XX信息科技有限公司受控狀態(tài)：擬制陳文學(xué)審核黃偉日期日期日期日期擬制審核數(shù)據(jù)治理管理體系手冊首次發(fā)布陳文學(xué)黃偉文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第1頁共398頁10.2授權(quán)書1范圍2規(guī)范參考3術(shù)語和定義4數(shù)據(jù)的良好治理5數(shù)據(jù)良好治理的原則、模式和特性6數(shù)據(jù)責任6.5決定7數(shù)據(jù)治理原則7.2原則1責任7.3原則2戰(zhàn)略7.4原則3獲取7.5原則4績效7.6原則5致性8數(shù)據(jù)治理模式9數(shù)據(jù)治理特性9.1總則9.3風險9.3.1總則9.3.3數(shù)據(jù)分類方案9.4規(guī)則9.4.1總則9.4.2條例和立法9.4.4組織政策10數(shù)據(jù)問責制地圖的應(yīng)用20附件1組織概況21附件2組織機構(gòu)圖及崗位職責說明21附件3數(shù)據(jù)治理小組23附件4職能分配表19附件5程序文件清單0.1頒布令歷時三個月，經(jīng)公司全體員工的共同努力依據(jù)ISO/IEC38505-1:2017標準建立的XX信息科技有限公司數(shù)據(jù)治理管理體系已得到建立。指導(dǎo)管理體系運行的公司《數(shù)據(jù)管理管理體系手冊》經(jīng)評審后，現(xiàn)予以批準發(fā)布?！稊?shù)據(jù)治理管理體系手冊》的發(fā)布，標志著我公司從現(xiàn)在起，必須按照ISO/IEC38505-1:2017標準的要求和公司《數(shù)據(jù)治理管理體系手冊》所描述的規(guī)定，不斷增強持續(xù)滿足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客和相關(guān)方提供信息技術(shù)業(yè)務(wù)，以確立公司在社會上的良好信譽?！稊?shù)據(jù)治理管理體系手冊》是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體員工在向顧客提供服務(wù)過程必須遵循的行動準則?！稊?shù)據(jù)治理管理體系手冊》一經(jīng)發(fā)布，就是強制性文件，全體員工必須認真學(xué)習、切實本手冊自2023-11-8正式實施。總經(jīng)理：黃偉文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第2頁共398頁據(jù)治理中的應(yīng)用》,加強對數(shù)據(jù)治理管理體系運行的領(lǐng)導(dǎo)，特作如下授權(quán)：1、授權(quán)周靜為公司管理者代表，其主要職責(角色)和權(quán)限為：1)確保公司數(shù)據(jù)治理管理體系所需過程得到建立、實施、運行和保持。確保數(shù)據(jù)治理業(yè)務(wù)風險得到有效控制。2)向最高管理者報告數(shù)據(jù)治理管理體系業(yè)績(績效)和任何改善需求，為最高管理層評審提供依據(jù)。3)確保滿足顧客和相關(guān)方要求、法律法規(guī)要求的數(shù)據(jù)治理安全意識和數(shù)據(jù)治理風險意識在公司內(nèi)得到形成和提高。4)在數(shù)據(jù)治理管理體系事宜方面負責與外部的聯(lián)絡(luò)。2、授權(quán)黃燕為GDMS數(shù)據(jù)治理項目責任人，其主要職責(角色)和權(quán)限為：確保數(shù)據(jù)治理的控制措施得到形成、實施、運行和控制。3、授權(quán)各部門主管為數(shù)據(jù)治理管理體系在本部門的責任人，對GDMS要求在本部門的實施負責。治理中的應(yīng)用》,加強對數(shù)據(jù)治理管理體系運行的領(lǐng)導(dǎo)，特授權(quán)：授權(quán)綜合部為公司安全管理組織領(lǐng)導(dǎo)部門，其主要職責(角色)和權(quán)限為：1)綜合部是公司安全管理與執(zhí)行部門，承擔數(shù)據(jù)安全管理組織協(xié)調(diào)事務(wù)；2)負責起草和實施安全戰(zhàn)略和行動計劃及有關(guān)的文件、制度等；3)組織參與數(shù)據(jù)治理內(nèi)部審核和管理評審，并定期向總經(jīng)理、管理者代表、安全管理小組匯報數(shù)據(jù)治4)參與所有與組織安全相關(guān)的過程?？偨?jīng)理：黃偉文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第3頁共398頁04公司簡介(例如：廣東XX科技信息有限公司主要從ISO體系認證、資質(zhì)認證、服務(wù)認證、產(chǎn)品認證，例如：運營、維護的經(jīng)驗，具有完善的合作供應(yīng)鏈和技術(shù)咨詢輔導(dǎo)和相應(yīng)各項規(guī)章制度。如果您對我們的產(chǎn)品感興趣，誠邀您的合作!電話：)文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第4頁共398頁1范圍本文件為組織治理機構(gòu)(包括所有者、董事、合作伙伴、執(zhí)行經(jīng)理或類似人員)的成員提供指導(dǎo)原則，——將ISO/IEC38500的治理原則和模型應(yīng)用于數(shù)據(jù)治理，——向利益相關(guān)者保證，如果遵循本文件提出的原則和方法，——通知和指導(dǎo)治理機構(gòu)在組織中使用和保護數(shù)據(jù)，以及本文件還可以為更廣泛的領(lǐng)域和人員提供指導(dǎo)，包括：——執(zhí)行經(jīng)理，——外部企業(yè)或技術(shù)專家，如法律或會計專家，以及零售或行業(yè)協(xié)會或?qū)I(yè)機構(gòu)；——內(nèi)部和外部服務(wù)提供商(包括顧問),以及本文件將數(shù)據(jù)治理定義為IT治理的一部分而IT治理本身是組織治理的一部分，就本公司而言，是公1)重要數(shù)據(jù)泄露為0次/年3)數(shù)據(jù)治理事件發(fā)生小于或等于2次/年2規(guī)范參考以下文件在正文中引用時，其部分或全部內(nèi)容構(gòu)成本文件的要求。凡是注日期的引用文件，僅引用的文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序第5頁共398頁版本適用。凡是不注日期的引用文件，其最新版本(包括任何修改件)適用。ISO/IEC38500,信息技術(shù)-組織的IT治理3.1匿名化個人身份信息(PII)被不可逆轉(zhuǎn)的改變，使個人身份信息(PII)不再能夠被管理人員或其他合作方直3.2大數(shù)據(jù)具有相應(yīng)特征的數(shù)據(jù)集(例如體積、速度、多樣性、易變性、準確性等),對于特定問題，可以在任注釋1:術(shù)語”大數(shù)據(jù)“通常以各種不同的方式使用，例如，作為用于處理大數(shù)據(jù)集的可擴展技術(shù)的名稱。3.3云計算按照需求提供網(wǎng)絡(luò)自動化服務(wù)和管理，支持通過網(wǎng)絡(luò)訪問可擴展和彈性的共享物理資源或虛擬資源。注釋1:資源包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用程序和存儲設(shè)備。3.4數(shù)據(jù)責任注釋1:輸入："使用"數(shù)據(jù)包括與數(shù)據(jù)關(guān)聯(lián)的所有活動。3.5消除標識3.6物聯(lián)網(wǎng)信息社會的全方位設(shè)施，基于已建立的物理和虛擬資源，通過相互連接，實現(xiàn)信息化服務(wù)的操作和通注釋1:通過利用識別、數(shù)據(jù)捕獲、處理和通信功能，loT充分利用了物理和虛擬資源為各種應(yīng)用程序提供服文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序第6頁共398頁注釋2:從廣義上看，物聯(lián)網(wǎng)可被視為具有技術(shù)和社會3.7機器學(xué)習3.8假名化注釋1:務(wù)，而無需向此資源或服務(wù)(或服務(wù)之間)披露其身份，但同時仍負有相關(guān)責任。注釋2:假名化不排除可能存在(一組受限制的)隱私利益相關(guān)者，而不是假名化數(shù)據(jù)的PII控制者，他們能夠3.9個人身份信息PII注釋1:確定PII主體是否可識別，應(yīng)考慮能夠在任何場所合理地使用任何方法、持有數(shù)據(jù)的利益相關(guān)者。與個人身份信息(PII)相關(guān)的自然人。注釋1:根據(jù)司法管轄權(quán)以及特定的數(shù)據(jù)保護和隱私立法，也可以使用同義詞”數(shù)據(jù)主體”來代替術(shù)文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第7頁共398頁4.1數(shù)據(jù)良好治理的好處數(shù)據(jù)的良好治理有助于治理機構(gòu)確保在整個組織中使用數(shù)據(jù)通過以下方式對組織的績效做出積極貢——服務(wù)市場和商業(yè)創(chuàng)新；——數(shù)據(jù)資產(chǎn)的適當實施和運作；——明確保護和潛在增加價值的責任；——盡量減少不利或意外后果。