附详解!全球首个数据资产管理国际标准(ISO 55013)正式发布
Europrivacy认证
文末扫码咨询 详细介绍
CAIM报名
CAIL报名
数据资源向数据资产转变,形成“南沙经验”
30余国专家合力编写,在全球范围内适用
来源 数据要素社整理自南方财经全媒体、ISO国际标准化组织
以下是ISO 55013《资产管理 — 数据资产管理指南》详解
引言
0.1 概述
本文件提供了在应用资产管理原则或资产管理系统要求时管理数据的指南。这些原则和要求分别在ISO 55000和ISO 55001中描述。许多资产管理涉及决策,这些决策特别在较大和复杂的背景下依赖数据。
本文件旨在帮助组织在资产管理的背景下管理数据。有效的资产管理通常依赖于适当的数据管理,这些数据对资产是相关的。组织可以将数据作为一种资产进行管理,以支持其组织管理。本文件涵盖了支持资产管理实践的数据管理以及将数据作为资产进行处理。
注意:在本文件的目的范围内,术语“资产数据”指列出和描述资产的数据,而术语“数据资产”指具有资产属性的数据集合。
本文件为以下人员提供指导:
a) 确定数据在实现组织资产管理目标(包括履行其责任)方面的有用性或适用性;b) 参与资产管理背景下数据的建立、实施、维护、管理和改进;c) 参与基于数据的资产管理活动的规划、设计、实施和审查,以及服务提供者;d) 资产所有者、资产管理者、信息管理者、服务提供者、维护人员、合作伙伴、审计员、监管者和投资者;e) 内部和外部利益相关者,包括影响或受资产管理背景下数据管理影响的内部和外部人员(正面或负面)。
数据管理在其他管理系统以及资产管理系统中起着关键作用。同时,组织在集成和实施多个管理系统方面可以获得许多好处。实现与其他管理系统的相互对齐需要基于组织内适当的跨职能数据交换和分析的方法。
0.2 本文件的背景
在信息技术(IT)进步和利益相关者需求多样化的背景下,如何在资产管理的背景下管理数据现已成为许多组织面临的紧迫问题。随着组织规模的扩大和复杂性的增加,支持明智决策的可靠数据需求变得越来越重要。数据获取和维护对组织来说是一种成本,而数据的潜在价值在其使用或未来可用时才能实现。如果数据不可靠、过时和/或应用不当,其价值将降低。
因此,数据的角色从支持管理活动的资源转变为通过协调方式管理而产生价值的非物理资产,就像任何其他有形或无形资产一样。
在资产管理背景下,数据具有以下特征:
a) 与物理资产一样,资产数据遵循一系列生命周期阶段;它可以多次使用,尽管数据的有用性可能会随着生命周期的推进而变化;b) 如果未适当保护,数据可能会被盗窃;这种数据盗窃不会导致数据丢失,因此组织可能不会立即察觉,但会产生持续的负面影响;c) 数据易于复制、传输甚至损坏,但如果丢失、销毁或损坏,可能很难或不可能再现;d) 数据可以用于多种目的:同一数据甚至可以同时被多个人使用;同样,许多人和过程可以同时添加或更新数据;e) 当数据与其他资产结合时,可以产生新的价值;f) 许多数据的使用常常导致更多数据需要处理;大多数组织管理着越来越多的数据及其数据集之间的关系;g) 数据和信息在组织内部和/或两个职能或部门之间进行业务活动时是必不可少的;大多数从战略到操作级别的业务决策通常涉及数据共享。
尽管这些特征与其他资产相似,但作为一个整体,它们与其他资产类型的性质有所不同。这需要不同的方法来确保数据管理在资产管理背景下支持其目标。
不同的数据集可能被视为对组织成功至关重要的资产。在这种情况下,组织可以将这些数据集合视为数据资产。应将ISO 55000中描述的资产管理原则应用于数据资产的管理。
0.3 与ISO 55000和ISO 55001的关系
ISO 55000是实施资产管理的基础,因此是理解本文件的前提。
ISO 55001可以由组织应用于建立和实施资产管理系统。这同样适用于数据资产的资产管理系统。另一方面,由于组织的资产管理系统依靠基于信息或数据及其分析的决策,满足ISO 55001要求的资产管理系统的决策标准制定过程通常包括数据管理过程。因此,本文件帮助组织在其资产管理系统中包含数据资产。
1 范围
本文件提供了管理数据的指南,以支持组织实现其资产管理目标,进而实现其组织目标。
本文件适用于任何类型或规模的组织。
本文件不提供数据资产价值的导出或评估方法。
本文件不提供数据资产的财务价值导出方法。
本文件不为组织提供是否需要计算资产数据财务价值的方向。
2 规范性引用文件
下列文件在本文中引用,其全部或部分内容构成本文件的要求。对于注明日期的引用文件,仅引用所提及的版本适用。对于未注明日期的引用文件,最新版本的引用文件(包括任何修订)适用。
