DCMM GBT 36073-2018 数据管理能力成熟度评估模型(Word版)
Posted 海阔天空 鱼儿游
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了DCMM GBT 36073-2018 数据管理能力成熟度评估模型(Word版)相关的知识,希望对你有一定的参考价值。
ICS 35.240.70
L 67
中华人民共和国国家标准
GB/T 36073—2018
数据管理能力成熟度评估模型
Data management capability maturity assessment model
2018-03-15 发布 2018-10-01 实施
悴賢艸纔讖嗦徹发布
目 次
前言 m
1范围 1
2规范性引用文件 1
3 术语和定义 1
4缩略语 2
5综述 3
5.1能力域和能力项 3
5.2成熟度评估等级 4
6敖据战略 5
6.1数据战略规划 5
6.2数据战略实施 6
6.3数据战略评估 7
7数据治理 8
7.1数据治理组织 8
7.2数据制度建设 10
7.3数据治理沟通 11
8数据架构 12
8.1数据模型 12
8.2数据分布 14
8.3数据集成与共享 15
8.1元数据管理 16
9数据应用 17
9.1数据分析 17
9.2数据开放共享 18
9.3数据服务 19
10数据安全 21
10.1数据安全策略 21
10.2数据安全管理 22
10.3数据安全审计 23
11数据质量 24
11.1数据质*需求 24
11.2数据质量检査 25
11.3数据质量分析 26
11.4数据质虽提升 28
12数据标准 29
12.1业务术语 29
12.2参考数据和主数据 30
12.3数据元 31
12.4指标数据 32
13数据生存周期 34
13.1 数据需求 34
13.2数据设计和开发 35
13.3数据运维 36
13.4数据退役 37
参考文献 39
本标准按照GB/T 1.1—2009给出的规则起草。
清注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息技术标准化技术委员会(SAC/TC 28)提岀并归口口
本标准起草单位:中国电子技术标准化研究院、御数坊(北京)科技咨询有限公司、北京大学.中国人 民大学、清华大学、中国建设银彳丁股份有限公司、中国光大银行、华为技术杠限公司、阿里云计算有限公 司、上海鸿翼软件技术股份有限公司.红杉资本中国基金.
本标准主要起草人;代红、宣军志、梅宏、车品觉、杜小勇、吴建明、高林、李振军、吴东亚、赵菁华、 张群、李冰、刘晨.袁芳、车春雷、田江、|:靜、符海芳、陈雪秀、龙凌右、徐洋、.1:.麒、匚倩.伊德日温.
学兔兔 www.bzfxw.com
数据管理能力成熟度评估模型
1范围
本标准给出了数据管理能力成熟度评估模型以及相应的成熟度等级.定义了数据战略、数据治理、 数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期等8个能力域。
本标准适用于组织和机构对数据管理能力成熟度进行评估.
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注丨1期的引用文件.仅注丨1期的版本适用于本文 件,凡是不注I丨期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GH/T 35295信息技术大数据术语
3 术语和定义
GB/T 35295界定的以及下列术语和定义适用于本文件。
3J
数据管理能力 data management capability
组织和机构对数据进行管理和应用的能力O
3.2
数据管理能力成熟度评估模型 data man^ement capability maturity assessmenl model
用于对组织的数据管理能力成熟度进行评估的模型,
3.3
能力域 capabiJity area
数据管理相关活动、过程等集合以及 组相关数据能力子域的集合。
3.4
数据战略 data strategy
組织开展数据工作的愿景、目的、目标和原则°
3.5
数据治理 data governance
对数据进行处置、格式化和规范化的过程口
注1=数据治理是数据和数据系统管理的基本要素。
注2:数据治理涉及数据全生存周期管理.无论数据是处于静态,动态、未完成状态还是交易状态.
[GB/T 35295 — 2017,定义 2.1.43]
3.6
数据架构 data architecture
通过组织级数据模型定义数据需求,指导对数据资产的分布控制和整合,部署数据的共享和应用环 境.以及:元数据管理的规范。
GB/T 36073—2018
3.7
数据标准 data standard
数据的命名、定义、结构和取值的规则°
3.8
元数据 metadata
关丁数据或数据兀素的数据(町能包括其数据描述)•以及关于数据拥有权、存取路径、访问权和数 据易变性的数据。
FGB./T 35295-2017,定义 2.2.7[
3.9
元模型 metamodel
规定一个或多个其他数据模型的数据模型。
FGB./T 18391.1—2009,定义 3.3.20]
3.10
数据质量 data quality
在指定条件下使用时,数据的特性满足明确的和隐含的要求的程度.
EGB/T 25000.12 -2017,定义 43]
3.11
数据安全 data security
数据的机密性、完整性和可用性〃
3.12
主数据 master data
组织屮需要跨系统、跨部门进行共享的核心业务实体数据.
3.13
参考数据 reference data
对其他数据进堆分类和规范的数据,
3J4
数据生存周期 data lifecycle
将原始数据转化为可用于行动的知识的一绢过程。
EGB/T 35295—2017.定义 2.1.2]
3.15
数据元 data element
由一组属性规定其定义、标识、表示和允许值的数据单元#
EGB/T 1839L1—2009.定义 338]
4缩略语
下列縮略语适用于本文件口
DCMM:数据管理能力成熟度评估模型(Datii management Capability Maturity assessment Model)
E 1 L :数据提取、转换和加载(Extraction-T ran sformai ion-Loading)
KPI :关键绩效指标(Key Performance Indicator)
SOR:记录系统(System of Record)
TCO;总拥有成本(Total Cost of Ownership)
5综述
5,1能力域和能力项
DCMM包含8个数据管理能力域,毎个能力域包括若I数据管理领域的能力项,共29个.能力域 和能力项见表E
表1能力域和能力项
能力域 能力项
