侯觅、但强,左天祖、肖建一,孙蚓威,王刚、蔡文海、王传胜
GB/T34960.5一2018 引言业务的数据化和数据的业务化,是当前各行业、各领域数据服务和应用的重点和趋势为了促进组织有效、高效、合理地利用数据,有必要在数据获取、存储、整合、分析、应用呈现、归档和销毁过程中,提出数据治理的相关规范,从而实现运营合规、风险可控和价值实现的目标 GB/T34960的本部分旨在对数据治理现状进行评估,指导数据治理体系建立,并监督其运行和完善 GB/T34960.1一2017提出了信息技术治理的指导原则、模型、任务和管控要求;GBT34960.2 2017提出了信息技术治理实施过程要求;GB/T34960.3一2017提出了信息技术治理绩效指标体系建立程序;GB/T34960.4一2017提出了信息技术治理的审计方法和范围等本部分可与以上四个部分联合使用 IN
GB;/T34960.5一2018 信息技术服务治理第5部分:数据治理规范范围 GB/T34960的本部分提出了数据治理的总则和框架,规定了数据治理的顶层设计、数据治理环境、数据治理域及数据治理过程的要求本部分适用于数据治理现状自我评估,数据治理体系的建立 a b) 数据治理域和过程的明确,数据治理实施落地的指导; 数据治理相关的软件或解决方案的研发、选择和评价 c d)数据治理能力和绩效的内部、外部和第三方评价规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T34960.1信息技术服务治理第1部分:通用要求术语和定义 GB/T34960.1界定的以及下列术语和定义适用于本文件 3.1 数据治理datao Overnance 数据资源及其应用过程中相关管控活动、绩效和风险管理的集合 3.2 数据管理datamanagement 数据资源获取、控制价值提升等活动的集合 3.3 数据资产dataasset 组织拥有和控制的,能够产生效益的数据资源 3.4 数据战略data stratey 组织开展数据工作的愿景和高阶指引 3.5 数据架构dataarehitecture 数据要素、结构和接口等抽象及其相互关系的框架 3.6 元数据metadata 定义和描述其他数据的数据 [[GB/T18391.1一2009,定义3.2.16]
GB/T34960.5一2018 3.7 数据生存周期datalifeeyele 数据获取、存储、整合,分析、,应用、呈现、归档和销毁等各种生存形态演变的过程数据治理总则 4.1概述数据治理源于组织的外部监管、内部数据管理及应用的需求,主要包括法律法规、行业监管和内部管控等对数据及其应用的安全、合规的要求; a 数据产品化、资产化和价值化的要求; b) c 数据生存周期管理及应用过程中,数据架构、数据模型、数据标准、数据质量和数据安全等体系建设的要求 4.2目标数据治理的目标是保障数据及其应用过程中的运营合规、风险可控和价值实现,主要包括运营合规:建立符合法律法规和行业监管的数据运营管理体系,保障数据及其应用的合规 a b风险可控:建立数据风险管控机制,确保数据及其应用满足风险偏好和风险容忍度; 价值实现:构建数据价值实现体系,促进数据资产化和数据价值实现 c 4.3任务组织应通过评估、指导和监督的方法,按照统筹和规划构建和运行、监控和评价以及改进和优化的过程,实施数据治理的任务，主要包括评估数据治理的现状及需求、数据治理环境、数据资源管理和数据资产运营能力， a 指导数据治理体系的构建、数据治理域的建立和数据治理的实施落地 b) 制定合理的评价体系与审计规范,监督数据治理内控、合规和绩效 c s 数据治理框架数据治理框架包含顶层设计、数据治理环境、数据治理域和数据治理过程四大部分,见图1 顶层设计战略组织架构规划构建设计数据治理域数据治理环境数据价值体系数据管理体系内外部数据治理过程环境统筹和规划促成改进和优化构建和运行因素监控和评价图数据治理框架