數(shù)據(jù)治理良好的組織應(yīng)該是：——數(shù)據(jù)所有者和數(shù)據(jù)交易用戶為可信任組織；——能夠提供可靠的數(shù)據(jù)進行共享；——保護知識產(chǎn)權(quán)和從數(shù)據(jù)中獲得的其他價值；——制定政策和方法以阻止黑客和欺詐活動的組織；——將數(shù)據(jù)泄露的影響降至最低；——知道何時以及如何重用數(shù)據(jù)；——能夠演示良好的數(shù)據(jù)處理實踐。本文件確立了有效、高效并經(jīng)許可的使用數(shù)據(jù)的原則；為確保組織遵守這些原則，幫助監(jiān)督部門管理風險，鼓勵其尋求安全處理、準確理解質(zhì)量數(shù)據(jù)的機遇。數(shù)據(jù)的良好治理還有助于治理機構(gòu)確保遵守關(guān)于可接受的數(shù)據(jù)使用和處理的義務(wù)(監(jiān)管、立法、合本文件為數(shù)據(jù)治理建立了一個模式。治理機構(gòu)不履行其義務(wù)的風險，可通過適當?shù)倪\用原則、適當使用該模式來減輕。數(shù)據(jù)治理準備不足，會使組織面臨以下風險：——不遵守法例，特別是有關(guān)所需隱私措施的法律；——業(yè)務(wù)數(shù)據(jù)(如配方或設(shè)計規(guī)范)的機密性損失；——失去利益相關(guān)者的信任，包括業(yè)務(wù)合作伙伴、客戶和公眾；——由于缺乏可信的業(yè)務(wù)相關(guān)數(shù)據(jù)，無法履行關(guān)鍵的組織職能；文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序第8頁共398頁——競爭對手通過戰(zhàn)略性地使用數(shù)據(jù)來增強競爭能力。治理機構(gòu)應(yīng)對以下事項負責：——侵犯隱私、垃圾郵件、健康和安全、記錄保存法規(guī)和規(guī)章；——不遵守與安全、社會責任有關(guān)的法定標準；——與知識產(chǎn)權(quán)有關(guān)的事項。4.2治理機構(gòu)的職責治理機構(gòu)成員負責管理數(shù)據(jù)，并負責組織有效、高效和可接受的數(shù)據(jù)使用。治理機構(gòu)對有效、高效和可接受的數(shù)據(jù)使用的權(quán)力、責任和問責制源于其對本組織治理的總體責任及其對外部利益相關(guān)方的義務(wù)，包括監(jiān)管機構(gòu)。治理機構(gòu)在數(shù)據(jù)治理中作用的關(guān)鍵點是確保組織從數(shù)據(jù)和相關(guān)IT投資中獲得價值，同時管控風險并考慮相關(guān)的制約因素。此外，治理機構(gòu)應(yīng)確保清楚地了解本組織正在使用哪些數(shù)據(jù)以及用于何種目的，并確保建立有效的管理制度，以確保履行諸如數(shù)據(jù)保護、隱私和尊重知識產(chǎn)權(quán)等義務(wù)。4.3治理機構(gòu)和監(jiān)督機制治理機構(gòu)應(yīng)建立與業(yè)務(wù)對數(shù)據(jù)的依賴程度相適應(yīng)的數(shù)據(jù)治理監(jiān)督機制。治理機構(gòu)應(yīng)清楚地了解數(shù)據(jù)對組織業(yè)務(wù)戰(zhàn)略的重要性，以及使用這些數(shù)據(jù)可能給組織帶來的戰(zhàn)略風險。治理機構(gòu)對數(shù)據(jù)的關(guān)注程度應(yīng)該基于這些因素。治理機構(gòu)應(yīng)確保其成員和相關(guān)治理機制(如審計、風險管理和相關(guān)委員會)以及管理人員對數(shù)據(jù)的重要性有必要的了解和理解。治理機構(gòu)可設(shè)立一個小組(委員會),協(xié)助治理機構(gòu)從戰(zhàn)略角度監(jiān)督本組織對數(shù)據(jù)的使用。小組(委員會)的組織結(jié)構(gòu)和將取決于數(shù)據(jù)對組織的重要性及其規(guī)模。治理機構(gòu)應(yīng)確保為數(shù)據(jù)的治理和管理建立適當?shù)闹卫砜蚣?。治理機構(gòu)應(yīng)通過要求審計和獨立評估等程序確保治理的有效性。5數(shù)據(jù)良好治理的原則、模式和方面正如ISO/IEC38500所強調(diào)的，IT治理是組織治理的一部分。就公司治理而言，本標準建立在ISO/IEC38500的基礎(chǔ)上，并對其進行了擴展，以專門審查數(shù)據(jù)及其在組織中的使用。ISO/IEC38500概述了IT良好治理的六項原則，如下所示：文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第9頁共398頁e)符合性；f人員行為。ISO/IEC38500還引入了IT治理模型，建立了”評估E-指導(dǎo)D-監(jiān)控M"周期。此"EDM”模型描述了管理IT的三項主要任務(wù)，并提醒我們"IT特定方面的權(quán)限可以委派給組織內(nèi)的管理人員。但是，組織有效、適宜和可接受的使用IT的責任仍由治理機構(gòu)負責，不能委派”。第6條中顯示了與數(shù)據(jù)相關(guān)的所有責任領(lǐng)域，以及數(shù)據(jù)流和”把控"流程，這些流程和策略和政策都應(yīng)建立到位，以支持該責任。將這些原則和模型應(yīng)用于數(shù)據(jù)治理，有必要對數(shù)據(jù)治理的具體方面進行研究以提供指導(dǎo)。這些方面適用于所有數(shù)據(jù)，在理解數(shù)據(jù)及其在整個組織中的影響時應(yīng)加以考慮。它們還強調(diào)了數(shù)據(jù)的使用(特別是新興技術(shù))為本組織提供的機會，以及數(shù)據(jù)給治理機構(gòu)帶來的額外責任。本文件中介紹特定數(shù)據(jù)治理的方面如下。——價值：數(shù)據(jù)是獲取有用知識的來源。對組織而言，有些數(shù)據(jù)可能價值較低，有些數(shù)據(jù)價值很高。然而，數(shù)據(jù)價值在組織使用之前是不確定的，因此，最終負責的治理機構(gòu)對所有數(shù)據(jù)都應(yīng)該給予關(guān)注。本案中的“價值”一詞還包括數(shù)據(jù)的質(zhì)量、數(shù)量和時效性、內(nèi)容(本身就是數(shù)據(jù)),及其存儲、維護、使用和——風險：不同類別的數(shù)據(jù)帶來不同程度的風險，治理機構(gòu)應(yīng)了解數(shù)據(jù)的風險，以及如何指導(dǎo)管理人員管理這些風險。這些風險不僅表現(xiàn)在數(shù)據(jù)泄露上，還表現(xiàn)在數(shù)據(jù)的濫用上，以及不恰當?shù)乩脭?shù)據(jù)所帶來的競爭風險?！s束：通常情況下，數(shù)據(jù)都有使用限制的。其中一些法律、法規(guī)或合同義務(wù)是組織必須執(zhí)行的，包括隱私、版權(quán)、商業(yè)利益等。對數(shù)據(jù)的其他限制包括限制數(shù)據(jù)應(yīng)用的道德、社會義務(wù)或組織制度。在組織應(yīng)用數(shù)據(jù)時，需要制定戰(zhàn)略性和策略性地考慮這些限制。數(shù)據(jù)及其在組織中的應(yīng)用對所有組織及其利益相關(guān)者越來越重要。通過應(yīng)用本文件中所述的原則、模型和特定數(shù)據(jù)因素的治理，治理機構(gòu)應(yīng)能夠采取行動，最大限度地增加對數(shù)據(jù)使用的投資，管理所涉及的風險，為其組織提供良好的治理。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第10頁共398頁6數(shù)據(jù)責任6.1總則數(shù)據(jù)是任何組織的關(guān)鍵資產(chǎn)。它用于監(jiān)視業(yè)務(wù)(如人員、會計、庫存等),并作為獲取知識、創(chuàng)新和洞察力注意：與任何模型一樣，此圖進行了簡化，以便突出顯示與治理機構(gòu)關(guān)注的項目相關(guān)的特定概念。元圖1顯示了組織內(nèi)的數(shù)據(jù)責任領(lǐng)域。數(shù)據(jù)責任圖的元素如下所述。對于任何組織和任何業(yè)務(wù)類型，數(shù)據(jù)責任圖從治理的角度標識了應(yīng)關(guān)注的主題。雖然實際過程和實現(xiàn)是管理層的責任，但圖中的連接線標識出了數(shù)據(jù)流程的把控機制，必須確保治理方針和策略到位，并且可以滿足相關(guān)職責的要求，治理數(shù)據(jù)特定方面的職責將在第9條中進一步討論。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第11頁共398頁本文件的重點是數(shù)據(jù)的治理，不應(yīng)與數(shù)據(jù)管理混淆，治理機構(gòu)應(yīng)關(guān)注的是適用第7條所述的治理原則。數(shù)據(jù)管理領(lǐng)域有明確的數(shù)據(jù)處理方法以及確保數(shù)據(jù)保密性、完整性和可用性的機制。圖2顯示了一個數(shù)據(jù)管理生命周期的示例。.創(chuàng)建創(chuàng)建存儲處理歸檔刪除6.2收集收集活動包括數(shù)據(jù)采集、收集和創(chuàng)建過程，和從以前做出的決策中學(xué)習以及從其他數(shù)據(jù)集(內(nèi)部或外部)中提取記錄的過程?！獢?shù)據(jù)輸入：數(shù)據(jù)輸入是通過組織內(nèi)部的應(yīng)用程序?qū)崿F(xiàn)的，(例如，企業(yè)資源規(guī)劃(ERP)系統(tǒng)或電子郵件應(yīng)用程序),或通過網(wǎng)站、移動應(yīng)用程序或類似應(yīng)用程序進行外部訪問來實現(xiàn)。