数据战略 数据战略规划
数据战略实施
数据战略评估
数据治理 数据治理组织
数据制度建设
数据治理湾通
数据架构 数据模型
数据分布
数据集成与共享
元数据管理
数据应用 数据分析
数据升放共享
数据服务
数据安全 数据安全策略
数据安全管理
数据安全甫汁
数据质屈 数据质仙需求
数据质量检查
数据质量分析
数据质量提升
数据标准 业务术语
参考数据和主数据
数据元
指标数据
数据生存周期 数据需求
数据设计和开发
数据运维
数据退役
5.2成熟度评估等级
5.2.1初始级
数据需求的管理主要是在项目级体现,没有统一的管理流程.主要是被动式管理.具体特征如下:
a)组织在制定战略决策吋,未获得充分的数据支持;
B)没冇正式的数据规划、数据架构设计、数据管理组织和流程等;
c) 业务系统各自管理自己的数据.各业务系统之间的数据存在不一致现象,组织未意识到数据管 理或数据质鼠的重要性;
d) 数据管理仅根据项目实施的周期进行,无法核算数据维护、管理的成本。
5.2.2受管理级
组织巳意识到数据是资产,根据管理策略的要求制定了管理流程,指定了相关人员进行初步管理. 具体特征如下:
a) 意识到数据的重要性,并制定部分数据管理规范,设置了相关岗位;
b) 意识到数据质拈和数据孤岛是一个車要的管理问题.但目前没有解决冋题的办法;
c) 组织进行了初步的数据集成T作.尝试整合各业务系统的数据.设计了相关数据模型和管理 岗位;
d) 开始进行了一些重要数据的文档工作,对重要数据的安全、风险等方面设计相关管理措施。
5.2.3稳建级
数据已被当做实现蛆织绩效目标的重要资产,在組织层面制定了系列的标准化管理流程.促逬数据 管理的规范化,具体特征如下:
a) 意识到数据的价值,在组织内部建立了数据管理的规章和制度;
b) 数据的管理以及应用能结合纟卩织的业务战略、经营管理需求以及外部监管需求;
c) 建立J’相关数据管理组织、管理流程.能推动组织内各部门按流程开展丁.作;
d) 组织在日常的决策、业务开展过程中能获取数据支持,明显提升工作效率;
e) 参与行业数据管理相关培训,具备数据管理人员。
5.2.4量化管理级
数据被认为是获取竞争优势的重要资源,数据管理的效率能蛀化分析和监控,具体特征如下:
a) 组织层面认识到数据是组织的战略资产.了解数据在流程优化、绩效提升等方面的垂要作用. 在制定组织业务战略的时候可获得相关数据的支持;
b) 在组织层面建立了町虽化的评估指标体系,可准确测量数据管理流程的效率并及吋优化;
c) 参与国家、行业等相关标准的制定工作;
d) 组织内部定期开展数据管理、应用相关的培训工作;
e) 在数据管理、应用的过程中充分借鉴了行业最佳案例以及国家标准、行业标准等外部资源.促 进组织本身的敬据管理、应用的提升。
5.2.5优化级
数据被认为是组织生存和发展的基础,相关管理流程能实时优化,能在行业内进行最佳实践分享, 具体特征如下:
a) 组织将数据作为核心竞争力.利用数据创造更多的价值和提升改善组织的效率;
b) 能主导国家、行业等相关标准的制定工作;
O 能将组织自身数据管理能力建设的经验作为行业最佳案例进行推广。
6数据战略
6.1数据战略规划
6.1.1概述
数据战略规划是在所有利益相关者之间达成共识的结果。从宏观及微观两个层面确定开展数据管 理及应用的动因.并综合反映数据提供方和消费方的需求。
6.1.2过程描述
过程描述如下:
a) 识别利益相关者.明确利益相关者的需求;
b) 数据战略需求评估,组织对业.务和信息化现状进行评估. 了解业务和信息化对数据的需求;
c) 数据战略制定.包含但不限于:
1) 愿景陈述.其中包含数据管理原则、目的和目标;
2) 规划范围,其中包含重要业务领域、数据范围和数据管理优先权;
3) 所选择的数据管理模型和建设方法;
4) 当前数据管理存在的主要差距;
5) 管理层及其责任,以及利益相关者名单;
6) 编制数据管理规划的管理方法;
7) 持续优化路线图;
(1)数据战略发布.以文件、网站、邮件等方式正式发布审批后的数据战略;
e)数据战略修订,根据业务战略、信息化发展等方面的要求.定期进行数据战略的修订。
6.1.3过程目标
过程H标如下:
a) 建立、维护数据管理战略;
b) 针对所有业务领域.在整个数据治理过程中维护数据管理战略(目标、目的、优先权和范围);
c) 基于数据的业务价值和数据管理目标.识别利益相关岩,分析各项数据管理工作的优先权;
d) 制定、监控和评估后续计划.用于指导数据管理规划实施。
6.1.4能力等级标准
能力等级标准如下:
a) 第1级:初始级
在项丨1建设过程中反应了数据管理的目标1范围。
b) 第2级:受管理级
1) 识别与数据战略相关的利益相关者;
2) 数据战略的制定能遵循相关管理流程;
3) 維护了数据战略和业务战略之冋的关联关系。
c) 第3级:稳健级
1) 制定能反应整个组织业务发展需求的数据战略;
2) 制定数据战略的管理制度和流程.明确利益相关者的职贵.规范数据战略的管理过程;
3) 根据组织制定的数据战略提供资源保障;
1)将组织的数据管理战略形成文件并按组织定义的标准过程进行维护、审查和公告;
5) 编制数据战略的优化路线图.指导数据工作的开展;
6) 定期修订已发布的数据战略。
d) 第4级:屋化管理级
1) 对组织数据战略的管理过程进行量化分析并及时优化;
2) 能量化分析数据战略路线I冬I的落实情况.并持续优化数据战略。
e) 第5级:优化级
1) 数据战略可有效提升企业竞争力;
2) 在业界分享最佳实践•成为行业标杆。
6.2数据战略实施
6.2.1概述
组织完成数据战略规划并逐渐实现数据职能框架的过程。实施过程中评估组织数据管理和数据应 用的现状,确定与愿景:、目标之间的差距;依据数据职能框架制定阶段性数据任务目标.并确定实施 步骤。
6.2.2过程描述
过程描述如下:
a) 评估准则.建立数据战略规划实施评估标准,规范评估过程和方法;
b) 现状评估.对组织当前数据战略落实情况进行分析.评估各项I•.作开展情况;
c) 评估差距,根据现状评估结果与组织数据战略规划进行对比,分析存在的差异;
d) 实施路径.利益相关者结合組织的共同目标和实际商业价值进行数据职能任务优先级排序;
e) 保障计划,依据实施路径.制定开展各项活动所需的预算;
f) 任务实施.根据任务开展工作;
g) 过程监控.依据实施路径•及时对实施过程进行监控。
6.2.3过程目标
过程口标如下:
a) 检査数据战略落实情况.定期对实施情况评估;
b) 对现状和发展目标进行对比,分析存在差距.明确发展方向;
c) 推动故略实施.根据存在的差距•结合叩织的共同日标和实际商业价值.对数据职能任务优先 级排序.提供资源和资金保障.推动战略实施“
6.2.4能力等级标准
能力等级标准如下:
a)第1级:初始级
在!丄体项目中反映数据管理的任务、优先级安排等内容。
b) 第2级:受管理级