GB;/T34960.5一2018 顶层设计包含数据相关的战略规划、组织构建和架构设计,是数据治理实施的基础数据治理环境包含内外部环境及促成因素,是数据治理实施的保障数据治理域包含数据管理体系和数据价值体系,是数据治理实施的对象数据治理过程包含统筹和规划、构建和运行,监控和评价以及改进和优化,是数据治理实施的方法顶层设计 6 6.1战略规划数据战略规划应保持与业务规划、信息技术规划一致,并明确战略规划实施的策略,至少应理解业务规划和信息技术规划,调研需求并评估数据现状,技术现状,应用现状和环境 aa 制定数据战略规划,包含但不限于愿景、目标、任务、内容、边界、环境和蓝图等 b 指导数据治理方案的建立,包含但不限于实施主体,责权利、技术方案、管控方案,实施策略和 c 实施路线等,并明确数据管理体系和数据价值体系; 明确风险偏好、符合性、绩效和审计等要求,监控和评价数据治理的实施并持续改进 d 6.2组织构建组织构建应聚焦责任主体及责权利,通过完善组织机制,获得利益相关方的理解和支持,制定数据管理的流程和制度,以支撑数据治理的实施,至少应建立支撑数据战略的组织机构和组织机制,明确相关的实施原则和策略; a 明确决策和实施机构设立岗位并明确角色确保责权利的一 b -致; 建立相关的授权、决策和沟通机制,保证利益相关方理解、接受相应的职责和权利 c 实现决策、执行、控制和监督等职能,评估运行绩效并持续改进和优化 d 6.3架构设计架构设计应关注技术架构,应用架构和架构管理体系等,通过持续的评估、改进和优化以支撑数据的应用和服务,至少应: 建立与战略一致的数据架构,明确技术方向、管理策略和支撑体系,以满足数据管理,数据流通、数据服务和数据洞察的应用需求; b)评估数据架构设计的合理性和先进性,监督数据架构的管理和应用评估数据架构的管理机制和有效性,并持续改进和优化数据治理环境 7.1内外部环境组织应分析业务、市场和利益相关方的需求,适应内外部环境变化支撑数据治理的实施至少应遵循法律法规、行业监管和内部管控,满足数据风险控制、数据安全和隐私的要求; b遵从组织的业务战略和数据战略,满足利益相关方需求; c 识别并评估市场发展,竟争地位和技术变革等变化; d 规划并满足数据治理对各类资源的需求,包括人员、经费和基础设施等 7.2促成因素组织应识别数据治理的促成因素,保障数据治理的实施,至少应
GB/T34960.5一2018 获得数据治理决策机构的授权和支持 a b 明确人员的业务技能及职业发展路径,开展培训和能力提升关注技术发展趋势和技术体系建设,开展技术研发和创新; d 制定数据治理实施流程和制度,并持续改进和优化; e 营造数据驱动的创新文化,构建数据管理体系和数据价值体系; fD 评估数据资源的管理水平和数据资产的运营能力,不断提升数据应用能力数据治理域 8.1数据管理体系组织应围绕数据标准、数据质量、数据安全、元数据管理和数据生存周期等,开展数据管理体系的治理,至少应评估数据管理的现状和能力,分析和评估数据管理的成熟度 a b) 指导数据管理体系治理方案的实施,满足数据战略和管理要求监督数据管理的绩效和符合性,并持续改进和优化 c 数据管理体系的治理要求见附录A 8.2数据价值体系组织应围绕数据流通、数据服务和数据洞察等,开展数据资产运营和应用的治理,至少应评估数据资产的运营和应用能力,支撑数据价值转化和实现 a b) 指导数据价值体系治理方案的实施,满足数据资产的运营和应用要求监督数据价值实现的绩效和符合性,并持续改进和优化 c 数据价值体系的治理要求见附录B 数据治理过程统筹和规划 9.1 明确数据治理目标和任务,营造必要的治理环境,做好数据治理实施的准备,包括 a 评估数据治理的资源,环境和人员能力等现状,分析与法律法规、行业监管,业务发展以及利益相关方需求等方面的差距,为数据治理方案的制定提供依据指导数据治理方案的制定,包括组织机构和责权利的规划治理范围和任务的明确以及实施策 b 略相流程的设计监督数据治理的统筹和规划过程,保证现状评估的客观、组织机构设计的合理以及数据治理方案的可行 9.2构建和运行构建数据治理实施的机制和路径,确保数据治理实施的有序运行,包括 a 评估数据治理方案与现有资源、环境和能力的匹配程度,为数据治理的实施提供指导 b 制定数据洽理实施的方案,包括组织机构和团队的构建,责权利的划分,实施路线图的制定,实施方法的选择以及管理制度的建立和运行等; 监督数据治理的构建和运行过程,保证数据洽理实施过程与方案的符合、治理资源的可用和治理活动的可持续
GB;/T34960.5一2018 9.3监控和评价监控数据治理的过程,评价数据治理的绩效、风险与合规,保障数据治理目标的实现,包括: 构建必要的绩效评估体系、内控体系或审计体系,制定评价机制、流程和制度 a b 评估数据治理成效与目标的符合性,必要时可聘请外部机构进行评估,为数据治理方案的改进和优化提供参考; 定期评价数据治理实施的有效性、合规性,确保数据及其应用符合法律法规和行业监管要求 9.4改进和优化改进数据治理方案,优化数据治理实施策略、方法和流程,促进数据治理体系的完善,包括持续评估数据治理相关的资源,环境、,能力,实施和绩效等,支撑数据治理体系的建设 a b 指导数据治理方案的改进优化数据治理的实施策略、方法、流程和制度,促进数据管理体系和数据价值体系的完善; 监督数据治理的改进和优化过程,为数据资源的管理和数据价值的实现提供保障
