ISO38505介绍

ISO38505数据治理安全认证是全球首个针对企业数据安全治理的管理体系认证，代表了数据治理安全的国际通行要求。数据治理安全是全球新兴的安全理念，包括企业数据资产的安全管理、数据使用的安全管控、数据治理的安全稽核等。数据治理安全体系是一种动态安全体系，面向的是支持业务系统的数据，数据是可以流转、使用的、共享的，并从治理和技术两个视角看数据服务及技术生命周期，进行安全等级的划分。

ISO/IEC38505-1标准定义了ISO/IEC 38500《组织的信息技术治理》( 以下称ISO/IEC 38500 )在数据治理中的应用，提出了数据治理的意义、原则、模型和特征，并明确了数据治理的任务、实施导则和应用，包括:
1、明确了数据治理的意义、治理主体的职责、数据治理的监督机制；
2、在ISO/IEC 38500的基础上，进一步明确数据治理的“E (评估)-D(指导) -M(监督)”方法论；
3、提出了数据采集、存储、报告、决策、发布、处置相关的治理任务；
4、明确如何将ISO/IEC 38500所定义的“责任、战略、获取、绩效、合规、人员行为”六大原则应用到数据治理中；
5、提出了ISO/IEC 38500治理模型的应用方法；
6、提出基于“价值、风险和约束”数据特性的治理导则；
7、提出了数据责任矩阵表及其应用方法。
ISO/IEC38505-1的正式发布，代表着由我国提出的数据治理理念和方法论在国际上已达成共识，是中国对国际标准的重要贡献。

数据治理的目标

数据治理的目标是建立标准化、集成、保护和存储公司数据的方法，职责集和流程。组织的主要目标应该是:
1、降低风险；
2、建立数据使用内部规则；
3、实施合规要求；
4、改善内部和外部沟通；
5、增加数据价值；
6、方便数据管理；
7、降低成本；
8、通过风险管理和优化来帮助确保公司的持续生存。

申请ISO38505认证的基本条件
1、具有独立法人资格，公司成立3个月以上；
2、提供大数据相关项目材料：需求、设计、测试；
3、最终成果验收、功能截图等；
4、依据ISO38505标准建立体系，并运行3个月以上；
5、至少进行一次内审、管理评审。

申请ISO38505认证流程

1、认证中心编写体系文件初稿；
2、企业依据中心提供的资料清单，准备项目实施、运营文档；
3、识别企业认证范围涉及的数据资产，共同完成数据治理资料；
4、中心检查资料完备性，双方补充资料记录，共同完成体系运行记录；
5、现场审核、不符合整改、发证。

申请ISO38505认证的意义

1、高效运营；
2、从根本上解决数据质量问题；
3、规范和共享的需要；
4、风险管理的需求；
5、管理创新需要；
6、业务流程和资源配置的优化，可以提高业务管理能力；
7、避免出了问题再补漏，数据管理部门和生产部门相互推脱责任。