1) 在部门或数据职能领域内.结合实际情况评估关键数据职能与愿景、口标的差距;
2) 在部门或敖据职能领域内.结合业务因素建立并遵循数据管理项目的优先级;
3) 在部门或数据职能领域内.制定数据任务目标,并对所有任务全面分析.确定实施方向;
I)在部门或数据职能领域内.针对具体管理任务建立目标完成情况的评估准则。
c) 第3级:稳健级
1) 针对数据职能任务,建立系统完整的评估准则;
2) 在组织范围内全而评估实际情况.确定各项数据职能与愿景、目标的差距;
3) 制定数据战略推进工作报告模板,并定期发布.使利益相关者了解数据战略实施的情况和 存在的问题;
4) 结合组织业务战略.利用业务价值驱动方法评估数据管理和数据应用工作的优先级,制定 实施计划,并提供资源、资金等方面的保障;
5) 跟踪评估各项数据任务的实施情况.并结合工作进展调整更新实施计划。
d) 第4级:是:化管理级
1) 可应用最化分析的方式,对数据战略进展情况进行分析;
2) 积累大堆的数据用以提升数据任务逬度规划的准确性;
3) 数据管理T.作任务的安排能及时满足业务发展的需要,建立了规范的优先级排序方法。
C)第5级:优化级
在业界分享最佳实践.成为行业标杆。
6.3数据战略评估
6.3.1概述
数据战略评估过程中应建立对应的业务案例和投资模型.并在整个数据战略实施过程中跟踪进度. 同时做好汜录供审计和评估使用。
6.3.2过程描述
过程描述如下:
a)建立任务效益评估模型.从时间、成本、效益等方面建立数据战略相关任务的效益评估模型;
B)建立业务案例.建立了基本的用例模型、项目计划、初始风险评估和项目描述.能确定数据管理 和数据应用相关任务(项目)的范围、活动、期望的价值以及合理的成本收益分析;
c) 建立投资模型,作为数据职能项目投资分析的基础性理论,投资模型确保在充分考虑成本和收 益的前提下对所需资本合理分配,投资模型要满足不同业务的信息科技需求.以及对应的数据 职能内容,同时要广泛沟通以保障对业务或技术的前瞻性支持,并符合相关的监管及合规性 要求;
d) 阶段评估.在数据T.作开展过程屮,定期从业务价值、经济效益等维度对已取得的成果进行效 益评佔。
6.3.3过程目标
过程目标如下:
a)建立数据职能项冃的业务案例,符合组织目标和业务胡动要求.帮助项Fl获取执行层面的支 持,同时为投资模型提供参考;
b) 建立一个或一组可持续的投资模型,满足组织文化和业务案例需求;
c) 遵循投资模型,进行合理的成本收益分析.同时项目资金支持反映业务目标和组织优先级 考慮;
d) 对业务案例、资金支持方法及活动的记录、跟踪、审iR后评估。
6.3.4能力等级标准
能力等级标准如下:
a) 第1级:初始级
1) 在项目范围内建立数据职能项0和活动的业务案例;
2) 通过基本的成本一收益分析方法对数据管理项F1逬行投资预算管理。
b) 第2级:受管理级
1) 在单个部门或数据职能领域内.根据业务需求建立了业务案例和任务效益评估模型;
2) 在单个部门或数据职能领域内.建立业务案例的标准决策过程.并明确了利益相关者在其 中的职责;
3) 在单个部门或数据职能领域内,利益相关者参与制定数据管理和数据应用项目的投资 模型;
4) 在单个部门或数据•职能领域内,根据任务效益评估模型对相关的数据任务进行了评估。
c) 第3级:稳健级
1) 在组织范围内,根据标准工作流程和方法建立数据管理和应用的相关业务案例;
2) 在组织范围内制定了数据任务效益评估模型以及相关的管理办法;
3) 在组织范围内.业务案例的制定能获得髙层管理者、业务部门的支持和参与;
4) 在组织范围内,通过成本收益准则指导数据职能项目的实施优先级安排;
5) 在组织范围内,通过任务效益评估模型对数据战略实施任务进行评估和管理.并纳入审计 范围。
d) 第4级:信化管理级
1) 构建专门的数据管理和数据应用TC()方法,衡虽评估数据管理实施切入点和基础实施 的变化,并调雄资金预算;
2) 使用统计方法或其他星化方法分析数据管理的成本评估标准;
3) 使用统计方法或其他量化方法分析资金预算满足组织目标的有效性和准确性。
O第5级:优化级
1) 建立并发布数据管理资金预算蓝皮书;
2) 在业界分享最佳实践.成为行业标杆。
7数据治理
7.1数据治理组织
7.1.1概述
数据治理组织包括组织架构、岗位设置、团队建设、数据责任等内容.是各项数据职能匚作开展的基 础。対组织在数据管理和数据应用行使职责规划和控制,并指导各项数据职能的执行.以确保组织能有 效落实数据战略目标。
8
7.1.2过程描述
过程描述如
a) 建立数据治理组织,建立数据体系配套的权责明确且内部沟通顺畅的组织.确保数据战略的 实施;
b) 岗位设置,建立数据治理所需的岗位.明确岗位的职责.任职要求等;
O团队建设,制定团队培训、能力提升计划.通过引入内部、外部资源定期开展人员培训,提升团 队人员的数据治理技能;
d) 数据归口管理.明确数据所冇人、管理人等相关角色,以及数据的归口的具体管理人员;
e) 建立绩效评价体系.根据团队人员职责、管理数据范围的划分.制定相关人员的绩效考核体系。
7.1.3过程目标
过程目标如下:
a) 建立完善的组织架构及对应的工作流程机制;
b) 数据管理明确归丨1管理并设置足够的专、兼职岗位.持续推动团队建设;
c) 建立支撑数据管理和数据应用战略的绩效评价体系。
7.1.4能力等级标准
能力等级标准如下:
a) 第1级:初始级
1) 在具休项目中体现数据管理和数据应用的岗位、角色及职责;
2) 依靠个人能力解决数据问题,未建立专业组织。
b) 第2级:受管理级
1) 制定了数据相关的培训计划,但没有制度化;
2) 在单个数据职能域或业务部门,设置数据治理兼职或专职岗位,岗位职责明确;
3) 数据治理工作的重要性得到管理层的认可;
I)明确数据治理岗位在新建项目中的管理职责。
O第3级:稳健级
1) 管理层负责数据治理匚作相关的决策,参与数据管理相关工作;
2) 在组织范围内明确统一的数据治理归口部门.负责组织协调各项数据职能工作;
3) 数据治理人员的岗位职责明确.可休现在岗位描述中;
4) 建垃了数据管理工作的评价标准.建立了对相关人员的奖惩制度;
5) 在组织范围内建立、健全数据贵任体系.覆盖管理、业务和技术等方面的人员.明确各方在 数据管理过程中的职贵;
6) 在组织范围内推动数据归口管理.确保各类数据都有明确的管理者;
7) 定期进行培训和经骑分享.不断提高员工能力。
d) 第4级:最化管理级
1) 建立.数据人员的职业晋升路线图.可帮助数据团队人员明确发展目标;
2) 建立复合型的数据团队,能覆盖管理、技术和运营等;
3) 建立适用于数据工作相关岗位人员的是化績效评估指标,并•发布考核结果.评估相关人员 的岗位绩效;
1)业务人员能落实、执行各自相关的数据管理职责。
e)第5级:优化级
在业界分享最佳实践.成为行’I k标杆。
7.2数据制度建设
7.2.1概述