——來自其他系統(tǒng)的交易：數(shù)據(jù)輸入或更新可以通過電子數(shù)據(jù)交換(EDD)或其他接口流向組織的系統(tǒng)?！獋鞲衅鳎涸絹碓蕉嗟臄?shù)據(jù)通過機器系統(tǒng)輸入組織。例如傳感器，傳感器涵蓋了各種廣泛的數(shù)據(jù)采集設(shè)備，包括網(wǎng)站日志、社交媒體源和”物聯(lián)網(wǎng)”設(shè)備，其中還包括日常設(shè)備，從簡單的溫度傳感器到電視、汽車、交通燈和建筑物。來自傳感器的數(shù)據(jù)還可能包括潛在的緊急信號，如警示和警報?！掠涗洠簣蟊碇械臄?shù)據(jù)可以與其他數(shù)據(jù)相結(jié)合以提供附加信息，這些信息會反饋到通常情況下，這些附加數(shù)據(jù)為原始數(shù)據(jù)提供了新的記錄，可能需要與原始數(shù)據(jù)進行不同的處理。新的記錄——訂閱：組織可以通過訂閱數(shù)據(jù)源或虛擬數(shù)據(jù)存儲來獲取數(shù)據(jù)。存儲活動包括將數(shù)據(jù)定位到可以物理或邏輯檢索的位置。這包括組織內(nèi)部存儲在操作設(shè)備上的數(shù)據(jù)、組織外部設(shè)備以及虛擬存儲(其中只有在需要時才對數(shù)據(jù)進行整理，如數(shù)據(jù)交易)。通常情況下，存儲的數(shù)當通過上述操作收集數(shù)據(jù)時，數(shù)據(jù)會被攝取到一個數(shù)據(jù)存儲區(qū)中，在那里對其進行保護和管理，并可能進行存檔。由于使用傳感器收集數(shù)據(jù)的物聯(lián)網(wǎng)和使用大量數(shù)據(jù)來尋找趨勢，并使用機器學(xué)習方法進行預(yù)文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序第12頁共398頁測的大數(shù)據(jù)等新技術(shù)，組織控制的數(shù)據(jù)量正在迅速增加。這些新技術(shù)中的許多都是在公共云計算環(huán)境中運在某些情況下，組織將使用其所在位置之外的數(shù)據(jù)存儲。傳統(tǒng)上，這是通過外包存儲和異地托管操作實現(xiàn)的。云計算將這一點推進到下一個階段，在這個階段中，客戶組織無法看到存儲的操作。此外，組織還應(yīng)注意的是，盡管組織可能控制其存儲中的數(shù)據(jù)，但由于版權(quán)等知識產(chǎn)權(quán)或其他法律問題(包括個人或健康信息處理的法律),它可能不會“擁有”這些數(shù)據(jù)。如果數(shù)據(jù)的存儲和使用跨越司法管轄范圍，則6.4報告報告活動包括手動或自動提取和分析數(shù)據(jù)，以支持決策、分發(fā)或處置。在提取和報告過程中，可能會使用許多數(shù)據(jù)源，這些數(shù)據(jù)源可能來自組織內(nèi)的數(shù)據(jù)存儲，也可能來自組織外部的虛擬數(shù)據(jù)存儲。這些數(shù)據(jù)傳輸?shù)慕M合可能會給數(shù)據(jù)提供新的記錄。這些新的記錄本身就是新數(shù)據(jù)，應(yīng)該將其反饋回數(shù)據(jù)創(chuàng)建和收集過程，即發(fā)生正常收集過程的地方。應(yīng)用程序還可以生成報告以及更新現(xiàn)有數(shù)據(jù)，并且此新數(shù)據(jù)將遵循創(chuàng)建過程。其他提取和分析技術(shù)(如數(shù)據(jù)挖掘和機器學(xué)習)可應(yīng)用于數(shù)據(jù)，以進一步觀察、預(yù)測未來的結(jié)果并報表還可以用來過濾數(shù)據(jù)，以增加其實用性，或支持分發(fā)和處理。例如，可以將來自傳感器的數(shù)據(jù)收集起來，以分析趨勢，同時通過匿名化和假名化等技術(shù)刪除個人可識別信息。然后，原始數(shù)據(jù)可以類似地6.5決定通過授權(quán)過程，治理機構(gòu)確保所作決定適合這些決定的責任準則。當通過簡單的數(shù)據(jù)流過程或更復(fù)雜文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第13頁共398頁在任何情況下，治理機構(gòu)仍然對所有決定負責，并應(yīng)確保它們有適當?shù)目刂?，并在必要時采用人工干預(yù)，以處理決策過程中的任何偏見、歧視或成見。因為決策過程重視數(shù)據(jù)，所以可以將該信息(數(shù)據(jù)的“實用性”)反饋到數(shù)據(jù)收集和創(chuàng)建過程中。通過創(chuàng)建這個數(shù)據(jù)維護和反饋循環(huán)，就有可能對創(chuàng)建的報告、使用的數(shù)據(jù)提要以及最終輸入系統(tǒng)的數(shù)據(jù)進行調(diào)整。總的來說，這個循環(huán)增加了所做決策的價值，進而可以改進業(yè)務(wù)。6.6分發(fā)分發(fā)活動包括通過報告活動提取或復(fù)制數(shù)據(jù)，以便分發(fā)給外部各方。數(shù)據(jù)可以從存儲中提取，并分發(fā)到組織外部。發(fā)生這種情況的原因有很多，例如：——需要提供外部報告，例如向政府機構(gòu)報告；——它是企業(yè)對企業(yè)(B2B)數(shù)據(jù)交換、客戶使用或類似活動的一部分；——數(shù)據(jù)被出售給廣告公司或調(diào)查公司；——數(shù)據(jù)是組織的發(fā)布業(yè)務(wù)的一部分，例如業(yè)務(wù)數(shù)據(jù)(換句話說，數(shù)據(jù)是產(chǎn)品);——分發(fā)未獲授權(quán)，在這種情況下，這將被歸類為數(shù)據(jù)泄露。6.7處置處置活動通常包括標識要通過報表活動進行處理的數(shù)據(jù)，然后從數(shù)據(jù)存儲中永久刪除該數(shù)據(jù)和任何副本。對于數(shù)據(jù)傳輸，這將是該傳輸永久斷開連接。越來越復(fù)雜的數(shù)據(jù)分析、挖掘和學(xué)習工具增加了現(xiàn)有數(shù)據(jù)的價值，因為可以從更多的數(shù)據(jù)中提取更多的信息。這一事實，再加上保存數(shù)據(jù)成本的降低，降低了處理數(shù)據(jù)的必要性。但是仍然有許多理由說明為什么應(yīng)該從存儲中提取一些數(shù)據(jù)(通過報告活動)和安全處置：——降低數(shù)據(jù)泄露風險。如果數(shù)據(jù)不再存在，它就不能被不當分發(fā)或使用。——刪除不相關(guān)或不正確的數(shù)據(jù)。雖然舊的數(shù)據(jù)可以用于趨勢分析，但它可能沒有相關(guān)性。而且，它可能不再正確?！獞?yīng)該具有被遺忘權(quán)。客戶可能會要求刪除他們的數(shù)據(jù)?！袷嘏c客戶或供應(yīng)商的合同要求。——遵守法律或法規(guī)要求。同樣，也可能有諸如健康相關(guān)的法規(guī)或立法等理由，要求使用保留數(shù)據(jù)。7數(shù)據(jù)治理指南+原則文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第14頁共398頁7.1總則所述做法并非詳盡無遺，但為討論治理機構(gòu)管理數(shù)據(jù)的責任提供了一個起點。也就是說，所描述的每個組織都有責任單獨確定執(zhí)行原則所需的具體行動，適當考慮到組織的性質(zhì)，并對第9條中提到的7.2原則1=責任治理機構(gòu)對與組織使用數(shù)據(jù)相關(guān)的職責負責，并應(yīng)確保組織內(nèi)的人員理解并接受他們的職責。這些職責包括：——擴展到整個組織，并超越IT職能部門或其他部門，或IT發(fā)起的活動；——包括與業(yè)務(wù)活動(如市場營銷)相關(guān)的關(guān)鍵數(shù)據(jù)，其中數(shù)據(jù)用于通知產(chǎn)品計劃和產(chǎn)品開發(fā)，并收——包括數(shù)據(jù)本身是組織提供的產(chǎn)品或服務(wù)的情況。此類情況包括音樂或電影等內(nèi)容以及天氣或股票等信息市場報告；7.3原則2=戰(zhàn)略——包括針對當前和未來總體戰(zhàn)略目標的數(shù)據(jù)使用計劃；——考慮到技術(shù)進步和市場預(yù)期；——涵蓋數(shù)據(jù)責任圖的所有部分；——考慮治理中特定于數(shù)據(jù)的各個方面(價值、風險、約束);——設(shè)定一種預(yù)期，即可能需要修訂總體戰(zhàn)略，以考慮到新的機會或風險。7.4原則3=獲取治理機構(gòu)負責(通過收集或購買或作為商業(yè)活動的副產(chǎn)品)獲取數(shù)據(jù)，并應(yīng)通過考慮以下情況確保此——基于數(shù)據(jù)分布狀況，獲取符合其在本組織內(nèi)的預(yù)期(和/或)聲明用途，以及外部用途；——評估與擬議使用和管理所獲得的數(shù)據(jù)集或數(shù)據(jù)流有關(guān)的價值、風險和限制，應(yīng)7.5原則4=績效文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第15頁共398頁治理機構(gòu)應(yīng)確定相關(guān)的績效指標，確保它們受到適當?shù)年P(guān)注，并在必要時采取補救行動。性能指標應(yīng)包括：——組織內(nèi)新數(shù)據(jù)集和數(shù)據(jù)流的采用率；——數(shù)據(jù)的投資回報，包括已分發(fā)的數(shù)據(jù)；7.6原則5=一致性治理機構(gòu)應(yīng)確保機構(gòu)了解并遵守外部義務(wù)，并適當界定、執(zhí)行和確保遵守適當?shù)膬?nèi)部政策。