摘要:本文介绍了由中国提出并将形成国际标准的ISO/IEC 38505-1和ISO/IEC TR 38505-2的主要内容。ISO/IEC38505-1旨在为治理主体提供原则、定义以及模型,以帮助治理主体评估、指导和监督其数据利用的过程。ISO/IEC TR 38505-2为组织的治理主体和管理者建立关联,确保数据管理活动符合组织的数据治理战略。阐述了数据治理和IT治理国际标准的关系,以及数据治理未来的发展方向。

  1、引言

  数据已经逐渐取代传统的IT基础设施和应用成为组织发展新的动力和重要的资产。数据的价值被组织的高层管理者所接受,越来越多的组织通过加强数据的利用寻找新业务的增长点。而传统的数据质量、数据标准、数据模型、元数据、主数据等数据管理活动只解决数据相关的局部问题,其相互之间没有统一的协调和安排,管理活动之间存在割裂和不一致,导致数据利用的效率降低。因此,开展数据利用活动不仅需要组织高层管理者的参与,也需要明确数据治理和管理的区别和联系(如图1所示),从而建立数据治理机制来促进数据管理活动的协调一致,更有效地挖掘数据的潜在价值,满足组织战略目标。

  2、数据治理国际标准的发展历程

  数据治理的概念建立在IT治理的基础上,在ISO标准和中国国家标准中,数据治理标准都属于IT治理标准体系,遵循IT治理的思想。数据治理国际标准发展历程如图2。

1702op00353_14_06800.jpg

图1 数据治理和管理

1702op00353_14_06900.jpg

图2 数据治理国际标准的发展历程

  ●2014年

  中国数据治理国家标准立项后,中国代表团在澳大利亚召开的ISO/IEC JTC1/SC40/WG1(IT服务管理与IT治理分技术委员会/IT治理工作组)会议上提出需要开展数据治理国际标准工作,得到国际专家的认可。

  在同年召开的荷兰会议上,中国代表团提交了由中国数据治理国家标准工作组编写的《数据治理白皮书》(英文版),白皮书引起了国际专家的高度重视。

  ●2015年

  在巴西会议上,中国代表团正式提出数据治理的新工作项目建议,并得到国际与会专家的一致通过。经过会议讨论,将数据治理国际标准分为两个部分:ISO/IEC 38505-1《基于ISO/IEC 38500(IT治理)的数据治理》和ISO/IEC TR 38505-2《数据治理对数据管理的影响》,中国专家担任第一部分的联合编辑和第二部分的编辑。

  在同年的爱尔兰会议上,ISO/IEC 38505-1形成了委员会草案(CD),ISO/IEC TR 38505-2形成编辑草案(ED)。

  ●2016年

  在苏州会议上,ISO/IEC 38505-1形成了国际标准草案(DIS),ISO/IEC TR 38505-2形成第一版工作草案(WD1)。

  在同年的英国会议上,ISO/IEC 38505-1形成了最终国际标准草案(FDIS),ISO/IEC TR 38505-2形成第二版工作草案(WD2)。

  数据治理国际标准的两个部分预计在2017年5月日本会议后发布,这代表着数据治理在国际上的共识,也是中国作为ISO/IEC JTC1/SC40/WG1成员在IT治理国际标准工作组的重要贡献。

  3、数据治理国际标准的主要内容

  数据治理国际标准为组织的治理主体提供数据治理指南,组织的数据治理主体可以应用基于原则(IT治理国际标准ISO/IEC 38500:2015中提及的方法)的方法来开展数据治理活动,从而在减少数据风险的同时提升数据的价值。数据治理国际标准主要关注治理主体评估、指导和监督数据利用的过程,而不关注数据存储结构、恢复等数据管理活动。

  数据治理的责任主体在治理层,治理层在开展数据治理的过程中主要通过制定数据战略来指导数据管理活动,而管理层需要通过管理活动来实现战略目标。同时,治理主体需要通过建立数据策略来保障数据管理活动符合数据战略的需要,进而满足组织的战略目标。两者之间的关系见图3。

1702op00353_14_08300.jpg

图3 ISO/IEC 38505-1与ISO/IEC TR 38505-2之间的关系

  数据治理是随着大数据的广泛应用发展起来的,是比较新的领域。为了促进数据治理国际标准对于行业实践的指导、适应组织发展的需要,数据治理国际标准仍在不断扩展中。标准工作组正在调研行业数据治理应用和实践,以开发针对特定行业的数据治理行业指南,以优化行业和组织数据利用的过程。

  3.1 ISO/IEC 38505-1

  ISO/IEC 38505-1保持了与ISO/IEC 38500:2015的一致性,基于IT治理的原则和模型给出了数据治理的原则和模型,同时提出了数据治理的责任和特征作为标准的主体,并用数据治理责任和特征构成数据治理责任矩阵,为组织的数据治理主体提供实践指南。

  数据治理责任图(图4)包括收集、存储、报告、决策、发布和处置几个活动。组织通过收集来获取数据,经过存储、报告、决策再到收集形成反馈循环,以确保数据适合不同场景的需要,这样可以促进组织改进数据收集过程,同时提升企业的业务决策效率。对于不同业务类型的组织,数据治理责任图从治理的视角标识出治理主体需要关注的主题。

1702op00353_14_08900.jpg

图4 数据治理责任

  数据治理的特征(如图5所示)包括价值、风险和约束。数据的价值在于在规避风险和符合要求的前提下,从其包含的信息中分析出未来的趋势,或者通过利用数据提高决策效果。首先,从数据中提取信息要关注数据的质量、时效性、语境、体量,以最大化数据的价值。其次,在利用数据的过程中存在相应的风险,因此需要关注数据相关的分类、风险管理和信息安全等活动。最后,组织在利用的数据的过程中需要遵守相关的法律法规,同时考虑社会化对数据利用过程的约束。

