全国客服热线:
025-8622844413913844442
025-8622844413913844442
当前栏目:首页>>新闻中心>>数据治理管理体系认证
在数字中国战略全面深入推进的背景下,数据已被明确界定为与土地、劳动力、资本、技术并列的新型生产要素。如何有效管理和释放数据要素价值,同时确保数据安全与合规,已成为各组织的核心关切。国际标准化组织(ISO)与国际电工委员会(IEC)联合发布了ISO/IEC 38505系列标准,为组织建立数据治理框架提供了国际通用的规范与指导。我国在积极推行数据管理能力成熟度国家标准的同时,亦与国际接轨推动数据治理管理体系认证的实施。作为经国家认监委依法批准设立、具备信息技术领域管理体系认证专业范围认可资格的独立第三方认证机构,我中心依据ISO/IEC 38505-1:2017《信息技术——IT治理——数据治理——第1部分:在数据治理中应用ISO/IEC 38500》及相关标准开展认证审核活动,现就该项认证作如下介绍。
ISO/IEC 38505是ISO/IEC 38500系列IT治理标准体系下的数据治理专项标准。ISO/IEC 38505-1:2017由ISO/IEC JTC 1/SC 40信息技术治理与服务管理分技术委员会编制,于2017年正式发布,现行有效。该标准是全球首个专门针对数据治理的管理体系标准,沿用了IT治理的六条基本原则——职责、战略、获取、绩效、合规和人员行为,并明确阐述了这些原则如何指导数据治理中的决策。
在治理模型方面,ISO/IEC 38505提出治理主体应运用“评估—指导—监督”(EDM)模型开展数据治理工作:评估当前及未来的数据使用情况,指导编制及实施战略和政策,监督政策及战略的落地执行情况。该标准不是以数据技术细节为核心,而是聚焦于治理决策、权责分配和持续改进,确保数据资产的战略价值最大化和使用风险最小化。
ISO/IEC 38505认证是全球首个针对企业数据安全治理的管理体系认证,代表了数据治理领域的国际通行标准。
我中心依据ISO/IEC 38505-1:2017《信息技术——IT治理——数据治理——第1部分:在数据治理中应用ISO/IEC 38500》开展认证审核。我中心颁发的认证证书标注的认证依据标准为ISO/IEC 38505-1:2017。
需要说明的是,ISO/IEC 38505属于管理体系标准认证,侧重组织的治理决策框架和系统性制度安排,与国内普遍推行的DCMM数据管理能力成熟度评估互为补充:管理体系认证健全和证明组织的治理决策框架和系统化管控能力,成熟度评估则衡量组织数据管理的具体水平等级,两者各有侧重、互不替代。
本认证适用于所有类型、规模,涉及数据资产管理和使用的组织,无论行业领域。涵盖但不限于以下组织类型:
● 数据密集型组织(数据拥有方):拥有大量需管理的数据资产,需要对数据实行规范化治理的机构,如金融与保险机构、政务与公共事业部门、医疗健康机构、电商与互联网平台企业、制造业企业、高校科研院所等;
● 信息技术服务提供方:对外输出数据管理能力和技术服务的企业,如数据开发运营商、信息系统建设与服务提供商、云计算与IT外包服务商、软件开发企业等;
● 兼具数据拥有与技术服务双重身份的组织:既运营自身数据资产又向外部提供数据处理服务。
ISO/IEC 38505认证评价的是组织的数据治理体系,不拘泥于特定行业或规模。据标准系列中的最新发展,ISO/IEC 38500和ISO/IEC 38505系列亦为进一步细化细分领域的数据治理(如人工智能数据治理)奠定了基础。
依据ISO/IEC 38505标准,认证审核围绕组织对数据资产的治理能力展开,重点关注以下核心管理要素:
数据治理策略与责任: 明确数据治理的职责分配与问责机制,建立数据治理战略和政策,确保最高管理层对数据治理的参与与决策责任。基于“职责”原则,清晰界定数据治理治理主体与数据管理执行层的角色分工。
数据资产的战略价值: 依据“战略”原则,推动将数据作为战略资产进行规划与管理,驱动数据资产的价值最大化,实现从“数据管理”到“治理赋能”的跨越。
数据质量与标准化: 建立全流程的数据质量管理体系,制定统一的数据标准与规范,确保数据的准确性、一致性与时效性,支撑精准决策。对数据采集、存储、加工、共享和应用等环节实施全生命周期质量管控。
数据安全与合规管理: 依据“合规”原则,构建数据安全与隐私保护屏障,建立科学的分级分类机制,加强核心数据与用户隐私保护,确保全程合规、风险可控。确保数据治理体系符合法律法规与行业监管要求。