GB/T34960.5一2018 附录 A 规范性附录) 数据管理体系的治理数据标准组织应明确数据标准的内涵和范围,建立数据标准体系及其管理机制,以支撑数据的标准化建设保障数据在应用过程中的一致性,至少应明确数据标准的内涵和范围,制定通用的数据规范,包括但不限于数据分类、数据类型、数据格 a 式和编码规则等,保证数据应用的过程中的一致性; 建立数据标准的实施方案和计划,推进数据标准化实施的落地; b e 建立数据标准化管理机构和机制,明确责权利和流程,开展数据标准化的实施 d 制定数据标准管理制度,保障数据标准化的实施和落地保证数据标准的先进性,前瞻性和技术层面的可执行性,满足数据应用发展需要,持续开展数据标准的更新数据质量组织应制定数据质量管理目标,建立数据质量管理体系及实施机制、优化数据质量并持续改进,满足数据应用的需求,至少应: 结合数据标准对数据质量进行分类管理,明确不同数据之间的关系和依赖性,制定数据质量管 a 理目标建立数据质量管理机构和机制,定义数据质量管理的角色和职责,建立数据质量管理方法; b c 研发数据质量相关技术,支撑数据质量管理和数据质量提升; 识别数据生存周期各个阶段的数据质量关键因素,构建数据质量评估框架,包含但不限于数据 d 的准确性、完整性、一致性、可访问性、及时性、相关性和可信度等; 采用定性评估、定量评估或综合评估等方法,评估和持续优化数据质量 A.3数据安全组织应制定数据安全的管理目标、方针和策略,建立数据安全体系,实施数据安全管控,持续改进数据安全管理能力,至少应明确数据安全的内外部监管和管理需求,制定数据安全管理的目标、方针和策略.并持续改进 a 和优化,确保数据防泄露、防篡改和防损毁; b 建立数据安全管理机构,明确数据安全管理的角色和责任,提升人员的意识能力和素质; 建立数据安全分类分级规范,建立满足不同业务场景、不同级别的数据安全规范、保护机制,确保数据的保密性、完整性,可用性以及数据的可追溯性 d 构建数据安全管理视图,识别数据应用过程中的风险,并建立数据泄露、应急响应、沟通协作和责任追究等安全管控机制; 建立数据应用过程中的数据授权,访问和审计机制; 定期开展安全审计和风险评估,对数据安全管理能力进行监督,并持续改进和优化
GB;/T34960.5一2018 A.4元数据管理组织应明确元数据管理的范围和优先级,建立元数据管理的策略和流程,开展元数据创建、存储、整合与控制等,并持续改进和优化,至少应明确元数据的管理范围,构建元数据库; a b 建立完整的数据字典、数据模型、数据架构及其管理体系; 建立元数据管理机制,明确元数据的管理过程及角色、职责 c d 建立元数据创建、维护、整合、存储、分发、查询、报告和分析机制建立元数据管理的质量标准和评估指标,开展元数据绩效评估并持续改进 A.5数据生存周期组织应定义数据生存周期,并对其不同的阶段制定对应的管理策略,降低成本和风险,支撑数据资源管理和数据资产运营,至少应: 识别数据资源和数据资产运营现状,明确数据资源和数据资产的管理目标和策略" a 识别数据生存周期的各个阶段,明确各个阶段之间的关联和关系,并制定相应的管理策略; b 确保数据生存周期各个阶段的数据保密性、完整性和可用性 c 确保数据生存周期的管理符合法律法规、行业监管等要求,保证数据的获取合法、存储完整、整 d 合高效,分析有效,应用合规,归档可靠和销毁完全等
GB/T34960.5一2018 附录 B 规范性附录) 数据价值体系的治理 B.1数据流通组织应识别数据资产,明确数据权属,定义数据开放共享,交换和交易等流通方式,保证数据流通过程的合法合规、数据安全和隐私,至少应建立数据资产的识别方法和机制,建立数据资产价值评估指标,包含但不限于数据的整体性、 a 动态性、针对性、准确性、层次性和可度量性等,并开展数据价值的评估遵循法律法规、行业监管和内部管控等内外部要求,明确可流通的数据权属、流通方式等; b c 结合数据分级分类管理机制,采用必要的技术手段对流通数据进行加密、脱敏等处理,确保数据的准确性、可用性、安全性和保密性 d 