保障数据管理和数据应用各项功能的规范化运行.建立对应的制度体系。数据制度体系通常分层 次设计.遵循严格的发布流程并定期检査和更新。数据制度建设是数据管理和数据应用各项工作有序 开展的基础.是数据治理沟通和实施的依据。
7.2.2过程描述
过程描述如下:
a) 制定数据制度框架.根据数据职能的层次和授权决策次序,数据制度框架分为政策、办法、细则 三个层次.该框架规定了数据管理和数据应用的具体领域、各个数据职能领域内的目标、遵循 的行动原则、完成的明确任务、实行的T.作方式、釆取的一般步骤和具体措施;
b) 幣理数据制度内容.数据管理政策与数据管理办法、数据管理细则共同构成组织数据制度体 系,其基本内容如下:
1) 数据政策说明数据管理和数据应用的目的•明确其组织与范围;
2) 数据管理办法是为数据管理和数据应用各领域内活动开展而规定的相关规则和流程;
3) 数据管理细则是为确保各数据方法执行落实而制定的相关文件;
O 数据制度发布.组织内部通过文件、邮件等形式发布审批通过的数据制度;
d) 数据制度宣贯,定期开展数据制度相关的培训、宣传工作;
e) 数据制度实施.结合数据治理组织的设置.推动数据制度的落地实施。
7.2.3过程目标
过程冃标如下:
a) 建立数据制度体系.并在组织范围内广泛征求意见后发布;
b) 建立制度的管理流程,进行制度的检査、更新、发布、推广。
7.2.4能力等级标准
能力等级标准如下:
a) 第1级:初始级
1) 各个项目分别建立数据相关规范或细则;
2) 数据管理制度的落实和执行由各项冃人员自行决定。
b) 第2级:受管理级
1) 在部分数据职能框架领域建立跨部门的制度管理办法和细则;
2) 识别了数据制度相关的利益相关者. 了解「相关诉求;
3) 明确了数据制度的相关管理角色,推动数据制度的实施;
4) 跟踪制度实施情况•定期修订管理办法,维护版本更新;
5) 初步建立了防范法律和规章风险的相关制度°
c) 第3级:稳健级
1) 在m织范围内建年制度框架,并制定数据政策;
2) 建立全面的数据管理和数据应用制度.覆盖各数据职能域的管理办法和细则.并以文件形 式发布.以保证数据职能工作的规范性和严肃性;
3) 建立有效的数据制度管理机制.统一了管理流程.用以指导数据制度的修订;
I)能根据实施情况持续修订数据制度,保障数据制度的有效性;
5) 定期开展数据制度相关的培训和宣贯;
6) 业务人员积极参与数据制度的制定,并有效推动业务工作的开展;
7) 数据制度的制定参考了外部合规、监管方面的要求。
d) 第4级:埴化管理级
1) 数据制度的制定参考了行业最佳实践.体现了业务发展的需要,推动了数据战略的实施;
2) 量化评佔数据制度的执行情况,优化数据制度管理过程。
e) 第5级:优化级
在业界分享最佳实践,成为行业标杆。
7.3数据治理沟通
7.3.1概述
数据治理沟通符在确保组织内全部利益相关者都能及时了解相关政策、标准、流程、角色、职责、计 划的最新情况,开展数据管理和应用相关的培训.掌握数据管理相关的知识和技能。数据治理沟通柠在 建立与提升跨部门及部门内部数据管理能力,提升数据资产意识,构建数据文化。
7.3.2过程描述
过程描述如下:
a) 沟通路径,明确数据管理和应用的利益相关者.分析各方的诉求,了解沟通的重点内容;
b) 沟通计划,建立定期或不定期沟通计划.并在利益相关者之冋达成共识;
c) 沟通执行.按照沟通计划安排实施具体沟通活动,同时对沟通情况记录;
d) 问题协商机制,包括引入高层管理者等方式,以解决分歧;
e) 建立沟通渠道.在组织内部明确沟通的主要渠道,例如邮件、文件、网站、I’l媒体、研讨会等;
D 制定培训宣贯计划,根据组织人员和业务发展的需要,制定相关的培训宣贯计划;
g)开展培训,根据培训计划的要求,定期开展相关培训。
7.3.3过程目标
过程目标如下:
a) 沟通保障数据管理和数据应用活动的信息能被相关人员及时获知并理解;
b) 及时发布影响数据管理和数据应用的监管合规性指导文件;
c) 建立利益相关者参与数据治理沟通的机制;
d) 加强组织人员对于数据相关制度、组织、标准的理解。
7.3.4能力等级标准
能力等级标准如下:
a)第1级:初始级
1)在项目内沟通活动的实施和管理;
2)存在部分数据管理和数据应用的沟通计划•但未统一。
b) 第2级:受管理级
1) 在单个数据职能域.定义跨部门的数据管理相关的沟通计划,并在利益相关者间达成一 致,按计划推动活动开展;
2) 数据管理的相关政策、标准纳入沟通范围,并根据反馈进行更新;
3) 根据需要在组织内部开展了相关培训;
4) 根据需要整理数据工作综合报告.汇总组织内部阶段发展情况。
c) 第3级:稳健级
1) 建立组织级的沟通机制.明确不同数据管理活动的沟通路径,满足沟通升级或变更管理要 求,在组织范围内发布并监督执行;
2) 识别了数据丁•作的利益相关者.明确了各自诉求.制定并审批了相关沟通计划和培训 计划;
3) 明确了组织内部沟通宣贯方式.定期发布组织内外部的发展情况;
4) 定期开展数据相关的培训工作,提升人员的能力;
5) 数据管理的相关政策、方法、规范在蛆织范围内进行沟通,覆盖大多数数据管理和数据应 用相关部门,并根据反馈更新;
6) 明确数据工作综合报告的内容组成,定期发布组织的数据工作综合报告。
d) 第4级:量化管理级
1) 建立与外部组织的沟通机制,扩大沟通范围;
2) 收集并整理了行业内外部数据管理相关案例.包括最佳实践、经验总结,并定期发布;
3) 組织人员了解数据管理与应用的业务价值.全员认同数据是组织的重要资产。
e) 第5级:优化级
1) 通过数据治理沟通.建v. rci好的企业数据文化.促进了数据在内外部的应用;
2) 在业界分享最佳实践.成为行业标杆。
8数据架构
8.1数据模型
8.1.1概述
数据模型是使用结构化的厝言将收集到的组织业务经营、管理和决策中使用的数据需求进行综合 分析,按照模型设计规范将需求重新组织。
从模型覆盖的内容粒度看,数据模型一般分为主题域模型、概念模型、逻辑模型和物理模型。主题 域模型是最高层级的、以主题概念及其之间的关系为基本构成单元的模型.主题是对数据表达事物本质 概念的高度抽象;概念模型是以数据实体及其之间的关系为基本构成单元的模型.实体名称一般采用标 准的业务术语命名;逻辑模型是在概念模型的基础上细化.以数据属性为基本构成单元;物理模型是逻 粗模型在计算机信息系统中依托于特定实现工具的数据结构。
从模型的应用范畴看•数据模型分为组织级数据模型和系统应用级数据模型。组织级数据模型包 括主题域模型、概念模型和逻辑模型三类.系统应用级数据模型包括逻辑模型和物理数据模型两类。
8.1.2过程描述
过程描述如下:
a) 收集和理解组织的数据需求.包括收集和分析组织应用系统的数据需求和实现组织的战略、满 足内外部监管、与外部组织互联互通等的数据需求等;
b) 制定模型规范.包括数据模型的管理工具、命名规范、常用术语以及管理方法等;