這些義——在整個組織中適當實施數(shù)據(jù)保留策略和實踐；7.7原則6=人的行為治理機構(gòu)負責在整個組織內(nèi)使用數(shù)據(jù)，確定并適當考慮人的行為。對人的行為的尊重應(yīng)包括：8數(shù)據(jù)治理指南+模型8.1應(yīng)用模型文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第16頁共398頁r&a)評估當前和未來數(shù)據(jù)的使用情況；數(shù)據(jù)的特定方面的權(quán)力可能會委托給組織內(nèi)的管理人員。但是，一個組織有效、高效和可接受地使用圖3顯示了與數(shù)據(jù)以及組織使用數(shù)據(jù)相關(guān)的特定壓力。利益相關(guān)者，包括客戶、員工和監(jiān)管機構(gòu)都與這一領(lǐng)域相關(guān)聯(lián)。該圖還顯示了與數(shù)據(jù)相關(guān)的EDM循環(huán)中所需的輸入類型。圖中顯示了管理輸入的信8.2內(nèi)部要求文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第17頁共398頁治理機構(gòu)將為企業(yè)制定總體戰(zhàn)略。然而，在所有行業(yè)和政府中，數(shù)據(jù)的使用更為重要，以至于為了履行其對利益相關(guān)者的義務(wù)，治理機構(gòu)應(yīng)將數(shù)據(jù)的使用作為其總體戰(zhàn)略的一部分加以審查。。這就要求治理機構(gòu)審查數(shù)據(jù)的潛在用途，無論是針對組織本身還是競爭對手。并調(diào)整戰(zhàn)略方向，以支持預(yù)期的結(jié)果。這可能包括購買和銷售數(shù)據(jù)。企業(yè)應(yīng)圍繞組織使用數(shù)據(jù)而建立一種文化。治理機構(gòu)應(yīng)該塑造這種數(shù)據(jù)文化，以確保它與實現(xiàn)其總體目標所需的數(shù)據(jù)策略保持一致。數(shù)據(jù)的價值與依賴數(shù)據(jù)做出的決策一樣重要，這種數(shù)據(jù)文化可能關(guān)系到與數(shù)據(jù)訪問有關(guān)的組織行為、良好的數(shù)據(jù)處理實踐和依賴于相關(guān)記錄的報告的各級決策過程。8.3外部壓力組織可能需要調(diào)整其戰(zhàn)略和政策，以確保其順應(yīng)其所處的市場力量的壓力。這種市場力量包括：:——客戶對可用數(shù)據(jù)的可用性、質(zhì)量和交互的期望；——競爭對手使用數(shù)據(jù)來改進或擴展其產(chǎn)品、服務(wù)或流程。法律法規(guī)以及利益相關(guān)者的要求可能因市場而異，治理機構(gòu)需要確保適用于其當前和未來數(shù)據(jù)的使用可以廣泛適用于這些市場。這些約束和義務(wù)可能適用于不同的數(shù)據(jù)責任活動，包括：——如何收集數(shù)據(jù)，包括有關(guān)收集和使用個人信息的隱私通知和同意要求，——數(shù)據(jù)保留和處置要求，——適當處理偏見、歧視和定性的決策義務(wù)；8.4評價在評價組織數(shù)據(jù)的治理時，治理機構(gòu)應(yīng)考慮到組織的內(nèi)部要求和外部壓力。此外，治理機構(gòu)應(yīng)審查和判斷當前和今后對數(shù)據(jù)。這包括：——數(shù)據(jù)的相關(guān)技術(shù)和流程的內(nèi)部使用；——競爭對手、其他組織、政府和個人使用數(shù)據(jù)，——評估不斷發(fā)展的一系列法律、法規(guī)、社會期望；——控制并影響數(shù)據(jù)使用的其他因素。數(shù)據(jù)管理技術(shù)正在迅速變化，治理機構(gòu)應(yīng)征求管理人員的建議，解釋這些技術(shù)及其對本組織的潛在影響。這些技術(shù)可以對包括成本、洞察力和隱私在內(nèi)的所有數(shù)據(jù)方面產(chǎn)生重大影響。在許多情況下，這些影響可能超出數(shù)據(jù)管理的范圍，并可能為組織提供新的業(yè)務(wù)機會，或者更大的潛在風險。如果不利用這些機會，治理機構(gòu)可能使本組織面臨競爭對手增加的風險、市場預(yù)期的變化和合規(guī)問題的增加。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第18頁共398頁治理機構(gòu)還應(yīng)了解組織的數(shù)據(jù)管理能力。例如：——組織可以從數(shù)據(jù)泄露中恢復(fù)到什么程度；——以正確的格式提供正確的信息以協(xié)助各級決策的難度；;——組織是否利用云計算等新技術(shù)來增強自己的能力。只有在組織擁有必要的資源和能力來實現(xiàn)這些策略的情況下，才能實施數(shù)據(jù)方針和策略的治理。8.5指導(dǎo)治理機構(gòu)應(yīng)負責并直接制定和執(zhí)行戰(zhàn)略和政策。本組織目前和今后使用數(shù)據(jù)的戰(zhàn)略和政策旨在：——使組織在數(shù)據(jù)方面的投資實現(xiàn)價值最大化：數(shù)據(jù)，就像組織內(nèi)部的其他資產(chǎn)一樣需要投資。無論是從組織外部收集的數(shù)據(jù)、存儲在第三方的數(shù)據(jù)，還是作為服務(wù)使用的數(shù)據(jù)，都是如此。和任何投資一樣，組織也希望確保數(shù)據(jù)能帶來良好的回報。數(shù)據(jù)的最終價值在于它的使用如何改善決策，但一個組織也可以——根據(jù)數(shù)據(jù)風險趨勢管理與數(shù)據(jù)相關(guān)的風險：有些數(shù)據(jù)(如產(chǎn)品研究或未披露的股票市場走勢),都具有很高的商業(yè)價值，需要應(yīng)用適當?shù)馁Y源來利用和保護這些數(shù)據(jù)。管理此類數(shù)據(jù)的價值和風險的相關(guān)費用高于其他類型的數(shù)據(jù)，制定方針和政策時，應(yīng)通過對數(shù)據(jù)采用分類方案來反映這一點。?！_保正確的數(shù)據(jù)管理水平：治理機構(gòu)對數(shù)據(jù)及其使用，包括根據(jù)此數(shù)據(jù)做出的決策。因此，數(shù)據(jù)責任活動應(yīng)在組織被適當?shù)奈?。這些因素都有助于組織的“信息態(tài)勢”及其將數(shù)據(jù)應(yīng)用于組織的業(yè)務(wù)目標的有效性。這反映了一個組織的數(shù)據(jù)文化、總體戰(zhàn)略、風險趨勢、感知的安全級別、所做的基于知識的工作量以及它對數(shù)據(jù)及其使用8.6監(jiān)控治理機構(gòu)應(yīng)通過適當?shù)谋O(jiān)控系統(tǒng)監(jiān)測本組織數(shù)據(jù)使用的情況。并且能夠確保與數(shù)據(jù)有關(guān)的策略得到正確執(zhí)行，數(shù)據(jù)的使用和管理符合內(nèi)部政策和外部需求，如法規(guī)和數(shù)據(jù)管理需求。應(yīng)衡量在決策中使用報告和分析工具，以便了解數(shù)據(jù)的價值，并改進決策過程?；诜结樅凸芾?，治理機構(gòu)應(yīng)重點關(guān)注的其他領(lǐng)域包括：——PII的使用，包括隱私問題、同意要求和數(shù)據(jù)使用的透明度(參見ISO/IEC29100);——有效的數(shù)據(jù)治理管理系統(tǒng)(如ISO/IEC27001),體現(xiàn)了戰(zhàn)略重要性數(shù)據(jù)。這應(yīng)該擴展到第三方數(shù)據(jù)源和云計算服務(wù)中的數(shù)據(jù)管理(例如，ISO/IEC27017)。這些國際標準為數(shù)據(jù)治理控制提供了指引，但在文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第19頁共398頁——數(shù)據(jù)保留和處置要求；——數(shù)據(jù)的再利用、共享或出售及其相關(guān)權(quán)利、許可或版權(quán)；9數(shù)據(jù)治理指南-數(shù)據(jù)特性9.1總則在許多組織中，正在使用的數(shù)據(jù)量呈指數(shù)級增長。這是最近技術(shù)變化的結(jié)果，使得處理大型數(shù)據(jù)集此功能意味著數(shù)據(jù)使用正在成為許多組織的核心業(yè)務(wù)，而不管其行業(yè)如何。每當組織使用數(shù)據(jù)時(無論數(shù)據(jù)是存儲在組織外部、由其他人擁有版權(quán)還是由客戶“擁有”),它都會數(shù)據(jù)是具有許多相關(guān)屬性和特征的非消耗性資產(chǎn)，它可能會對整個組織產(chǎn)生重大的戰(zhàn)略性影響，需要9.2價值9.2.1總則數(shù)據(jù)作為有用信息的來源，可以分發(fā)和銷售。通過訂閱、出版物或網(wǎng)站等數(shù)據(jù)傳輸進行銷售，將其指從數(shù)據(jù)中得出的價值，在一定程度上取決于不同決策場景所要在某些情況下，例如財務(wù)信息，決策者(例如投資者)需要一個最新且格式正確的高質(zhì)量數(shù)據(jù)集。但是，在其他情況下，質(zhì)量較低的數(shù)據(jù)集可能足以得出正確的決策，例如，在趨勢分析的情況下。