采用必要的技术手段,保证数据资产及其流通过程中的安全,明确数据流通参与方的责权利，保证数据权属合法清晰、流通方式合规以及流通过程可靠; 确保数据流通过程的可追溯,保存数据流通日志或记录,包含但不限于时间戳、数据流通方式、参与者身份以及数据内容描述等; 建立数据流通管理机制,符合法律法规、行业监管和内部管控要求 B.2数据服务组织应明确数据服务的内涵,形成数据服务目录,不断改进和优化数据的服务能力,至少应分析数据服务需求、现有资源和环境,明确数据服务内涵、范围、类型、团队和服务方式 a b 明确数据服务的内容和能力,制定数据服务目录、服务级别协议和实施方法建立数据服务管控流程,监督数据服务的安全性与合规性,并对实施过程进行审核和控制; c d 建立数据服务支持流程,通过标准化、自动化等方式支撑数据服务的交付,满足服务需求构建数据服务管理机制,对数据服务的过程、质量和安全等进行管理,并持续改进和优化 e f 开展数据服务能力评价,定期对数据服务能力和价值进行评估,改进和优化,促进服务创新 B.3数据洞察组织应创建业务视角和用户视角,对数据及其内在的规律进行分析,识别不同数据集的关联,挖掘数据价值,获取数据洞察的能力,至少应获得业务视角和用户视角下的数据应用的需求,进行静态和动态场景识别,获取不同场景和应 a 用下的数据应用模型; 识别支撑数据洞察的有效数据源,并进行数据抽取、数据清洗和数据转换等预处理,开展规律 b 性、交互性和关联性分析; 融合业务、数据、算法和技术,挖掘数据及其之间的规律,获取数据洞察结果; c 构建数据洞察的管理和应用机制,持续改进和优化流程、提高能力和提升价值; d 建立数据洞察的数据安全和隐私保护机制,符合法律法规和行业监管等要求 e
GB;/T34960.5一2018 参考文献 GB/T18391.1一2009信息技术元数据注册系统(MDR)第1部分;框架 [2] GB/T190012016 质量管理体系要求 [3 G;B/T19668.1一2014信息技术服务监理第1部分:总则 [门 GB/T202692006 信息安全技术信息系统安全管理要求 [57 GB/T209842007 信息安全技术信息安全风险评估规范 [[6 G;B/T220802016信息技术安全技术信息安全管理体系要求 GB/T22081 2016 信息技术安全技术信息安全控制实践指南信息安全技术信息系统安全等级保护基本要求 [8 GB 222392008 风险管理原则与实施指南 GB/T243532009 -2009信息技术服务管理第1部分规范公司治理风险管理指南 GB 26317 2010 GB/T28827.1一2012信息技术服务运行维护第1部分;通用要求 12 GB/T28827.2-2012信息技术服务运行维护第2部分交付规范 [13 信息技术服务运行维护第3部分应急响应规范 GB/T28827.32012 [15 JR/T00992012 证券期货业信息系统运维管理规范信息技术服务外包第2部分;数据(信息)保护规范 16SJ/T11445.22012 [17]财政部.企业内部控制基本规范.[财会[2008]7号].2008-05-22. [18]国务院国有资产监督管理委员会.中央企业全面风险管理指引.[国资发改革[2006108号] 2006-06-06. [19]银行业监督管理委员会.商业银行信息科技风险管理指引.[银监发[2009]19号].2009 06-01. [[20]证券业协会和期货业协会.证券期货经营机构信息技术治理工作指引(试行).[中证协发[2008]113号].2008-09-03. [[21]保险监督管理委员会.保险公司信息系统安全管理指引试行).[保监发[2011]68号]. 2011-11-16. [[22]ISo/IEC38500Governanceofinformationteechnologyfortheorganization [[23]OECDPrineiplesofCorporateGovernance.OECD,2004 [[24]ReportoftheComnmitteeontheFinaneialAspeetsofCorporateGovernance[R].SirAdri anCadbury:london,1992. [25]ISACACobit5.0ControlObjeetivesforlInformationandrelatedTechnology,ISsACA,April 10,2012