O 开发数据模型,包括开发设计组织级数据模型、系统应用级数据模型;
d) 数据模型应用.根据组织级数据模型的开发,指导和规范系统应用级数据模型的建设;
e) 符合性检查,检査组织级数据模型和系统应用级数据模型的一致性;
f) 模型变更管理,根据需求变化实时的对数据模型进行维护。
8.1.3过程目标
过程目标如下:
a) 建立并维护组织级数据模型和系统应用级数据模型;
b) 建立一套组织共同遵循数据模型设计的开发规范;
c) 使用组织级数据模型来指导应用系统的建设。
8.1.4能力等级标准
能力等级标准如下:
a) 第1级:初始级
1) 在应用系统层面编制了数据模型开发和管理的规范;
2) 根据相关规范指导应用系统数据结构设计。
b) 第2级:受管理级
1) 结合组织管理需求.制定了数据模型管理规范;
2) 对组织中部分应用系统的数据现状逬行梳理•了解当前存在的问题;
3) 根据数据现状的梳理.结合组织业务发展的需要,建工K蛆织级数据模型;
4) 应用系统的建设参考了绢织级数据模型。
c) 第3级:稳健级
1) 对组织中应用系统的数据现状进行全而梳理,了解当前存在的问题并提出解决办法;
2) 分析业界已有的数据模型参号架构,学习相关方法和经验;
3) 编制组织级数据模型开发规范,指导组织级数据模型的开发和管理;
I)了解组织战略和业务发展方向,分析利益相关者的诉求,掌握组织的数据需求;
5) 建立覆盖组织业务经营管理和决策数据需求的组织级数据模型;
6) 使用组织级数据模型指导系统应用级数据模型的设计.并设置相应的角色进行管理;
7) 建立K组织级数据模型和系统级数据模型的映射关系,并根据系统的建设定期更新组织 级的数据模型;
8) 建立了统一的数据资源H录.方便数据的査询和应用。
d) 第4级:量化管理级
1) 使用组织级数据模型,指导和规划整个组织应用系统的投资、建设和维护;
2) 建立r组织级数据模型和系统应用级数据模型的同步更新机制,确保一致性;
3) 及时跟踪、预测组织未来和外部监管的需求变化,持续优化组织级数据模型。
e) 第5级:优化级
在业界分享最佳实践.成为行业标杆。
8.2数据分布
8.2.1概述
数据分布职能域是针对组织级数据模W中数据的定义,明确数据在系统、组织和流程等方面的分布 关系,定义数据类型,明确权威数据源,为数据相关T.作提供参考和规范。通过数据分布关系的梳理,定 义数据相关工作的优先级,指定数据的责任人,并进一步优化数据的集成关系。
8.2.2过程描述
过程描述如下:
a) 数据现状梳理,对应用系统中的数据进行梳理,了解数据的作用,明确存在的数据问题;
b) 识别数据类型,将组织内的数据根据其特征分类管理,一般类型包括但不限于主数据、参考数 据、交易数据、统计分析数据、文档数据、元数据等类型;
c) 数据分布关系梳理,根据组织级数据模型的定义,结合业务流程梳理的成果.定义蛆织中数据 和流程、数据和組织机构、数据和系统的分布关系;
d) 梳理数据的权威数据源.对每类数据明确相对合理的唯一信息釆集和存储系统;
e) 数据分布关系的应用,根据数据分布关系的梳理.对組织数据相关工作进行规范.包括定义数 据工作优先级、优化数据集成等;
f) 数据分布关系的维护和管理.根据组织中业务流程和系统建设的情况,定期维护和更新组织中 的数据分布关系.保持及时性。
8.2.3过程目标
过程目标如下:
a) 对组织的数据资产建立分类管理机制.确定数据的权威数据源;
b) 梳理数据和业务流程、组织、系统之间的关系;
c) 规范数据相关工作的建设•
8.2.4能力等级标准
能力等级标准如下:
a) 第1级:初始级
在项目中进行了部分数据分布关系管理,例如数据和功能的关系、数据和流程的关系等。
b) 第2级:受管理级
1) 对应用系统敖据现状进行了部分梳理.明确了需求和存在的问题;
2) 建立.了数据分布关系的管理规范;
3) 梳理了部分业务数据和流程、组织、系统之间的关系;
4) 业务部门内部已对关键数据确定权威数据源0
c) 第3级:稳健级
1) 在组织层而制定r统一的数据分布关系管理规范,统一 r数据分布关系的表现形式和管 理流程;
2) 全面梳理对应用系统数据现状,明确需求和存在的问题,提出了解决办法;
3) 明确数据分布关系梳理的冃标.梳理数据分布关系,形成数据分布关系成果库,包含了业 务数据和流程、组织、系统之间的关系;
1)组织内的所有数据按数据分类进行管理.确定每个数据的权威数据源和合理的数据部署; 5)建立了数据分布关系应用和维护机制.明确了管理职责。
d) 第4级:量化管理级
1) 通过数据分布关系的佈理.可量化分析数据相关工作的业务价值;
2) 通过数据分布关系的梳理.优化了数据的存储和集成关系。
e) 第5级:优化级
D 数据分布关系的管理流程可自动优化,提升管理效率;
2)在业界分享最佳实践.成为行业标杆。
8.3数据集成与共享
8.3.1概述
数据集成与共享职能域是建立起组织内各应用系统、各部门之间的集成共享机制.通过组织内部数 据集成共享相关制度、标准、技术等方面的管理.促进组织内部数据的互联互通。
8.3.2过程描述
过程描述如E:
a) 建立数据集成共享制度.指明数据集成共享的原则、方式和方法;
b) 形成数据集成共享标准.依据数据集成共享方式的不同,制定不同的数据交换标准;
c) 建立数据集成共享环境.将组织内多种类型的数据整合在一起.形成对复杂数据加工处理、便 捷访冋的环境;
d) 建立对新建系统的数据集成方式的检査。
8.3.3过程目标
过程目标如下:
a) 建立高效、灵活、适应性好的组织级应用系统冋数据交换规范和机制;
b) 建立.敖据集成共享环境.可实现结构化和非结构化数据处理.具备复杂数据加工、挖掘分析和 便捷访冋等功能。
8.3.4能力等级标准
a) 第1级:初始级
1) 应用系统间通过离线方式进行数据交换;
2) 各部门冋数据孤岛现象明显.拥有的数据相互独立。
b) 第2级:受管理级
1) 建立了业务部门内部应用系统间公用数据交换服务规范.促进数据间的互联互通;
2) 对内部的数据集成接丨I进行管理,建立了复用机制;
3) 建立了适用于部门级的结构化、非结构化数据集成平台;
I)部门之间点对点数据集成的现象普遍存在。
c) 第3级:稳健级
1) 建立组织级的数据集成共享规范.明确了全部数据归属于组织的原则,并统一提供了技术 T.具的支持;
2) 建立K组织级数据集成和共享平台的管理机制.实现组织内多种类型数据的整合;
3) 建立.了数据集成与共享管理的管理方法和流程.明确r各方的职责;
4) 通过数据集成和共享平台对组织内部数据进行了集中管理,实现了统一采集.集中共享。
d) 第4级:量化管理级
1) 采用行业标准或国家标准的交换规范.实现组织内外应用系统间的数据交换;
2) 能预见性采用新技术.持续优化和提升数据交换和集成、数据处理能力。
e) 第5级:优化级
1) 参与行业、国家相关标准的制定;
2) 在业界分享最佳实践,成为行业标杆.