數(shù)據(jù)為改進決策提供了信息，大多數(shù)決策都依賴于時間，因此數(shù)據(jù)的一個重要屬性是它的及時性或文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第20頁共398頁流通性。與數(shù)據(jù)治理的所有要素一樣，數(shù)據(jù)的及時性取決于當前所做的決策。例如，汽車防抱死制動系統(tǒng)的自動決策依賴于在短時間內(nèi)收集和分析的最新數(shù)據(jù)。這與分析年度損益表所需的時間跨度非常不同。9.2.4記錄對照數(shù)據(jù)應(yīng)用記錄可以從中獲得信息。這個記錄是形式的附加數(shù)據(jù)，可能會影響對獲得的新信息所應(yīng)用的策略。例如，結(jié)合銷售數(shù)據(jù)和郵政信息可能會顯示PII,這可能需要對數(shù)據(jù)進行的不同處理。背景是決策的一個重要因素，因為它可能援引文化規(guī)范和偏見并導(dǎo)致對數(shù)據(jù)的不同解釋，導(dǎo)致潛在的不同決定。9.2.5容量數(shù)據(jù)量可能會影響其價值。大量一致的數(shù)據(jù)可能會增加趨勢或預(yù)測的信心，但可能需要不同的技術(shù)來提取這種置信度。9.3風險9.3.1總則數(shù)據(jù)具有價值，同時帶有一定風險。然而，與其他資產(chǎn)不同，數(shù)據(jù)的某些方面意味著它具有不同的風險配置文件。例如，竊取數(shù)據(jù)通常涉及未經(jīng)授權(quán)的數(shù)據(jù)復(fù)制數(shù)據(jù)，而不是移動數(shù)據(jù)。此外，使用PII或醫(yī)療保健記錄等數(shù)據(jù)會帶來額外的責任，從而增加組織的風險。降低這種風險的方該組織的總體風險趨勢由治理機構(gòu)確定。作為數(shù)據(jù)在戰(zhàn)略、運營和財務(wù)等各方面對組織很重要，治理機構(gòu)應(yīng)審查與數(shù)據(jù)本身相關(guān)的風險，以確保設(shè)置適當級別的“數(shù)據(jù)風險”,這與整體風險趨勢一致。。應(yīng)考慮到不為本組織的利益使用現(xiàn)有數(shù)據(jù)的風險。如果可以合理地知道這些數(shù)據(jù)是可用的，但沒有采取行動時，這可能對組織是有害的。這可能涉及安全數(shù)據(jù)運營風險，投資方面的財務(wù)風險，或者允許新型客戶互動的戰(zhàn)略風險。9.3.2管理風險管理在ISO31000:20092.2中被描述為“指導(dǎo)和控制組織有關(guān)風險的協(xié)調(diào)活動”,并包括一個處理風險的框架和結(jié)構(gòu)化過程。與數(shù)據(jù)相關(guān)的主要風險是失去控制；但是，對于組織來說，在數(shù)據(jù)責任圖中的各種活動中濫用數(shù)據(jù)也更改風險管理流程(或風險的任何更改)應(yīng)考慮數(shù)據(jù)風險情況或風險趨勢，ISO/TR31004:2013,3.2文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第21頁共398頁建議“組織應(yīng)在規(guī)劃和實施這些變化之前，確定是否需要對其現(xiàn)有的風險管理框架進行修改，然后監(jiān)測修治理機構(gòu)應(yīng)分配資源來利用和保護數(shù)據(jù)，重點放在高價值和高風險數(shù)據(jù)上。有些數(shù)據(jù)(比如研究數(shù)據(jù))可能具有很高的商業(yè)價值，因為這些數(shù)據(jù)代表著重要的商業(yè)優(yōu)勢。該組織使用的一些數(shù)據(jù)將在互聯(lián)網(wǎng)上免費提供。安全是風險管理的一個要素。治理機構(gòu)應(yīng)在組織安全方面對數(shù)據(jù)安全進行強有力的監(jiān)督。在評估數(shù)據(jù)安全性的費率和批準其政策時，可考慮以下保護措施，例如：——一個總體的IT安全框架，如NIST的"改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架",使用業(yè)務(wù)驅(qū)動因素來指導(dǎo)網(wǎng)絡(luò)安全活動，作為整體風險管理框架的一部分；9.4規(guī)則組織使用的數(shù)據(jù)可能附帶約束規(guī)則。這樣的規(guī)則可能限制(使用和分發(fā))數(shù)據(jù)潛在價值，包括數(shù)據(jù)可以與其他數(shù)據(jù)組合或匯總。此類數(shù)據(jù)可能需要進行不同的分類(例如高商業(yè)價值、機密或PII),并需要在條例和立法，包括普通法和契約法，可適用于數(shù)據(jù)的存取、使用、儲存或分發(fā)，在制定數(shù)據(jù)方針和政會的健康，而不僅僅是個人的健康。治理機構(gòu)更明確的“默示合同”可以幫助澄清數(shù)據(jù)策略，包括如何使文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第22頁共398頁9.4.4組織政策除了對數(shù)據(jù)使用附加的外部需求外，組織可以對數(shù)據(jù)施加自己的策略，以增加其價值，降低管理數(shù)據(jù)的成本，減少與數(shù)據(jù)相關(guān)的風險或滿足其他需求。10數(shù)據(jù)責任圖的應(yīng)用數(shù)據(jù)治理要求治理主體在整個組織內(nèi)評估、指導(dǎo)和監(jiān)控與數(shù)據(jù)使用相關(guān)的活動，同時考慮到外部因素和義務(wù)。。法，提供了政策和實踐的發(fā)展與數(shù)據(jù)相關(guān)的基礎(chǔ)。。將原則和模型應(yīng)用于數(shù)據(jù)治理，是檢查相關(guān)數(shù)據(jù)治理的一種方法，這適用于所有數(shù)據(jù)，應(yīng)該在理解數(shù)據(jù)及其對整個組織的影響時加以考慮。其強調(diào)了數(shù)據(jù)的使用(特別是新興技術(shù))為組織提供的機會，以及數(shù)據(jù)給治理機構(gòu)帶來的額外責任。在此基礎(chǔ)上，第6條中的數(shù)據(jù)責任圖與價值、風險和數(shù)據(jù)限制可以結(jié)合使用，在治理機構(gòu)開發(fā)適合的數(shù)據(jù)治理框架時，為其綜合檢查表要考慮的事項提供指導(dǎo)。執(zhí)行這些原則所需的具體行動將根據(jù)本組織的性質(zhì)及其情況而有所不同。治理機構(gòu)應(yīng)將表1用作評估、監(jiān)測和指導(dǎo)整個數(shù)據(jù)管理組織活動的指南，并酌情用于特定類別的數(shù)據(jù)。對于每項數(shù)據(jù)責任活動，應(yīng)檢查數(shù)據(jù)特定方面，以明確需要采取的行動，并注意到，對于價值更大或敏感性更高的數(shù)據(jù)收集，將需要更高級別的控制和更嚴格的政策。與特定數(shù)據(jù)集相關(guān)的價值、風險和限制將隨著時間的推移而變化，其頻率取決于許多因素，包括組織規(guī)模、部門和管轄權(quán)。治理機構(gòu)有責任為其組織確定適當?shù)膶彶橹芷?。本清單將為尋求開發(fā)治理框架的治理機構(gòu)提供指導(dǎo)，該治理框架支持在其數(shù)據(jù)風險趨勢范圍內(nèi)，利用數(shù)據(jù)的最大價值，并考慮外部和內(nèi)部約束。清單并非詳盡無遺，治理機構(gòu)應(yīng)評估其情況，并根據(jù)需要增加其他行動。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第23頁共398頁約束收集[V1]]治理機構(gòu)應(yīng)決定組織如何利用數(shù)據(jù)或?qū)?shù)[R1]治理機構(gòu)應(yīng)認識到與收集和使用數(shù)據(jù)有關(guān)的風險，并在本組織總體數(shù)據(jù)風險的可接受水平。同意等限制因素以及使[V2]治理機構(gòu)應(yīng)核準為能夠提取數(shù)據(jù)的潛在價[R2]治理機構(gòu)應(yīng)該指導(dǎo)管理人員，以確保GDMS已經(jīng)控制到位，并對數(shù)據(jù)和技術(shù)供應(yīng)商提供足夠的資源、控制和信任，以[C2]治理機構(gòu)應(yīng)該指導(dǎo)管理人員確保數(shù)據(jù)存儲(包括第三方數(shù)據(jù)訂閱)支持報告[V3]治理機構(gòu)應(yīng)指導(dǎo)管理人員使用必要的工具部價值可以被提取。[R3]治理機構(gòu)應(yīng)確定數(shù)化規(guī)范及其潛在的誤解。[C3]治理機構(gòu)應(yīng)確定數(shù)據(jù)與其約束之間關(guān)系的不同的數(shù)據(jù)集匯總時。決定[V4]治理機構(gòu)應(yīng)確保組織的數(shù)據(jù)文化與其數(shù)據(jù)戰(zhàn)略保持一致，包括數(shù)據(jù)自動或人工決策。在繼續(xù)對這些決策負責的同時，治理機構(gòu)應(yīng)該確定組織和可接受的數(shù)據(jù)風險級別，并適當制定決策職[C4]決策過程的輸出作為新的數(shù)據(jù)，有其自身的價值、風險和約束條件，治理機構(gòu)應(yīng)設(shè)定決策過程的期望值和相關(guān)責任。