ISO/IEC 38505-1:2017是数据治理的国际标准,基于IT治理框架ISO/IEC 38500,专门针对数据治理提供原则和模型。该标准帮助组织评估、指导和监督数据的使用和管理,确保数据为组织创造价值并符合伦理和法律要求。标准提出了数据治理的六项原则:责任、策略、采购、绩效、合规和人员行为,并提供了数据治理的评估模型。核心内容包括数据治理框架建立、数据治理角色职责、数据价值评估、数据风险管理、数据质量保障、数据安全控制、数据生命周期管理、合规性评估及持续改进。该标准适用于所有类型和规模的组织,通过实施可确保数据资产的有效管理和利用,支持数据驱动决策,降低数据相关风险,满足数据保护法规要求,提升数据资产的战略价值。
ISO/IEC 38505-1:2017 数据治理管理体系
ISO/IEC 38505-1:2017是数据治理的国际标准,基于IT治理框架ISO/IEC 38500,专门针对数据治理提供原则和模型。该标准帮助组织评估、指导和监督数据的使用和管理,确保数据为组织创造价值并符合伦理和法律要求。标准提出了数据治理的六项原则:责任、策略、采购、绩效、合规和人员行为,并提供了数据治理的评估模型。
标准信息
国际标准
ISO/IEC 38505-1:2017
国家标准
无
标准名称
Governance of IT — Governance of data — Part 1: Application of ISO/IEC 38500 to the governance of data
标准名称
数据治理管理体系
发布机构
ISO/IEC 国际标准化组织与国际电工委员会
发布机构
无
发布日期
2017 年 4 月
发布日期
无
标准简介
标准目的
- 规范数据治理建立系统化的数据治理框架,规范数据的收集、存储、使用、传输、销毁全流程治理,确保数据管理的有序性与规范性
- 提升数据质量通过数据治理管控,减少数据冗余、错误、缺失等问题,提升数据的准确性、完整性和一致性,为数据应用提供可靠支撑
- 保障数据合规确保数据治理活动符合国家数据安全、个人信息保护相关法律法规及行业规范,规避数据合规风险
- 挖掘数据价值通过科学的数据治理,激活数据资产价值,助力组织基于数据开展决策、优化业务流程、提升核心竞争力
- 强化治理管控明确各部门数据治理职责,建立数据治理监督与考核机制,推动数据治理融入组织经营管理全过程
适用范围
- 行业覆盖适用于所有处理数据的组织,涵盖互联网、金融、医疗、制造业、政府机构、科技企业等全行业,不分组织类型
- 规模覆盖适配小微企业、中小企业、大型集团、跨国企业等不同规模组织,可根据数据量、数据类型灵活调整治理模式
- 场景覆盖涵盖数据采集、数据清洗、数据存储、数据加工、数据共享、数据销毁、数据审计等全数据生命周期场景
- 管理覆盖覆盖数据治理方针制定、数据架构设计、数据质量管控、风险评估、绩效评价、持续改进等全管理环节
- 认证覆盖支持单一站点、多站点、集团化等不同组织架构的认证模式,满足总部与分支机构数据治理一体化管理需求
核心要素
管理控制
核心维度覆盖占比
人工智能(AI)定义
人工智能(AI)定义
人工智能的三大核心要素
三大要素能力图
信息安全核心:CIA 三要素
核心概念定义
IT服务管理三要素
IT服务管理过程
CS能力评估等级体系
服务类型细分
部署模式细分
全等级综合对比
能力维度雷达对比
ITSS咨询设计核心说明
标准内容
- 1 范围
- 2 引用
- 3 术语和定义
-
- 4.1 良好的数据治理带来的好处
- 4.2 管理机构的责任
- 4.3 管理机构和监督机制
- 5 良好的数据治理的原则、模型和其他方方面面
-
- 6.1 简介
- 6.2 收集
- 6.3 储存
- 6.4 报告
- 6.5 决策
- 6.6 分发
- 6.7 处置
-
- 7.1 简介
- 7.2 原则一:责任
- 7.3 原则二:战略
- 7.4 原则三:获取
- 7.5 原则四:表现
- 7.6 原则五:一致性
- 7.7 原则六:人类行为
-
- 8.1 模型的运用
- 8.2 内部需求
- 8.3 外部压力
- 8.4 评估
- 8.5 指导
- 8.6 监督
-
- 9.1 简介
-
- 9.2.1 简介
- 9.2.2 质量
- 9.2.3 即时性
- 9.2.4 环境
- 9.2.5 容量
-
- 9.3.1 简介
- 9.3.2 管理
- 9.3.3 数据分类方案
- 9.3.4 安保
-
- 9.4.1 简介
- 9.4.2 法律和法规
- 9.4.3 社会的
- 9.4.4 组织政策
- 10 数据责任图的应用
体系运行过程模型
| 阶段 | ISO38505中的定义 | 在标准中的核心映射 |
|---|---|---|