ISO 55000,资产管理 — 词汇、概述和原则
3 术语和定义
为本文件的目的,ISO 55000中的术语和定义以及以下术语和定义适用。
ISO和IEC维护用于标准化的术语数据库,可通过以下地址获得:— ISO在线浏览平台:https://www.iso.org/obp— IEC Electropedia:https://www.electropedia.org/
3.1 资产数据
列出和描述资产的数据
注1:资产数据可以以多种格式存在,如结构化数据、文档信息、传感器数据等,需要不同的管理方法。
注2:支持资产管理决策的数据可以被视为资产数据。
3.2 数据资产
具有资产属性的数据
注1:数据资产可以按照ISO 55001作为资产进行管理。
注2:资产数据(3.1)可以是多个数据资产的一部分。数据资产之间可以有关系。
3.3 类型
数据类型
具有一组值、一种表示这些值的语法和一组解释、操作或存储这些值的操作的数据类别
【来源:ISO/IEC 1539-1:2023,3.144,修改——增加了“或存储”】
3.4 元数据
定义和描述其他数据的数据
【来源:ISO 24531:2013,4.32】
3.5 数据质量
一组固有特性的程度,以满足要求
【来源:ISO 8000-2:2022,3.8.1,修改——删除了注释】
3.6 互操作性
两个或多个实体按照每个实体实现的规则和机制交换项目的能力,以执行其指定的任务
注1:实体的例子包括设备、装备、机器、人、过程、应用、计算机固件和应用软件单元、数据交换系统和企业。
注2:项目的例子包括服务、信息、标准中的材料、设计文件和图纸、改进项目、能耗减少计划、控制活动、资产描述和想法。
注3:在此背景下,实体向其他实体提供项目,并从其他实体接受项目,他们以这种方式交换的项目用于使他们能够有效地共同运作。
【来源:ISO 18435-1:2009,3.12,修改——定义中的“各自”改为“指定”,注释1和2扩展。注释3增加。】
3.7 管理职能
负责数据治理计划的战略指导的职能
注1:管理职能负责数据治理项目和计划的优先排序,组织范围内的数据政策和标准的批准,以及数据治理计划的持续支持、理解和意识。
注2:根据组织的文化,管理机构可以称为其他名称,如数据治理委员会、数据治理指导委员会/小组、数据治理咨询委员会/小组、数据监护委员会、数据所有者委员会。
4 数据管理的原则
4.1 数据作为资产管理的一部分
在资产管理背景下,数据的管理应遵循与其他资产管理相类似的原则。组织应将数据视为一种资产,并应用适当的管理实践以确保其质量、可用性和安全性。
4.2 数据生命周期管理
数据有其生命周期,包括数据的创建、使用、维护和处置。组织应定义和实施数据生命周期管理过程,以确保数据在其整个生命周期中的一致性和可靠性。
4.3 数据质量管理
数据质量对资产管理的有效性至关重要。组织应制定和实施数据质量管理计划,明确数据质量的标准和指标,并定期评估和改进数据质量。
4.4 数据治理
有效的数据管理需要明确的治理结构。数据治理包括制定数据政策、标准和程序,以及建立数据管理职责和权限。组织应确保数据治理得到充分资源的支持,并在组织内得到广泛的理解和遵循。
4.5 数据安全和隐私
数据安全和隐私是数据管理的重要方面。组织应制定和实施数据安全政策和程序,保护数据免受未经授权的访问、使用、披露、篡改或损毁。组织还应遵守相关的隐私法律和法规,保护个人数据的隐私。
4.6 数据集成和互操作性
资产管理系统中的数据通常需要与其他系统和数据源进行集成。组织应确保数据的互操作性,促进数据在不同系统和功能之间的无缝交换和共享。
4.7 数据分析和决策支持
数据的价值在于其能支持组织的决策过程。组织应制定数据分析策略,利用数据分析工具和技术,从数据中提取有价值的信息,以支持资产管理决策。
5 数据管理的实施
5.1 数据管理策略
组织应制定明确的数据管理策略,定义数据管理的目标、原则和方法。数据管理策略应与组织的资产管理策略和总体业务目标一致。
5.2 数据管理计划
基于数据管理策略,组织应制定具体的数据管理计划。数据管理计划应包括数据的创建、获取、维护、存储、使用、共享和处置的详细过程和方法。
5.3 数据管理角色和职责
为了有效地管理数据,组织应明确数据管理相关的角色和职责。这些角色和职责应包括数据所有者、数据管理员、数据使用者和数据治理委员会等。
5.4 数据管理工具和技术
组织应选择和使用适当的工具和技术来支持数据管理过程。这些工具和技术应包括数据存储和管理系统、数据质量管理工具、数据分析工具和数据安全工具等。
5.5 数据管理的培训和意识