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第24頁共398頁[V5]治理機構(gòu)應(yīng)制定數(shù)[R5]治理機構(gòu)應(yīng)確保管理人員已充分執(zhí)行防止[C5]治理機構(gòu)應(yīng)確保執(zhí)行適當?shù)姆职l(fā)權(quán)，并被第[R6]治理機構(gòu)應(yīng)指示管理人員執(zhí)行適當?shù)臄?shù)據(jù)處理，包括數(shù)據(jù)的安全和永久銷毀等控制的過程。[C6]治理機構(gòu)應(yīng)該監(jiān)控確保執(zhí)行了適當?shù)某绦?。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第25頁共398頁附錄1:組織概況深圳市XX信息科技有限公司(簡稱“大數(shù)據(jù)公司”)是經(jīng)北京市朝陽區(qū)人民政府批準成立的國有全資企業(yè)，于2023年4月18日成立，注冊資本金1億元。大數(shù)據(jù)公司的成立是朝陽區(qū)政府關(guān)于數(shù)字化建設(shè)的重要戰(zhàn)略部署，定位為區(qū)級電子政務(wù)公共平臺和區(qū)級部門政務(wù)信息系統(tǒng)業(yè)主單位，負責相關(guān)系統(tǒng)的建設(shè)和運維；全區(qū)公共數(shù)據(jù)資源開發(fā)主體。大數(shù)據(jù)公司聚焦主責主業(yè)，按照市場化、公司化運作，推動經(jīng)營性國有資產(chǎn)保值增值，既營造大數(shù)據(jù)產(chǎn)業(yè)發(fā)展良好生態(tài)，又提升自身核心竟爭力，不斷做強做優(yōu)做大，成為數(shù)字朝陽建設(shè)主力軍和數(shù)字經(jīng)濟龍頭骨干企業(yè)。北京朝陽大數(shù)據(jù)公司擬定位為朝陽區(qū)電子政務(wù)應(yīng)用、網(wǎng)絡(luò)、云、平臺的建設(shè)主體；電子政務(wù)公共平臺和新建區(qū)級部門政務(wù)信息系統(tǒng)的業(yè)主單位；公共數(shù)據(jù)資源一級開發(fā)商；全區(qū)數(shù)字生態(tài)建設(shè)的核心企業(yè)、鏈主單位；全區(qū)數(shù)字經(jīng)濟發(fā)展的市場化、專業(yè)化龍頭骨干；作為下一步承載我區(qū)智慧城市建設(shè)和數(shù)字經(jīng)濟發(fā)展工作的主體。大數(shù)據(jù)公司是一家專業(yè)的數(shù)字化/智能化的數(shù)字化和數(shù)據(jù)服務(wù)商，提供智慧城市/電子政務(wù)，數(shù)據(jù)治理，公共服務(wù)，數(shù)據(jù)生態(tài)聯(lián)盟四大板塊的整體解決方案，發(fā)展自有的專業(yè)核心數(shù)字化融合的軟件產(chǎn)品，并提供數(shù)據(jù)和云計算網(wǎng)絡(luò)(政務(wù)云/政務(wù)外網(wǎng)，國資云網(wǎng)，企業(yè)云網(wǎng)，公共服務(wù)云網(wǎng))服務(wù)的服務(wù)產(chǎn)品給到市民、企業(yè)和政府。所有的核心能力和產(chǎn)品基于現(xiàn)有和未來的先進的數(shù)字朝陽提煉和改進，采用全球最專業(yè)的方法和技術(shù)實現(xiàn)開發(fā)和實施。大數(shù)據(jù)公司將圍繞數(shù)據(jù)和數(shù)字化兩個主題開展智慧城市，數(shù)據(jù)治理，公共服務(wù)和數(shù)據(jù)聯(lián)盟四大業(yè)務(wù)，負責把區(qū)內(nèi)企業(yè)的生態(tài)聚合成整體解決方案服務(wù)市民、企業(yè)和政府，提供四大業(yè)務(wù)，聚合生態(tài)推出數(shù)字化平臺，聚合區(qū)內(nèi)企業(yè)的產(chǎn)品和服務(wù)。并且自己也有自己的知識產(chǎn)權(quán)的依賴區(qū)政府授予的電子政務(wù)、數(shù)據(jù)治理、公共服務(wù)等資源發(fā)展大數(shù)據(jù)公司的業(yè)務(wù)，核心資產(chǎn)在于先進的軟件、架構(gòu)和數(shù)字化的方法論，成為國資在數(shù)字中國中的典型首屈一指專業(yè)能力和產(chǎn)品服務(wù)的公司。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第26頁共398頁大數(shù)據(jù)公司通過產(chǎn)品化的產(chǎn)品服務(wù)發(fā)展業(yè)務(wù)，聚合區(qū)內(nèi)生態(tài)，面向客戶，提供整體解決數(shù)字政務(wù)領(lǐng)域，大數(shù)據(jù)公司第一角色是管家角色，大數(shù)據(jù)公司負責承接區(qū)政府的IT業(yè)大數(shù)據(jù)公司致力于成為北京市數(shù)字建設(shè)的主力軍、國內(nèi)大數(shù)據(jù)應(yīng)用領(lǐng)域的標桿企業(yè)，成文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序第27頁共398頁附件2:組織結(jié)構(gòu)圖及部門職責說明1、組織機構(gòu)圖綜合部總經(jīng)理管理者代表銷售部技術(shù)部文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第28頁共398頁2、數(shù)據(jù)治理崗位職責說明序號數(shù)據(jù)治理職責1總經(jīng)理(1)任命數(shù)據(jù)治理小組組長(管理者代表),明確管代的職責和權(quán)限；(2)確保在內(nèi)部傳達滿足客戶和法律法規(guī)的符合性；(3)為數(shù)據(jù)治理管理體系配備必要的資源；(4)主持管理評審；(5)負責公司數(shù)據(jù)治理管理和企業(yè)管理的計劃、組織、協(xié)調(diào)、監(jiān)督、控制和考核工作；(6)遵守公司數(shù)據(jù)治理的相關(guān)規(guī)定及本崗位相關(guān)的保密要求。2長(1)負責建立、實施、保持和改進數(shù)據(jù)治理管理體系，保證數(shù)據(jù)治理體系的有效運行；(2)負責公司數(shù)據(jù)治理管理手冊的審核，程序文件的批準，組織并領(lǐng)導(dǎo)公司內(nèi)部審核工作；(3)負責向最高管理者報告數(shù)據(jù)治理體系運行的業(yè)績和任何改進的需求；(4)負責數(shù)據(jù)治理管理體系有關(guān)事宜的對外聯(lián)絡(luò)。3(1)協(xié)助管代在數(shù)據(jù)治理事務(wù)上的決策；(2)負責數(shù)據(jù)治理管理體系的建立、實施和日常運行，起草數(shù)據(jù)治理政策，確(3)負責定期召開數(shù)據(jù)治理管理工作會議，定期總結(jié)運行情況以及安全事件記錄，并向管代匯報；(4)協(xié)調(diào)各部門以及與外部組織間有關(guān)的數(shù)據(jù)治理工作，負責建立各部門、關(guān)聯(lián)公司、外部安全管理主管機構(gòu)間的定期聯(lián)系和溝通機制；(5)負責對GDMS進行內(nèi)審，驗證體系的有效性和適宜性，并對發(fā)現(xiàn)的問題提出內(nèi)部審核建議；(6)負責對GDMS的具體實施、各部門的數(shù)據(jù)治理運行狀況進行定期審計或?qū)ｍ棇徲?；文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第29頁共398頁(7)負責匯報審核結(jié)果，并督促審計整改工作的進行，落實糾正措施和預(yù)防措(8)負責制定違反安全政策行為的標準，并對違反安全政策的人員和事件進行(9)負責調(diào)查數(shù)據(jù)治理事件，并維護安全事件的記錄報告，定期總結(jié)安全事件記錄報告；(10)負責管理體系文件的控制；(11)負責保存內(nèi)部審核和管理評審的有關(guān)記錄；4各部門的數(shù)據(jù)治理主管領(lǐng)導(dǎo)(1)部門的數(shù)據(jù)治理主管領(lǐng)導(dǎo)由本部門經(jīng)理擔任；(2)負責協(xié)助數(shù)據(jù)治理小組建立本部門的數(shù)據(jù)治理管理制度和流程；(3)部門的數(shù)據(jù)治理主管領(lǐng)導(dǎo)系本部門數(shù)據(jù)治理管理責任人，負責本部門的數(shù)據(jù)治理管理工作，負責保護本部門所擁有和管理的信息資產(chǎn)的安全；(4)負責采取有效辦法，落實和推動數(shù)據(jù)治理政策的實施；(5)負責指導(dǎo)和要求本部門員工遵守數(shù)據(jù)治理政策；(6)對違反安全政策的行為進行內(nèi)部處罰；(7)落實針對本部門的糾正措施和預(yù)防措5部門數(shù)據(jù)治理員(1)負責本部門日常的具體數(shù)據(jù)治理工作，并參加數(shù)據(jù)治理管理工作小組所要求的各項活動；(2)負責按照GDMS的要求，對本部門所擁有和管理的信息資產(chǎn)進行維護，包括資產(chǎn)的識別和分類、資產(chǎn)的威脅和脆弱性識別及安全需求級別確定等工作；(3)負責根據(jù)GDMS安全政策要求，在本部門提高員工安全意識，落實責保護信息資產(chǎn)的安全，并確保已建立的安全控制措施持續(xù)有效；(4)負責向數(shù)據(jù)治理主管領(lǐng)導(dǎo)及數(shù)據(jù)治理小組經(jīng)理報告數(shù)據(jù)治理事件和違反數(shù)據(jù)治理政策的行為，協(xié)助對違反安全政策的行為進行調(diào)查；(5)協(xié)助本部門數(shù)據(jù)治理主管領(lǐng)導(dǎo)落實針對本部門的糾正措施(包括內(nèi)部審核6內(nèi)部員工(1)嚴格遵守所有與數(shù)據(jù)治理相關(guān)的國家法律、法規(guī)和政策，遵守公司所有的數(shù)據(jù)治理政策，并簽字承諾遵守保密協(xié)議的有關(guān)規(guī)定；文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第30頁共398頁(2)以安全負責的方式使用公司的信息資產(chǎn)；(3)積極參加數(shù)據(jù)治理教育與培訓(xùn)，提供數(shù)據(jù)治理意識；(4)有責任將違反數(shù)據(jù)治理政策的事件與行為及時報告給本部門數(shù)據(jù)治理管理員及其他相關(guān)人員。