1702op00353_14_09100.jpg

图5 数据治理特征

  数据责任矩阵(如表1所示)由数据治理责任和数据治理的三个特征构成6×3的矩阵,旨在通过矩阵阐述组织的治理主体在开展数据治理活动时需要关注的主要内容。如,矩阵中的V2代表治理主体应考虑数据存储相关的价值(治理主体需要提供相关策略以分配数据存储和数据服务的资源,从而发现数据的潜在价值)。通过表1的描述,治理主体可以从价值、风险和约束三方面,体系化、系统地了解从收集到处置过程中的数据治理责任。

1702op00353_14_09300.jpg

表1 数据治理责任矩阵

  ISO/IEC 38505-1给出了数据治理原则、模型和数据特征,以及治理主体需要采取的行动,最大限度地提高组织在数据利用方面的价值,同时管理相关的风险和约束,以促进在组织中执行良好的数据治理活动。

  3.2 ISO/IEC TR 38505-2

  ISO/IEC 38505-2描述了组织的治理主体需要建立相关机制,以评估、指导和监督数据管理活动,确保管理活动符合数据治理原则的要求。数据治理作为IT治理的一部分,用来帮助组织从数据中获取最大价值。因此,治理主体需要制定数据战略,而管理者需要了解数据治理战略,并通过管理活动来实现组织的战略目标。同时,管理者需要为治理主体提供相关的建议和计划来帮助治理主体建立数据治理战略。ISO/IEC TR 38505-2在数据治理主体和管理者之间建立了沟通机制,同时给出建立数据治理策略的建议,以确保数据管理活动符合数据治理战略,进而实现整个组织的战略目标。

  数据治理主体和数据管理者需要建立沟通机制(如图6所示),促进数据管理者的管理过程与数据战略保持一致,沟通机制由战略、策略、控制和过程四个部分组成(本标准只关注从战略到策略的过程,因为控制和过程属于管理范畴)。治理主体需要根据组织的实际情况建立数据治理战略,同时需要根据管理者的反馈(建议或计划)与管理者共同制定数据策略。沟通机制是双向的,治理主体也需要通过监督活动,了解数据管理的控制和过程是否满足数据策略和战略的需要。

1702op00353_14_09800.jpg

图6 数据治理和管理沟通机制

  ISO/IEC TR 38505-2也给出了制定数据治理策略的基本方法和关键内容,为治理主体开发数据策略提供指导。如图7所示,建立数据治理策略需要通过计划和开发、发布和授权、宣贯和实施、监督和维护四个部分,组织的治理主体可以根据组织的特点和实际情况参照此过程建立数据治理策略。

1702op00353_14_10000.jpg

图7 策略开发过程

  表2给出制定数据策略需要具备关键要素的示例。示例中显示,数据策略需要包括数据策略的名称、分类、目的、范围、内容和沟通方法。组织的治理主体通过建立数据策略,为管理者实施数据治理活动提供指导。

image.png

表2 数据策略关键要素

  4、数据治理和IT治理国际标准的关系

  数据治理是IT治理的组成部分,需要符合ISO/IEC 38500:2105中提出的IT治理的原则和模型,同项目治理、信息安全治理等相关内容共同组成IT治理的框架,促进组织对IT的利用。

  治理主体应通过三项主要任务开展数据治理工作:

  (1)评估现在和将来对数据的利用;

  (2)建立数据治理战略和策略,保证数据利用符合业务需求;

  (3)监督数据治理实施的符合性,满足组织的战略目标。

  数据治理国际标准采用了IT治理国际标准的模型,在IT治理模型中增加了针对数据治理的说明。治理主体在评估组织数据利用的活动时,应从组织视角考虑内部需求和外部压力,审查和判断当前和将来数据的利用,明确数据治理的职责,指导数据治理战略和策略的建立及实施。同时,治理主体也需要建立适当的测量体系来监督数据利用的绩效,确保在数据治理过程中遵循战略目标,确保符合内部策略和外部需求。

  5、数据治理未来的发展方向

  数据作为劳动力、土地、资本之外新的生产要素,是通过对自然世界的精神构建向物质构建转换的过程。本质是收集过去的信息,经过处理和利用对未来进行预测的过程(如图8所示)。数据利用的过程需要基础设施(如云计算)服务的支持,基础设施服务相关技术的发展对数据进入大数据时代起到很大的促进作用,提升了数据利用的能力。

image.png

图8 数据利用过程

  开展数据治理主要目的是利用数据对社会或组织产生价值,因此组织需要开展面向价值的数据治理。在开展数据治理活动中需要了解数据的价值和组织自身的能力特点,识别适合于组织的价值空间,进而根据组织不同的价值取向,有针对性地开展数据治理活动。如图9所示,组织可以从四个不同的层次识别数据相关的价值空间。

  首先,组织可以利用从外部收集或自己产生的数据与其他组织进行交易,但是在交易过程中需要符合法律法规的要求,避免隐私、信息安全等相关的风险。其次,数据可以作为资产,在组织重组或兼并等过程中计入资产估值,以增加组织的无形资产的价值。再次,数据可以作为企业内部的服务,为业务提供支持,为重大决策提供支撑。最后,组织也可以通过数据开展业务创新,面向用户提供相应的数据业务。

image.png

图9 数据价值模型

  参考文献

  [1]李鸣,张旸旸,蔡震宇.IT治理标准研究[J].信息技术与标准化,2016(3):29-33.

  [2]李鸣,郝守勤.IT治理标准产业化研究[J].信息技术与标准化,2016(7):26-28.

责任编辑:qinpeng