数据治理有一套标准的方法论,涵盖从获取到使用到处置的整个数据生命周期。包括建立有关战略、数据存储、内容和记录管理、数据质量控制、数据访问、数据安全和风险管理、数据共享和分发的决策权限、政策、程序和标准,以及持续对上述所有活动的合规性监控。根据数据治理先进理念,借鉴国内外数据治理最佳实践经验,总结了数据治理的若干问题,通过提问的形式引发您反思贵公司在数据治理是否存在差距,以便于制定下一步行动计划。
数据战略
以书面的形式,在数据战略中明确数据治理的政策和程序是非常必要的,有利于确保组织中的每个人都了解数据质量和安全的重要性,并确保员工有动机和权力实施数据治理。
1.是否确定了影响关键数据治理规则和要求的政策优先事项,以及关键利益相关者是否就优先事项达成了一致(正式协议或口头批准)?
2.关于数据治理和数据管理生命周期的所有方面(包括收集、维护、使用和传播)的标准政策和程序是否已明确定义和记录?
3.是否制定了政策和程序,以确保所有数据的收集、管理、存储、传输、使用、报告和销毁方式能够保护隐私并确保保密性和安全性(包括但不限于遵守GB/T 35273-2017《信息安全技术 个人信息安全规范》,以下简称《规范》)?
4.是否进行了评估以确保决议或已建立的数据治理政策和程序的长期可持续性,包括适当的人员配备、工具、技术和资源?
5.是否有一个书面计划,描述了监控其数据治理的合规性的过程?
6.数据战略是否以开放和可访问的方式记录并传达给所有利益相关者,包括员工、数据提供者和公众?
数据存储
对所有需要保护的数据进行盘点是数据安全项目的关键步骤。维护所有敏感记录和数据系统(包括用于存储和处理数据的系统)的最新状态,使组织能够以其数据安全和管理工作为目标。按敏感度对数据进行分类有助于数据管理团队认识到安全工作的重点。
7.是否有一份详细的、最新的、应归类为敏感的所有数据清单(即因未经授权或无意披露而带来损害风险的数据)、P个人信息或两者兼有?
8.数据记录是否根据PII披露的风险等级进行了分类?
9.组织是否有关于数据存储的书面政策,该政策概述了库存中应包括哪些内容以及如何、何时、多久以及由谁更新?
数据内容管理
密切管理数据内容,包括确定收集数据的目的,有必要证明收集敏感数据的合理性,优化数据管理过程,并确保遵守国家法律法规。
10.是否有一套明确记录的政策、运营和研究需求,以证明收集特定数据的合理性(例如,需要收集哪些个人信息,以完成相应的业务操作)?
11.是否定期审查和修订其数据内容管理政策,以确保仅收集或维护满足上述需求所需的数据?
数据记录管理
必须指定与处理数据相关的适当管理和用户活动,以便为数据管理员和用户提供符合组织安全策略的适当工具。
12.是否建立了尽可能消除个人隐私信息标识的机制(例如,从个人信息中删除所有直接和间接标识)?
13.是否制定并传达了在数据生命周期的所有阶段(包括获取、维护、使用和存档或销毁数据)处理记录的政策和程序?
数据质量
确保数据准确、及时和完整,以达到预期用途,这对任何组织来说都是一个高度优先的问题。维护高质量数据的关键是对数据治理采取主动的方法,该方法要求建立并定期更新预防、检测和纠正数据错误和误用的策略。
14.是否制定了策略以确保数据准确、完整、及时且与利益相关者的需求相关?
15.是否定期进行数据质量审计,以确保其实施质量控制的策略是最新的?
数据访问
根据个人在组织中的角色和职责,定义和分配不同级别的数据访问权限,对于防止未经授权的访问和最小化数据泄露风险至关重要。
16.是否制定了限制和监控员工数据访问的策略,限制哪些数据可以由谁访问,包括根据工作描述和职责分配不同级别的访问权限?这些策略是否符合适用的国家隐私保护法律法规(包括《网安法》、《规范》等)?
17.是否建立了管理用户数据访问的内控手段,包括具有个人信息访问权限的员工所需的安全审查、培训和保密协议?
18.是否有适当的技术来限制和监控授权用户的数据访问,以确保其在系统中访问数据的条件与数据安全策略中限定的条件一致,包括哪些数据可以访问、访问时间段以及在什么条件下访问等?
数据安全和风险管理
确保敏感和个人可识别数据的安全性,降低未经授权披露这些数据的风险,是有效数据治理计划的首要任务。
19.是否制定了全面的安全框架,包括解决数据安全问题的组织、硬件和软件(如数据访问和共享限制、强大的密码管理、定期的员工培训等)?
20.是否进行了风险评估,包括评估与恶意个人(如黑客)故意滥用数据和授权用户无意披露数据相关的风险和漏洞?
21.是否有适当的计划来减轻与故意和无意数据泄露相关的风险?
22.是否定期监控或审计数据安全?
23.是否制定了策略,以确保在发生数据泄露、丢失或其他灾难时数据服务的连续性?
24.是否制定政策指导有关数据交换和报告的决策,包括与行业监管机构、数据分析人员和第三方合作伙伴共享数据?
25.在共享数据时,是否制定了适当的程序,如共享协议,以确保任何个人信息保持严格保密,并防止未经授权的披露?