8.4元数据管理
8.4.1概述
元数据管理是关于元数据的创建、存储、整合与控制等一整套流程的集合。
8.4.2 过程描述
过程描述如下:
a) 元模型管理,对包含描述元数据属性定义的元模型进行分类并定义每一类元模型•元模型可采 用或参考相关国家标准;
b) 元数据集成和变更.基于元模型对元数据进行收集,对不同类型、不同来源的元数据进行集成, 形成对数据描述的统一视图.并基于规范的流程对数据的变更进行及时更新和管理;
c) 元数据应用.基于数据管理和数据应用需求.对于组织管理的各类元数据进行分析应用.如查 询、血缘分析、影响分析、符合性分析、质量•分析等。
8.4.3过程目标
过程目标如下:
a) 根据业务需求、数据管理和应用需求,对元数据进行分类,建立元模型标准.保障不同来源的元 数据集成和IL操作.元模型变更实现规范管理;
b) 实现不同来源的元数据有效集成.形成组织的数据全景图.能从业务、技术、操作、管理等不同 维度管理和使用数据,元数据变更应遵循相关规范;
c) 建立元数据应用和元数据服务,提升相关方对数据的理解.辅助数据管理和数据应用。
8.4.4能力等级标准
能力等级标准如下:
a) 第1级:初始级
1) 元模型的定义遵循应用系统项冃建设需要和工具已有定义;
2) 在项目层面生成和维护各类元数据.如业务术语、数据模型、接口定义、数据库结构等;
3) 在项目层而收集和实现元数据应用需求,如数据字典査洵、业务术语査谕等。
b) 第2级:受管理级
1) 在某个业务领域.对元数据分类并设计每一类元数据的元模型;
2) 元模型设计参考国际、国内和行业元模型规范;
3) 在某个业务领域建立了集中的元数据存储库.统一采集不同来源的元数据;
4) 在某个业务领域制定了元数据采集和变更流程;
5) 在某个业务领域,初步制定了元数据应用需求管理的流程.统筹收集、设计和实现,元数据 应用需求;
6) 实现了部分元数据应用.如Iftl缘分析、影响分析等.初步实现本领域内的元数据共享。
c) 第3级:稳健级
1) 制定了组织级的元数据分类及每一类元数据的范闱,设计相应的元模型;
2) 规范和执行蛆织级元模型变更管理流程,基于规范流程对元模型进行变更;
3) 建立了组织级集中的元数据存储库.统一管理多个业务领域及其应用系统的元数据.并制 定和执行统一的元数据集成和变更流程;
4) 元数据采集和变更流程与数据生存周期有效融合.在各阶段实现元数据采集和变更管理, 元数据能及时、准确反映组织真实的数据环境现状;
5) 制定和执行统一的元数据应用需求管理流程.实现元数据应用需求统一管理和开发;
6) 实现了卡富的元数据应用,如基于元数据的开发管理、元数据与应用系统的一致性校验、 指标库管理等;
7) 各类元数据内容以服务的方式在应用系统之间共享使用。
d) 第4级:最化管理级
1) 定义并应用量化指标,衡量兀数据管理工作的冇效性;
2) 与外部组织合作开展元模型融合设计、开发;
3) 组织与少量外部机构实现元数据采集、共享、交换和应用。
e) 第5级:优化级
1) 参与国际、国家或行业相关元数据管理相关标准制定;
2) 参与国际、国家、行业的元数据釆集、共享、交换和应用;
3) 在业界分享最佳实践.成为行业标杆。
9数据应用
9.1数据分析
9.1.1概述
数据分析是对组织各项经营管理活动提供数据决策支持而进行的组织内外部数据分析或挖掘建 模,以及対应成果的交付运营、评佔推广等活动。数据分析能力会影响到组织制定决策、创造价值、向用 户提供价值的方式。
9.1.2过程描述
过程描述如卜一:
a) 常规报表分析,按照规定的格式对数据进行统一的绢织、加工和展示;
b) 多維分析,各分类之间的数据度量之间的关系,从而找出同类性质的统计项之间数学上的 联系;
c) 动态预警.基于一定的算法、模型对数据进行实时监测.并根据预设的阀值进行预警;
d) 趋势预报.根据客观对象已知的信息而对事:物在将来的某些特征、发展状况的一种估计、测算 活动.运用各种定性和定量的分析理论与方法,对发展趋势逬行预判,
81 学目 洲臨由淅知M印蝴秘军那、曲蒂関刈专M菜掛旗関4肝知业肖以壷拶谄审’舟韓:i混卯MSI四(。
:丈斯衆牝检H
栗驟設R 丁丁6
“册査関不¥宵甲为渺漁者m '帯般途車囲打夢那昱拥’湯承剝拼韓附洛吉直计昭幷甜源。田心腮M協步沼痺濾福、lYlf,如鬼Hif晶W 渓群臨駢和网•卻M’怀控仞姑瞟业,•県游獄叩展M務步攻知形M駐防一葛谢酣景吾我沛那妊游濾
築樹 「丁6
直并以好割彌丁6
°卄辨那殳〃冲.拥不引喪直也那”(Z
'蜷时V醇旨IJ修引阳(I
弟不郭:彩,密(。
。制細罪?HW田項為亦軒不]駐翠卯&辨源(£
'出0矛再田担排彌祖溶.带庭卯0新麻切超不再阳(Z
'鸟洋爵甜海只兼華泌V/Y%亦辞革•箱尚谐卯好拼麻由强丄巫軍(I
S?瓦是那專:液V* (P
°映曲兀3弛口呼0甜澹’山興身帝回^口思、卜导队阳声告舟&幽源(S
'團個网鄧頌雖璋乌宗氷辛乌鄧雁鹿麻即一购耶親藥(I,
,聖鸟好31成卽门强尹辯不就浙‘所囹卯好甜液网口与丄不毎(£
'泓毒网田如用4雄谚LJ耍母脂垛•昇休而風风田冊塀巧肆瀛阳一的J.至耶腺M密馬丑(Z '密•!£ 口诲割牽收
鸟刊举米祖景风职UU妆通IJ源翎麻下•瓠螃牙米丹殊,导人以澎一驹涇湯叩皆張诱面址(I
带朝券:裤£揚(。
。与果给事関丈騎K1習好盟¥直并阳口虞綁.盟MLI强丄谢舛出纳佛凿传坊4撈麻(V
'事笔辩韓闾U盟翎中•対0割源胡叫卓4阳草以箪由波(£ /I溶所出组出好湖澹H#沏廿塁源LJ驟% 4I’毋(Z
‘潔晔曲晶网由回鸟&斟源丄老冊聖旨IJ掛宙口驟為亦# (I 舫M耳蓍:睛Z也(4
。平聖田网導襪邠囹买乎杜舌耿,仰!显辑麻制留團舀购麦卄(Z
,芻幷口務雖驟’蛆好泣酣辭黒辿廿叩善日函丑(I 德期啤:带【揚(8 :丄®雑野/爲亿兼
我野畛苗《翡”「6
。《齿亞顔券所谄&%爭呼0甜務,舶孟切为辱亦胜裏讯南电观割源帝的呼&31麻(4
WJ孤迪務阳睥咚评’多亦如?HL舉昱風幺亦阳谄也舌啾4阳呼好格皎(8
F」阵乌日舌*R
野曰哉旧厂「6
b) 制定外部数据资源目录.对组织需要的外部数据进行统一梳理,建立数据目录,方便内部用户 的査询和应用;
c) 建立统一的数据开放共享策略,包括安全、质量等内容;
d) 数据提供方管理,建立对外数据使用政策、数据提供方服务规范等;
e) 数据开放.组织可通过各种方式对外开放数据.并保证开放数据的质量;
f) 数据获取.按照数据需求进行数据提供方的选择。
9.2.3过程目标
过程目标如下:
a) 数据开放共享可满足安全、监管和法律法规的要求;
b) 数据开放共享可促进内外部数据的互通,促进数据价值的提升。
9.2.4能力等级标准
能力等级标准如下:
a) 第1级:初始级
1) 按照数据需求进行了点对点的数据开放共享;
2) 对外共享的数据分散在各个应用系统中,没有统一的组织和管理。
