ISO/iec38505數據治理安全管理體系認證

ISO/IEC 38505數據治理認證是全球首個針對企業數據治理的管理體系認證，代表了數據治理的國際通行要求。數據治理是全球新興的安全理念，包括企業數據的安全管理、質量管理、分類分級管理、數據治理的安全籍核等。數據治理體系是一種動態安全體系，面向的是支持業務系統的數據，數據是可以流轉、使用的、共享的，并從價值、風險、約束三個維度對數據全生命周期進行管理。

業務背景

數據治理是指對數據資產管理行使權力和控制的活動集合(規劃、監督和執行)，旨在為組織的數字化轉型奠基并賦能，助力實現數據資產的價值最大化，并拓展數字化應用的想象空間。

ISO(國際標準化組織)于2008年推出第一個IT治理的國際標準：ISO 38500.隨后在2015年巴西會議上形成決議，將數據治理國際標準分為兩個部分：ISO/IEC 38505-1《基于ISO/IEC 38500的數據治理》(以下稱ISO 38505-1)和ISO/IEC TR 38505-2《數據治理對數據管理的影響》。目前，ISO/IEC 38505-1已正式發布，并沿用了ISO 38500 IT治理框架的原則及模型。

標準概述

ISO 38505-1闡述了數據治理的意義，明確了治理主體的職責以及對數據治理監督機制的要求，提出了數據治理框架(包括目標、原則和模型)以幫助治理主體評估、指導和監督數據利用的過程。在目標方面，ISO 38505-1認為數據治理應在提升利用數據價值的同時，確保合規約束和風險管控;在原則方面，ISO 38505-1沿用了IT治理的六條基本原則：職責(Responsibility)、戰略(Strategy)、獲取(Acquisition)、績效(Performance)、合規(Conformance)和人員行為(Human behavior)，并具體闡述了這些原則如何指導數據治理中的決策;在模型方面，ISO 38505-1認為治理主體應運用評估(evaluate)-指導(Direct)-監督(Monitor)的EDM模型來開展數據治理工作。

良好的數據治理有哪些好處？

良好的數據治理有助于組織確保在整個組織中使用數據通過以下方式對組織的績效作出積極貢獻：

● 服務、市場和業務創新;

● 數據資產的適當實施和操作;

● 明確保護和增值潛力的責任和問責制;

● 盡量減少不利或意外后果。

數據治理良好的組織應該：

● 為數據所有者和數據用戶提供可信賴的交易組織;

● 能夠為共享提供可靠的數據;

● 保護知識產權和數據產生的其他價值;

● 有政策和實踐來阻止黑客和欺詐活動的組織;

● 準備將數據泄露的影響降至最低;

● 了解何時以及如何重用數據;

● 能夠展示良好的數據處理實踐。

組織在數據治理方面的職責

為了更好的治理數據，組織應該：

● 負責管理數據，并對本組織有效、高效和可接受地使用數據負責。

● 在有效、高效和可接受地使用數據方面的權力、責任和問責制源自其對組織治理的總體責任，以及對外部利益相關者(包括監管機構)的義務。

● 在數據治理中的主要作用是確保組織從數據和相關數據的投資中獲得價值，同時管理風險并考慮約束。

● 此外，應確保清楚地了解本組織正在使用哪些數據以及使用這些數據的目的，并建立有效的管理制度，確保履行數據保護、隱私和尊重知識產權等義務。

數據治理的監督機制

組織應建立與業務對數據的依賴程度相適應的數據管理監督機制，包括：

● 應清楚了解數據對組織業務戰略的重要性，以及使用這些數據對組織的潛在戰略風險。對數據的重視程度應基于這些因素。

● 應確保其成員和相關治理機制(如審計、風險管理和相關委員會)以及管理人員對數據的重要性具有必要的知識和理解。

● 設立一個小組委員會，協助組織從戰略角度監督本組織對數據的使用。

● 應確保為數據的治理和管理建立適當的治理框架。

● 應通過要求審計和獨立評估等程序來確保治理有效，從而監測治理和數據管理機制的有效性。

認證流程

步驟1 —SGS根據組織的規模及業務類型提供定制化的建議，在您簽署建議書后，審核即可開始。

步驟2 —SGS提供可選擇的針對準備情況與薄弱環節的“預審”服務。

步驟3 —正式審核。

第一階段：準備情況評估，對組織建立的文件化體系及其他重要體系進行評估，提出審核發現。

步驟4 —第二階段：包括與工作人員面談、文件記錄的檢查以及對工作實踐的現場考察，提出審核發現。

審核合格后會簽發證書。

步驟5 —根據合同，每半年或一年對體系和整改計劃的實施進行監督審核。

步驟6 —證書簽發滿3年期后，實施再認證審核。

ISO38505認證周期

我們可以了解到ISO38505認證的周期主要取決于以下幾個方面：

體系運行時間：按照ISO38505標準要求，企業建立的體系必須運行3個月以上才能申請認證。這是為了讓企業有足夠的時間來實施和運行ISO38505標準，確保各項規定得到有效執行。

認證流程的配合度：認證周期的長短還取決于企業的執行力度和對認證流程的配合度。如果企業能夠積極參與認證過程，迅速響應認證機構的要求，那么認證周期可能會縮短。

管理體系的完善程度：企業在申請認證之前，需要有一個完善的數據治理體系。如果企業的管理體系不夠成熟，需要花費更多的時間來進行整改和完善，這也會延長認證周期。

認證機構的工作效率：不同的認證機構工作效率可能有所不同，這也會影響認證周期的長短。一些高效的認證機構能夠在短時間內完成審核和認證工作，從而縮短認證周期。

綜上所述，ISO38505認證的周期一般在1-6個月之間。企業應該提前做好準備，確保體系的有效運行，并積極配合認證機構的工作，以期在最短的時間內完成認證。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202405/ccaa_62447.html