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第31頁共398頁文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第32頁共398頁部門數(shù)據(jù)治標準要求▲△△△△▲△△△△4.3治理機構(gòu)的監(jiān)督機制▲△△△△▲▲△△△△▲△△△6.1總則△▲△△△△△△△▲△△△△▲△△△△▲△△△△▲△△△△▲△△△7.0數(shù)據(jù)治理指南原則7.1總則△▲△△△▲▲▲▲▲7.3原則2戰(zhàn)略△▲△△△△▲△△△△△△△7.6原則5一致性△△△△7.7原則6人的行為▲▲▲▲▲△▲△△△文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第33頁共398頁部門數(shù)據(jù)治8.2內(nèi)部要求△▲△△△8.3外部要求△▲△△△8.4評估△▲△△△8.5監(jiān)測△▲△△△9.1總則△▲△△△9.2價值△▲△△△9.2.1總則△▲△△△9.2.2質(zhì)量△▲△△△9.2.3時效△▲△△△9.2.4記錄△▲△△△9.2.5容量△▲△△△9.3風險△▲△△△9.3.1總則△▲△△△9.3.2管理△▲△△△9.3.3數(shù)據(jù)分類方案△▲△△△9.3.4安全△▲△△△9.4規(guī)則△▲△△△9.4.1總則△▲△△△9.4.2條例和立法△▲△△△9.4.3社會△▲△△△9.4.4組織政策△△△△10.0數(shù)據(jù)責任圖的應(yīng)用▲▲▲▲▲文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第34頁共398頁文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第35頁共398頁附件5:程序文件清單數(shù)據(jù)治理風險管理程序文件控制程序糾正預(yù)防措施控制程序內(nèi)部審核管理程序管理評審程序數(shù)據(jù)分類管理程序商業(yè)秘密管理程序數(shù)據(jù)治理法律法規(guī)管理程序知識產(chǎn)權(quán)管理程序重要數(shù)據(jù)備份管理程序數(shù)據(jù)治理溝通協(xié)調(diào)管理程序數(shù)據(jù)治理事件管理程序數(shù)據(jù)治理培訓(xùn)管理程序供應(yīng)商管理程序物理門禁管理程序網(wǎng)絡(luò)設(shè)備安全配置管理程序計算機管理程序電子郵件管理程序用戶訪問管理程序數(shù)據(jù)治理設(shè)施安裝使用管理程序數(shù)據(jù)系統(tǒng)驗收管理程序變更管理程序數(shù)據(jù)系統(tǒng)訪問與使用監(jiān)控管理程序數(shù)據(jù)治理目標測量控制程序數(shù)據(jù)治理合規(guī)性管理程序遠程訪問控制程序文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第36頁共398頁日期擬制審核陳文學(xué)黃偉對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)書面許可，不得將該等文件資料(其露予任何第三方，或進行修改后使用。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第37頁共398頁 1 13職責 1 15風險管理過程 25.1建立環(huán)境 25.2制定溝通和協(xié)商 3 36.1風險評估的準備 36.2信息資產(chǎn)的識別 36.3資產(chǎn)賦值 46.4判定重要資產(chǎn) 5 6 7 9 9 96.10剩余風險評估 1 1文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第1頁共398頁1目的為規(guī)范公司在開展數(shù)據(jù)治理的風險識別、評估和處置過程中的工作流程與方法，明確相關(guān)人員職責，特制定本規(guī)定。2范圍38500在數(shù)據(jù)治理中的應(yīng)用》、標準要求對數(shù)據(jù)治理資產(chǎn)進行風險評估與處置活動的管理。3職責3.1管理者代表負責牽頭成立數(shù)據(jù)治理風險評估小組。3.2風險評估小組負責編制《數(shù)據(jù)治理風險評估計劃》,確認評估結(jié)果，形成《數(shù)據(jù)治理風險評估報告》。3.3各部門負責本部門使用或管理的數(shù)據(jù)治理資產(chǎn)的識別和風險評估，并負責本部門所涉及的資產(chǎn)的具體安全控制工作。4相關(guān)文件《數(shù)據(jù)治理管理手冊》《商業(yè)秘密管理程序》文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序第2頁共398頁5風險管理過程通過建立環(huán)境，明確組織目標，界定風險管理應(yīng)該考慮的外部和內(nèi)部參數(shù)，并設(shè)置風險管理過程的范圍和風險準則。根據(jù)各部門對內(nèi)外部環(huán)境的分析，制定出《組織環(huán)境描述》。5.1.1建立外部環(huán)境外部環(huán)境是組織在實現(xiàn)目標過程中所面臨的外界環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。為保證在制定風險準則時能充分考慮外部利益相關(guān)者的目標和關(guān)注點，組織需要了解外部環(huán)境。外部環(huán)境以組織所處的整體環(huán)境為基礎(chǔ)，包括法律和監(jiān)管要求、利益相關(guān)者的訴求和與具體風險管理過程相關(guān)的其他方面的信息等。從以下方面識別公司的外部環(huán)境，并形成《外部環(huán)境描述》。(1)國際、國內(nèi)、地區(qū)及當?shù)氐恼?、?jīng)濟、文化、法律、法規(guī)、技術(shù)、金融以及自然環(huán)境和競爭環(huán)(2)影響組織目標實現(xiàn)的外部關(guān)鍵因素及其歷史和變化趨勢；(3)外部利益相關(guān)者及其訴求、價值觀、風險承受度；外部利益相關(guān)者與組織的關(guān)系等。5.1.2建立內(nèi)部環(huán)境內(nèi)部環(huán)境是組織在實現(xiàn)目標過程中所面臨的內(nèi)在環(huán)境的歷史、現(xiàn)在和未來的各種相關(guān)信息。風險管理過程要與組織的文化、經(jīng)營過程和結(jié)構(gòu)相適應(yīng)，包括組織內(nèi)影響其風險管理的任何事物。從以下方面識別公司的內(nèi)部環(huán)境，形成《內(nèi)部環(huán)境描述》。(1)治理、組織結(jié)構(gòu)、作用和責任；(2)方針、目標，為實現(xiàn)方針和目標制定的戰(zhàn)略；(3)基于資源和知識理解的能力(如：資金、時間、人員、過程、系統(tǒng)和技術(shù));(4)與內(nèi)部利益相關(guān)方的關(guān)系，內(nèi)部利益相關(guān)者的觀點和價值觀；(5)組織的文化；(6)信息系統(tǒng)、信息流和決策過程；(7)組織所采用的標準、指南和模式；文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第3頁共398頁(8)合同關(guān)系的形式與范圍。5.2.1制定溝通和協(xié)商計劃與內(nèi)部和外部利益相關(guān)者進行充分的溝通和協(xié)商，幫助識別內(nèi)外部風險，并確保利益相關(guān)者認同和支持風險處理(應(yīng)對)計劃。風險評估小組制定總的風險評估計劃，各部門制定與利益相關(guān)者的溝通和協(xié)商計劃，并在此基礎(chǔ)上識別出本部門的所有有關(guān)風險。5.2.2適當?shù)貛椭鞔_環(huán)境；1)確保利益相關(guān)者的利益被理解和考慮；2)幫助確保風險充分地被識別；3)將不同領(lǐng)域的專業(yè)知識一并用于分析風險；4)確保在界定風險準則和評定風險時，不同的觀點被恰當?shù)乜紤]；5)確保認同和支持風險處理(應(yīng)對)計劃；6)加強在風險管理過程中的變更管理；7)制定一個恰當?shù)膬?nèi)部和外部溝通和協(xié)商計劃。6風險評估6.1.1成立風險評估小組管理者代表牽頭成立風險評估小組，小組成員應(yīng)包含數(shù)據(jù)治理重要責任部門的成員。6.1.2制定計劃風險評估小組制定《數(shù)據(jù)治理風險評估計劃》,下發(fā)各部門。6.2.1本公司的數(shù)據(jù)治理資產(chǎn)范圍包括：1)數(shù)據(jù)：財務(wù)數(shù)據(jù)、項目數(shù)據(jù)、各業(yè)務(wù)系統(tǒng)機密文件、人力資源機密文件、普通文件。