| P (策划) | 识别信息资产和风险,明确安全目标、适用控制和治理策略。 | 第4章、5章、6章(上下文、领导作用、风险策划) |
| D (实施) | 落地安全控制、职责分工、运行流程与监控机制。 | 第7章、8章(支持与运行)及控制域实施 |
| C (检查) | 通过监控、审计、评审验证控制有效性并识别差距。 | 第9章(监视测量、内审、管理评审) |
| A (处置) | 处理安全事件和不符合,更新风险评估与控制措施。 | 第10章(不符合、纠正和持续改进) |
ISO38505 标准解读
- 暂无对应标准解读,欢迎联系我们获取专项方案。
信息安全运行控制
云服务信息安全控制措施
核心维度覆盖占比
个人身份信息(PII)保护控制措施
核心维度覆盖占比
个人信息安全规范控制措施
核心维度覆盖占比
公有云隐私控制措施
核心维度数量占比
隐私概念
隐私控制者 vs 隐私处理者 核心区别
| 对比维度 | 隐私控制者 | 隐私处理者 |
|---|
隐私控制措施分类
隐私控制措施分类占比
七项质量管理基本原则
领域控制措施
核心维度覆盖占比
数据安全能力成熟度等级
数据安全过程
认证咨询流程
→→→→→→→→→
初次获证要求
- 合规性证明需持有法律地位证明文件(如营业执照)
- 资质许可特殊认证范围,需提供必要的行政许可、资质证书、强制性认证证书
- 成立周期公司成立超过3个月
- 运行周期体系运行超过3个月
- 体系要求依据ISO38505标准建立符合的数据治理管理体系
- 运行要求有健全的数据治理管理体系运行证据
- 内审管评必须有一次完整的内审和管理评审
- 现场审核通过一二阶段现场审核,并完成不符合整改
证书维护要求
- 证书有效期数据治理管理体系证书是三年有效期
- 监督审核数据治理管理体系证书需每年一次监督审核,与上次审核间隔不超过12个月
- 再认证审核数据治理管理体系证书有效期3年,到期前需进行一次换证审核,审核通过后,换发新三年周期的有效证书
- 变更审核当组织的数据治理管理体系发生变化,比如公司业务调整、办公地址变化、组织机构调整、人员变化等,可申请证书变更,可结合监督审核 / 换证审核一起进行变更,也可以单独申请变更
- 证书暂停当证书超出监督审核周期时,证书进行暂停状态,暂停期间不可以使用证书
- 证书撤销当证书超出三年有效期而没有进行换证审核,或者在暂停截至日期前没有进行有效的监督审核,或发生重大质量安全事故或有严重违法违规行为,或被列入质量信用严重失信企业名单,证书会进行撤销处理
实施 ISO38505 的价值
- 风险可控识别信息资产风险并建立控制措施。
- 合规治理满足数据安全与隐私合规要求。
- 客户信任提升客户对平台与服务的安全信心。
- 业务连续减少安全事件对业务运行的影响。
- 治理能力形成跨部门协同的安全管理机制。
- 持续防护通过监测审计持续提升防护能力。
与其他体系结合
标准名称
推荐率
常见问题及误区
Q1:只有数据量庞大的互联网企业才需要ISO38505-1认证?
A:不是,任何拥有数据资产并开展数据治理的组织均适用,包括制造业、政务机构、医疗、金融等,只要涉及数据的采集、存储、使用,就需要规范数据治理。
Q2:ISO38505-1体系就是对数据进行清洗和整理,提升数据质量?
A:不是,数据质量提升只是数据治理的一部分,体系覆盖数据全生命周期的治理管理,包括数据架构设计、数据安全、数据价值挖掘、数据合规、组织职责等全维度。
Q3:数据治理是IT部门的工作,业务部门无需参与?
A:不是,数据治理的核心是数据为业务服务,业务部门是数据的产生者和使用者,需与IT部门协同,参与数据需求梳理、数据质量评价、数据价值挖掘等工作。
Q4:建立ISO38505-1体系会增加数据管理的成本,得不偿失?
A:不是,体系通过规范化的数据治理,提升数据的准确性、完整性和一致性,实现数据的高效共享和有效利用,推动数据驱动业务发展,长期来看能为组织创造更大的价值。
Q5:数据治理体系建立后,数据的管理规则就固定不变了?
A:不是,体系强调持续改进,随着组织业务发展、数据类型增加、法律法规更新,数据治理的规则和措施需及时优化,确保数据治理始终与组织发展匹配。
认证及咨询费用
费用影响因素占比
组织地理位置(及多个办公场所)15%
一线城市或多办公场所会增加差旅与审核组织成本,偏远地区可能有额外服务费用。
组织人员数量20%
人员规模影响审核人日和咨询工作量,人数越多,评估与辅导投入越高。
组织业务范围10%
业务线越多、范围越广,体系边界与过程设计越复杂,实施成本会同步增加。
选择认证机构25%
不同认证机构的品牌影响力、审核规则与项目组织方式不同,费用差异较明显。
咨询质量要求25%
资深顾问、定制化交付与全流程辅导方案,通常较基础辅导投入更高。
认证周期要求10%
加急周期会带来额外资源协调成本,常规周期通常更具费用优势。
最终费用,请联系我们