组织应为员工提供数据管理相关的培训,提升其数据管理技能和意识。培训计划应包括数据管理的基本知识、工具使用技巧和数据治理政策的理解等。
5.6 数据管理的持续改进
数据管理是一个持续改进的过程。组织应定期评估数据管理的效果,识别改进机会,并实施相应的改进措施。数据管理的评估应包括数据质量评估、数据使用效果评估和数据治理评估等。
6 数据管理的评估和审计
6.1 数据管理评估
组织应定期评估其数据管理实践的效果。这些评估应包括数据质量、数据安全、数据治理和数据分析的评估。评估的结果应用于改进数据管理策略和计划。
6.2 数据管理审计
组织应定期进行数据管理审计,确保数据管理实践的合规性和有效性。数据管理审计应包括对数据管理政策、标准、程序和实际操作的审查。审计的结果应报告给数据治理委员会,并用于改进数据管理实践。
7 数据管理的风险管理
7.1 数据管理风险识别
组织应识别数据管理过程中可能存在的风险。这些风险包括数据丢失、数据泄露、数据质量问题和数据不完整等。风险识别应包括对数据生命周期各个阶段的风险评估。
7.2 数据管理风险评估
组织应评估识别到的数据管理风险的可能性和影响。风险评估应包括定量和定性的评估方法,并考虑风险对组织业务和资产管理目标的潜在影响。
7.3 数据管理风险控制
组织应制定和实施风险控制措施,以减少或消除数据管理风险。这些措施应包括数据备份、数据加密、访问控制和数据审计等。风险控制措施应根据风险评估的结果进行优先级排序和实施。
7.4 数据管理风险监控
组织应持续监控数据管理风险和控制措施的有效性。风险监控应包括定期的风险评估和审计,以及对数据管理过程的持续监控。风险监控的结果应报告给数据治理委员会,并用于改进风险管理策略。
8 数据管理的最佳实践
8.1 数据管理的标准化
组织应采用数据管理的最佳实践和标准化方法,以提高数据管理的效率和效果。标准化方法应包括数据格式、数据存储、数据交换和数据质量管理等方面的标准。
8.2 数据管理的自动化
组织应利用自动化技术来提高数据管理的效率。自动化技术应包括数据采集、数据处理、数据分析和数据报告等方面的自动化工具和系统。
8.3 数据管理的协作
组织应促进数据管理过程中的协作与沟通。协作应包括组织内部不同部门之间的协作,以及与外部合作伙伴、供应商和客户之间的协作。协作的目标是实现数据的高效共享和使用。
8.4 数据管理的创新
组织应鼓励数据管理的创新,利用新技术和方法改进数据管理实践。创新应包括大数据分析、人工智能、区块链和物联网等技术的应用,以提高数据管理的效果和价值。
结论
数据管理在资产管理中扮演着重要角色,组织应重视并积极实施数据管理实践。通过制定数据管理策略、实施数据管理计划、明确数据管理职责、选择适当的数据管理工具和技术、提供培训和提升意识,以及持续改进数据管理过程,组织可以有效地管理数据,支持资产管理目标的实现。
组织应定期评估和审计数据管理实践,识别和控制数据管理风险,并采用标准化、自动化、协作和创新的最佳实践,提高数据管理的效率和效果。通过这些措施,组织可以实现数据作为资产的最大价值,支持其业务和资产管理目标的达成。
优势包括但不限于:
跨学科的数据保护专家团队,法律、IT、风险、合规等复合背景
熟悉全球数据保护法和企业最佳实践的独立专家,没有利益冲突
熟悉全球监管性合规的挑战和障碍
能够进行与同行组织的基准比较
标准化服务:开发DPIA、个人信息保护合规审计等自动化生成软件
灵活定价:菜单式定制化服务
通知和建议
通知和建议控制者/处理者及员工关于适用数据保护法的义务
提供有关数据保护影响评估(DPIA)的建议,并在需要时进行DPIA
创建和维护处理活动登记册
监控对适用数据保护法的合规情况
处理监管机构的查询
处理数据主体、处理者、控制者的查询或投诉
DPOHUB的增值服务
确定需要涵盖的传输
确定相关利益相关者
描述目的地国家的法律框架
概述独立机制的可用性
记录TIA
结束和/或修订必要合同
处理活动记录 (ROPA)
提供有关ROPA的建议
涉及利益相关者
设计、创建或修订ROPA的登记册
设计并对齐一个过程,明确角色和职责
记录关于数据处理的相关信息,如数据类别、处理目的和数据接收者
数据泄露事件应对
事前:事件应对预案
设计模板
与客户协同
泄露后:事件响应机制
迅速分析已识别的数据泄露
记录数据泄露
确定利益相关者
如有必要,向相关监管机构通报数据泄露
数据主体权利 (DSRs)
实施响应计划
审查和评估DSR的性质和有效性
捕获关于数据主体的所有个人信息
应用合法豁免(如适用)
记录与DSR相关的事实
直接与相关监管机构联络和互动
微信扫码关注该文公众号作者