b) 第2级:受管理级
1) 在部门层面制定了数据开放共享策略.用以指导本部门数据的开放和共享;
2) 建立了部门级的数据开放共享流程.审核数据开放共享需求的合理性.并确保对外数据 质量;
3) 对部门内部的数据进行统一整理.实现集中的对外共享。
c) 第3级:稳健级
1) 在组织层面制定了开放共享数据口录.方便外部用户浏览、查询已开放和共享的数据;
2) 在组织层面制定了统一的数据开放共享策略.包括安全、质量、组织和流程.用以指导组织 的数据开放和共享;
3) 有计划的根据需要修改开放共享数据口录.开放和共享相关数据;
4) 对开放共享数据实现了统一管理.规范了数据口径.实现了集中开放共享。
d) 笫4级:量化管理级
1) 定期评审开放数据的安全、质量.消除相关风险;
2) 及时了解开放共享数据的利用情况.并根据开放共享过程中外部用户反馈的问题.提出改 进措施。
e) 第5级:优化级
1) 通过数据开放共享创造更大的社会价值,同时促进组织竞争力的提升;
2) 在业界分享最佳实践.成为行业标杆。
9.3数据服务
9.3.1概述
数据服务是通过对组织内外部数据的统一加工和分析,结合公众、行业和组织的需要,以数据分析 结果的形式对外提供跨领域、跨行业的数据服务。数据服务是数据资产价值变现最直接的手段,也是数 据资产价值衡量的方式之一,通过良好的数据服务对内提升组织的效益,对外更好的服务公众和社会。
19
数据服务的提供可能有多种形式,包括数据分析结果,数据服务调用接「I .数据产品或数据服务平台等, 具体服务的形式取决于组织数据的战略和发展方向O
9.3.2过程描述
过程描述如下:
a) 数据服务需求分析.需要有数据分析团队来分析外部的数据需求,并结合外部的需求提出数据 服务冃标和展现形式.形成数据服务需求分析文档;
b) 数据服务开发,数据开发团队根据数据服务需求分析对数据进行汇总和加工.形成数据产品;
c) 数据服务部署,部署数据产品,对外提供服务;
d) 数据服务监控.能对数据服务有全而的监控和管理.实时分析数据服务的状态、週用情况、安全 情况等;
C)数据服务授权,对数据服务的用户进行授权,并对访问过程进行控制。
9.3.3 过程目标
过程□标如下:
a) 通过数据服务探索组织对外提供服务或产品的数据应用模式,满足外部用户的需求;
b) 通过数据服务实现数据资产价值的变现。
9.3.4能力等级标准
能力等级标准如下:
a) 第1级:初始级
1) 根据外部用户的请求进行了针对性的数据服务定制开发;
2) 数据服务分散在组织内的各个部I、J o
b) 第2级:受管理級
1) 对数据服务的表现形式进行了统一的要求;
2) 组织层面明确了数据服务安全、质景、监控等要求;
3) 组织层而定义了数据服务管理相关的流程和策略,指导各部门规范化管理。
c) 第3级:稳健级
1) 在组织层面制定K数据服务目录,方便外部用户浏览、査询已貝•备的数据服务;
2) 统一了数据服务对外提供的方式,规范了数据服务状态监控、统计和管理功能.并由统一 的平台提供;
3) 进一步细化了数据服务安全、质量、监控等方面的要:求,建立了企业级的数据服务管理 制度;
4) 有意识地响应外部的市场需求.积极探索对外数据服务的模式.主动提供数据服务。
d) 第4级:崑化管理级
1) 与外部相关方合作.共同探索、开发数据产品.形成数据服务产业链;
2) 通过数据服务提升组织的竞争力,并实现了数据价值;
3) 对数据服务的效益进行量化评估,信化投入产出比。
e) 第5级:优化级
业界分享最佳实践.成为行业标杆。
10数据安全
10.1数据安全策略
10.1.1概述
数据安全策略是数据安全的核心内容,在制定的过程中需要结合组织管理需求、监管需求以及相关 标准等统一制定。
10.1.2过程描述
过程描述如下:
a) 了解国家、行业等监管需求,并根据纟Fl织对数据安全的业务需要,进行数据安全策略规划,建立 组织的数据安全管理策略;
b) 制定适合组织的数据安全标准.确定数据安全等级及徵盖范围等;
C)定义组织数据安全管理的n标、原则、管理制度、管理组织、管理流程等,为组织的数据安全管 理提供保障。
10.1.3过程目标
过程目标如下:
a)建立统一的数据安全标准;
1))提供适用的数据安全策略。
10.1.4能力等级标准
能力等级标准如下:
a) 第1级:初始级
在项冃中设置了数据安全标准与策略.并在文档中进行了描述。
b) 第2级:受管理级
1) 业务部门内部建立了数据安全标准、管理策略和管理流程;
2) 业务部门内部识别数据安全利益相关者;
3) 业务部门内部数据安全标准与策略的建立能遵循合理的管理流程。
c) 第3级:稳健级
1) 建立组织统一的数据安全标准以及策略并正式发布;
2) 规范了组织数据安全标准与策略相关的管理流程.并以此指导数据安全标准和策略的 制定;
3) 数据安全标准与策略制定过程中能识别纟卩织内外部的数据安全需求,包括外部监管和法 律的需求;
4) 规范了数据安全利益相关者•在数据安全管理过程中的职责;
5) 定期开展数据安全标准和策略相关的培训和宣贯。
cl)第4级:危化管理级
1) 数据安全标准和策略的制定能符合国家标准或行业标准的相关规定;
2) 梳理和明确了组织相关的外部法律、监管等方面关于安全方面的需求列表,并和組织的数 据安全标准和策略进行了关联;
3)能根据内外部环境的变化定期优化提升数据安全标准与策略。
e)第5级:优化级
1) 参与数据安全相关国家标准的制定;
2) 在业界分享最佳实践.成为行业标杆。
10.2数据安全管理
10.2.1概述
数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控 数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求.实现组织内部对数据生 存周期的数据安全管理。
10.2.2过程描述
过程描述如下:
a) 数据安全等级的划分.根据组织数据安全标准.充分了解组织数据安全管理需求,对组织内部 的数据进行等级划分并形成相关文档;
b) 数据访问权限控制,制定数据安全管理的利益相关者清单.围绕利益相关者•需求.对其数据访 问、控制权限进行授权;
c) 用户身份认证和访问行为监控.在数据访问过程中对用户的身份进行认证识别,对其行为进行 记录和监控;
d) 数据安全的保护.提供数据安全保护控制相关的措施.保证数据在应用过程中的隐私性;
C)数据安全风险管理.对组织已知或潜在的数据安全进行分析.制定防范措施并监督落实。
10.2.3过程目标
过程目标如下:
a) 对组织内部的数据进行分级管理,重点关注数据的管理需求;
b) 对数据在组织内部流通的各个邱节进行监控,保证数据安全;
c) 分析潜在的数据安全风险.预防风险的发生。
10.2.4能力等级标准
能力等级标准如N:
a) 第1级:初始级
1) 在项丨I中进行了敖据访问授权和敖据安全监控;
2) 对出现的数据安全问题进行分析和管理。
b) 第2级:受管理级
1) 依据数据安全标准在业务部门内部对数据进行安全等级的划分;
2) 业务部门内部进行了数据利益相关者需求的识别.并进行数据访问授权以及数据安全 保护;
3) 业务部门内部进行了数据访问、使用等方面的监控;
4) 业务部门内部对潜在数据安全风险逬行了分析•制定了预防措施。
c) 第3级:稳健级
1)组织对数据进行r全面的安全等级划分.每级数据的安全需求能清晰定义.安全需求的责
任部门明确;
2) 根据外部监管定义数据范围,能清楚的定义外部监管对数据的安全需求;
3) 围绕数据生存周期,了解组织内利益相关者的数据安全需求,并对数据进行了安全授权和 安全保护;
4) 能对数据生存周期进行安全监控.及时了解可能存在的安全隐患;
5) 对于不同的数据使用对象.通过数据脱敏、加密、过滤等技术保证数据的隐私性;
6) 定期开展数据安全风险分析活动.明确分析要点,制定风险预防方案并监督实施;
7) 定期汇总、分析组织内部的数据安全问题,并形成数据安全知识库;
8) 新的项目建设中能按照数据安全要求进行数据安全等级划分、数据安全控制等;
9) 定期开展数据安全相关培训和宣贯,提升组织人员数据安全意识。
d) 第4级:量化管理级
1) 定义了数据安全管理的考核指标和考核办法.并定期进行相关的考核;
2) 定期总结数据安全管理工作,在组织层而发布数据安全管理工作报告;
3) 重点数据的安全控制可落实到字段级.明确核心字段的安全等级和管控措施。
e) 第5级:优化级
1) 能主动预防数据安全风险.并对已发生的数据安全问题进行溯源和分析;
2) 在业界分享最佳实践.成为行业标杆。
10.3数据安全审计
10.3.1概述
数据安全审计是一项控制活动,负责定期分析、验证、讨论、改进数据安全管理相关的政策、标准和 活动。审计工作町由组织内部或外部审计人员执行,审计人员应独立于审计所涉及的数据和流程。数 据安全审计的目标是为组织以及外部监管机
国家采购网:有 DCMM 数据管理认证,加分!
平时我就喜欢在各种文字网路上闲逛,毫无功利性,就是逛!
从前逛论坛,itpub, CSDN, 现在逛知乎,豆瓣,还有公众号。每个时代都有自己的精彩,我不喜欢抖快,但我总是能从阅读中,找到很多乐趣。
通过阅读,认识到不少有趣的人,和有意思的事。特别是有些爱好写技术文的作者,简直是宝藏
从疫情起,我又开始了一项新阅读活动,那就是逛期刊网,比如知网,超星,还有谷歌学术,Springer, 各种 Journal. 这种纯文字,高密度的信息阅读,对我而言,如获至宝
人与人之间,最大的区别,从前我认为是读书的数量,现在我倾向于提问的技巧。读的数量固然重要,但读来的东西,不作用于现实社会,除了颅内高潮,爽一下外,完全就没发挥出它的作用
那么,怎么样才能让读到的书,发挥出最大的作用呢?
如果从读出发,那可能还会陷入这样一个困境,读的速度远不如现实问题来的快。当问题接踵而来时,脑子里的存货,会越来越被发觉,不够用。
所以,与其等着问题来找你,不如先发制人。我们尝试着先去提出问题,然后检索各类资料,找到解决问题的方法
这段时间,我一直在寻找,各种好玩的数据应用。正在知网检索时,我遇到这么个词儿:
DCMM, 即 Data Capability Maturity Model
它是工信部提出的第一个国家级数据治理标准,中文即《数据管理能力成熟度评估模型》
在正式谈论 DCMM 前,我想说下软件业留下来的那些标准,比如 CMMI, Scrum,ITIL, Agile
这些标准,当年做软件,做咨询成长起来的朋友,或者公司,都是耳熟能详的。凭借这些理念,迷倒过各行各业的老牌公司。动不动就来上亿的单子。我就曾在惠普,做过世界500强的 ITIL 项目,当时的团队也是超越了200人,一共做了5,6年之久。
那么为什么像惠普,IBM这样的咨询公司,可以拿到这些超级单子呢?除去一些“你懂的”因素外,技术认证,也起到重要的一环。你说,别的公司做不来这种项目么,别的公司,技术就一定很差么。不是的
如果你也参与了这种大型公司的开发活动,你会了解,这些名门咨询公司,除了有扎实的理论做为指导,他们真的在践行理论中学到的东西,每个小团队真是按照理论中写到那样在运行。
比如做迭代,小公司小团队,明知代码有版本控制,有Devops流程,但人少,钱少,资源不足,想要运行起来,都很麻烦。有时花了力气搭出来的架子,一直不遵守,流程都没走完过。
这种团队,大型项目谁敢请来做。而咨询公司有自己的实验室,有真实的客户案例,那么还真非他们不可
在这样的大厂里,你往往还能遇到几个认证过的 CMMI, SCRUM, ITIL, Agile高手。他们的认知,操作规范,流程点卡位,都能给你耳目一新的感觉。有他们在,事情就是那么的顺利
现在轮到我来发掘数据行业的“最佳理论”和“最佳实践”了。我一直在猜想可能有这样的标准,但始终未花力气去找,直到这段时间,在论文中发现了。
DCMM, Data Capability Maturity Model.
有了它的理论指导,加上实践,一定可以完成更大的数据类项目管控。还记得我前面写过的那篇文章么,任何行业,都必须从高端案例学起。既然 DCMM 这么重要,那么有了它能怎么样呢?既然是国家级标准,政府采购是不是一定会有这样的标准要求呢
带着这个问题,我又发现了另一个窗口,政府软件采购。通过阅读标书,在采购的软件中,居然也有很多,是数据加工处理的项目,比如下面两个例子
我通读了几篇标书,总结了两点,来说明招标的技术要求和企业资质
首先,有些标书技术上提到了有 OCP 资质(Oracle Certificated Professional) . 意味着有这样证书的公司,才能参加竞标。还有的自然是今天的主角 DCMM 认证。所以看到了吧,别说自己技术多牛,要是没有证书,门槛都进不去
其次,企业的资质。川普搞来对付华为的一套,日后肯定也会用到中国的任何一家企业。那么国产化势在必行,软件业也一样。除了中国制造,还得考虑国家级标准。中国软件行业协会副秘书长,付晓宇就坦言,“凡涉及到关键信息基础设施的信息系统,必须要使用国产软件”
综上两点,已可以充分说明,DCMM 也会成为企业竞标国有项目的一种参考资质
那么,DCMM 的认证,自然就推进来了。作为数据人,我们应该拥抱这样一种变化。巧的是,我从老彭那里得知,工信部即将推出一个认证,CDP - Certified DCMM Professional
怎么样,期待吧,证书控们!
--完--
往期精彩:
以上是关于DCMM GBT 36073-2018 数据管理能力成熟度评估模型(Word版)的主要内容,如果未能解决你的问题,请参考以下文章
Excel中用宏VBA实现GBT 4761-2008 家庭关系代码转换