信息技术服务治理第5部分：数据治理规范GB/T34960.5-2018

什么是数据治理？

数据治理是一种确定和实施组织内关于数据的策略、目标和标准的过程。它涉及管理、监管、保护和优化数据，以确保其可靠性、可用性、有效性和安全性。

为什么需要数据治理？

数据治理的主要目的是确保数据质量和数据价值。在现代商业环境中，数据已成为组织最重要的资产之一，但却常常存在管理不当或低效的情况。这会导致数据不准确、不完整、不一致、不安全等问题，从而影响到组织的决策和运营。

GB/T34960.5-2018标准简介

GB/T34960.5-2018是关于信息技术服务治理第5部分：数据治理的标准。该标准规定了数据治理的相关规范，包括数据管理、数据分类和识别、数据质量、数据安全、数据备份和恢复等方面。

数据治理的关键要素

GB/T34960.5-2018标准规定了数据治理的关键要素，包括：

数据治理组织结构：确定数据治理的责任和职责，明确数据管理流程和决策机制。
数据治理流程：建立数据管理流程，包括数据采集、处理、存储、分析和共享等环节。
数据管理规范：制定数据管理规范，包括数据分类和识别、数据质量、数据安全和备份等方面。
数据治理工具：选用合适的数据治理工具，帮助实现数据治理的目标和标准。

数据治理的挑战

尽管数据治理可以帮助组织更好地管理和利用数据，但也存在一些挑战。常见的挑战包括：

沟通和协调难题：数据治理涉及多个部门和业务领域，需要进行跨部门的沟通和协调。
技术限制：一些组织可能缺乏必要的技术基础设施和工具，难以实现高效的数据治理。
人员问题：数据治理需要专业的人才支持，但相关技能和经验相对不足，导致人员短缺和培训成本高。
成本压力：数据治理需要投入大量资源和成本，这对一些中小型企业来说可能是一个挑战。

结语数据治理是一个复杂的过程，需要组织内部各个部门的协同配合和有效的管理工具支持。GB/T34960.5-2018标准为数据治理提供了一些方向性指导，但每个组织在实际实施时仍需要根据自身情况进行合理调整和创新。

总的来说，数据治理是一个长期过程，需要逐步完善和优化。只有通过规范化、标准化和科学化的管理，才能更好地保障数据质量和数据价值，提高组织的决策效率和业务竞争力。