数据生命周期管理: 覆盖数据从采集、存储、加工、使用、共享到归档销毁的全生命周期,实施系统化的管控与绩效监测。
绩效评估与监督: 依据“绩效”原则,建立数据治理绩效监视与测量机制,定期对数据治理的成效进行评价并推动持续改进。
数据共享与业务协同: 促进部门间数据互通与业务协同,提升信息共享和整体运营效率,以高质量数据驱动业务创新与智能化发展。
申请本认证的组织应当同时满足以下基本条件:
1. 具有独立法人资格或经法人授权的合法经营资格,持有有效的营业执照或相关资质文件;
2. 组织开展涉及数据资产管理和使用的业务活动,具备可供验证的数据治理场景;
3. 已按照ISO/IEC 38505标准的要求建立文件化的数据治理管理体系,并正式运行不少于三个月,具备具备数据治理相关项目材料的运行记录;
4. 在认证审核前,已实施至少一次覆盖标准全部适用要素的内部审核和管理评审;
5. 体系运行期间及认证申请前一年内,未因数据安全或个人信息保护问题受到主管部门的重大行政处罚。
另需注意,本认证不排斥已取得DCMM评估证书的组织申请。相反,DCMM评估过程中已建立的数据管理体系和流程,可为申请ISO/IEC 38505认证提供良好的基础与衔接。
我中心实施数据治理管理体系认证的基本流程如下:
(一)申请与受理。 申请组织向我中心提交正式认证申请书及相关证明文件,包括有效的营业执照、数据治理管理体系文件(如数据治理手册、数据战略与政策文件、程序文件、数据安全管理制度、数据质量管理规范等)、数据治理相关项目及业务活动说明。我中心对申请材料的完整性和合规性进行审查,确认符合受理条件后正式受理。
(二)第一阶段审核(文件审查)。 审核组对申请组织提交的数据治理管理体系文件进行书面审查,确认其符合ISO/IEC 38505标准的全部适用要求,覆盖数据治理策略与责任、数据战略规划、数据质量管理、数据安全控制、数据生命周期管理等核心领域,并评估第二阶段现场审核的可行性。
(三)第二阶段审核(现场审核)。 文件审查通过后,审核组进驻申请组织的运营场所,通过访谈管理层及数据治理关键岗位人员、查阅体系运行记录、现场观察数据处理活动、场景验证等方式,全面评估数据治理管理体系运行的有效性和符合性。审核范围须覆盖标准全部适用条款和认证范围所涉及的核心业务活动。
(四)认证决定。 审核组根据现场审核发现,对组织的数据治理管理体系与ISO/IEC 38505标准的符合性和运行有效性进行综合评价,形成审核报告。我中心独立于审核组的认证决定人员依据审核报告和审核证据做出认证决定。当确认组织的数据治理管理体系全面满足标准要求时,即为组织颁发认证证书。
(五)监督审核与再认证。 认证证书有效期为三年。获证后,组织须按年度接受监督审核,确保持续符合标准要求。证书到期前须申请再认证审核,再认证流程与初次认证基本一致。
获得ISO/IEC 38505数据治理管理体系认证,是组织具备国际公认数据治理能力的重要标志,具有多方面价值:
在数据治理合规方面,依据ISO/IEC 38505标准建立数据治理体系,有助于确保组织的数据管理和使用符合《数据安全法》《个人信息保护法》等国内外数据法规要求,有效防范合规风险。
在资产价值释放方面,通过规范化治理将数据从成本负担转化为战略资产,释放数据业务价值,提升投资回报与核心竞争力。
在安全风险管控方面,构建数据安全与隐私保护屏障,降低数据泄露、滥用等风险,增强组织运营韧性。
在内部管理效率方面,通过建立全流程数据质量管理体系和统一的数据标准规范,确保数据的准确性、一致性与时效性,支撑精准决策,促进跨部门数据共享与业务协同,提升整体运营效率。
在市场竞争方面,随着数字经济的纵深发展,认证有助于提升组织在招投标、商务合作中的品牌形象和市场信誉,展示组织对数据治理的承诺与实力。部分大型企业和政府项目已开始认可ISO/IEC 38505认证作为数据治理能力的权威凭证。
在创新赋能方面,认证为数字化转型奠定数据基础,通过可信、高质量的数据底座赋能业务创新,加速智能化应用和数字经济融合发展。
作为经国家认监委依法批准设立、具备信息技术领域管理体系认证专业范围认可资格的独立第三方认证机构,我中心拥有一批经过严格培训且具备ISO/IEC 38505认证审核资格的专业审核员,具备丰富的数据治理、数字化转型领域审核经验,对国内外数据安全法规与行业政策有深入了解。中心严格遵守国家认证认可法律法规,遵循客观独立、公开公正、诚实信用的原则,对所有申请组织提供平等、规范的认证服务,确保认证结论的权威性和公信力。
如需进一步了解认证详情或提交认证申请,请通过我中心官方渠道获取申请文件和相关材料。
新闻聚焦