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第4頁共398頁2)軟件：辦公軟件、操作系統(tǒng)、業(yè)務(wù)系統(tǒng)軟件、安全軟件、工具軟件、應(yīng)用軟件。4)硬件：工作站、網(wǎng)絡(luò)設(shè)備、終端、辦公設(shè)備、財務(wù)設(shè)備、存儲設(shè)備。5)人員：高層管理類人員、中層管理類人員、技術(shù)人員、職能人員、財務(wù)人員。6.3.1部門賦值各部門風險評估小組成員識別本部門資產(chǎn)，并進行資產(chǎn)賦值。6.3.2賦值計算資產(chǎn)賦值的過程是對資產(chǎn)在保密性、完整性、可用性的達成程度進行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過程。6.3.3保密性(C)賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在保密性上的應(yīng)達成的不同程度或者保密性缺失時對整個組織的影響。級別一很低可對社會公開的信息公用的信息處理設(shè)備和系統(tǒng)資源等2低組織/部門內(nèi)公開散有可能對組織的利益造成輕微損害3中等組織的一般性秘密其泄露會使組織的安全和利益受到損害4高包含組織的重要秘密其泄露會使組織的安全和利益遭受嚴重損害5包含組織最重要的秘密響，如果泄露會造成災(zāi)難性的損害根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上的達成的不同程度或者完整性缺失時對整個組織的影響。級別1很低完整性價值非常低未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略2低完整性價值較低未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補3中等未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯4高未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴重，較難彌補文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第5頁共398頁5業(yè)務(wù)沖擊重大，并可能造成嚴重的業(yè)務(wù)中斷，難以彌補6.3.5可用性(A)賦值：根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上的達成的不同級別1很低合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間2低可用性價值較低合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間3中等合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間4高合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以5以上，或系統(tǒng)不允許中斷6.3.6導(dǎo)出《數(shù)據(jù)治理資產(chǎn)清單》按照資產(chǎn)賦值的結(jié)果，經(jīng)過相加法得出重要性值，從而得出重要性等級，資產(chǎn)重要性劃分為5級，級別越高表示資產(chǎn)重要性程度越高。重要性等級說明1不重要0<=值<=32不太重要3<值<=63一般重要6<值<=94重要9<值<=125很重要12<值<=15重要性等級為3,4和5的為重要資產(chǎn)。風險評估小組對各部門資產(chǎn)識別情況進行審核，確保沒有遺漏重要資產(chǎn)，導(dǎo)出《重要數(shù)據(jù)資產(chǎn)識別清單》,報管理者代表確認。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第6頁共398頁6.5.1要求應(yīng)對所有的重要資產(chǎn)進行風險評估，評估應(yīng)考慮威脅、脆弱性、威脅事件發(fā)生的可能性和威脅事件發(fā)6.5.2識別威脅威脅是對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，造成威脅的因素可分為人為因素和環(huán)境因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在保密性、完整性6.5.3識別脆弱性脆弱性是對一個或多個資產(chǎn)弱點的總稱。脆弱性是資產(chǎn)本身存在的，如果沒有相應(yīng)的威脅發(fā)生，單純的脆弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，再嚴重的威脅也不會導(dǎo)致安全事件，并造成資產(chǎn)的脆弱性具有隱蔽性，有些弱點只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。需要注意的是，不正確的、起不到應(yīng)有作用的或沒有正確實施的安全措施本身就可能是一個脆弱脆弱性識別將針對每一項需要保護的資產(chǎn)，找出可能被威脅利用的脆弱性，并對脆弱性的嚴重程度進行評估。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域的專家和軟硬件方面的脆弱性識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動相關(guān)，后者與6.5.4識別威脅發(fā)生頻率分析威脅發(fā)生頻率1很低幾乎不可能出現(xiàn)的頻率極小(或<=1次/十年);僅可能在非常罕見和例外的情況下發(fā)生2低不太可能出現(xiàn)的頻率較小(或≈1次/兩年);或一般不太可能發(fā)生；3中可能出現(xiàn)的頻率中等(或≈1次/半年);或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第7頁共398頁4高出現(xiàn)的頻率較高(或≈1次/月);或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過5非常可能出現(xiàn)的頻率極高(或>=1次/周):或在大多數(shù)情況下幾乎不分析脆弱性被利用率一很低2低3中等4高56.5.5已有安全措施的確認防止安全措施的重復(fù)實施。對于確認為不適當?shù)陌踩胧?yīng)核實是否應(yīng)被取消，或者用更合適的安全措施安全措施可以分為預(yù)防性安全措施和保護性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測系統(tǒng)；保護性安全措施可以減少因安全事件發(fā)生對信息系統(tǒng)造成已有安全措施的確認與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少脆弱性，但安已有安全措施一般會通過控制資產(chǎn)的威脅和脆弱性降低資產(chǎn)的固有風險，因此需要對威脅程度和脆弱6.6風險計算6.6.1安全事件發(fā)生可能性等級(影響范圍和程度)文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第8頁共398頁1很低出現(xiàn)的頻率極小(或<=1次/十年):僅可能在非常罕見和例外的情況下發(fā)生2低出現(xiàn)的頻率較小(或≈1次/兩年);或一般不太可能發(fā)生；或沒有被證實3中等出現(xiàn)的頻率中等(或≈1次/半年);或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過4高出現(xiàn)的頻率較高(或≈1次/月);或在大多數(shù)情況下很有可能會發(fā)生；或5出現(xiàn)的頻率極高(或>=1次/周);或在大多數(shù)情況下幾乎不可避免：或可以證實經(jīng)常發(fā)生過6.6.2安全事件損失等級等級標識定義1很低2低3中等脆弱，如果被威脅利用，30%<造成損害4高5風險值=發(fā)生可能性x損失程度6.6.4風險等級12以上風險等級12345文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第9頁共398頁一旦發(fā)生造成的影響幾乎不存在，通過簡單的措2一般風險一旦發(fā)生造成的影響程度較低，一般僅限于3高風險一旦發(fā)生會造成一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度4高風險一旦發(fā)生將產(chǎn)生較大的經(jīng)濟或社會影響，在512以上高風險一旦發(fā)生將產(chǎn)生極大的經(jīng)濟或社會影響，在543一般不可接收風險2有條件接受的風險(需經(jīng)評估小組評審，判斷是否可以接受的風險)不需要評審即可接受的風險根據(jù)風險等級，等級為3,4、5的為高風險，為不可接受的風險。導(dǎo)出《數(shù)據(jù)治理風險評估匯總表》,報管理者代表批準。6.8風險評估工具主要使用到的風險評估工具有：嗅探工具、掃描工具、滲透測試工具集等。6.9風險處理對風險應(yīng)進行處理。對可接受風險，可保持已有的安全措施；如果是不可接受風險(高風險),則需要采取安全措施以降低、控制風險。對不可接受風險，應(yīng)采取新的風險處理的措施，規(guī)定風險處理方式、責任部門和時間進度，高風險應(yīng)得到優(yōu)先的考慮。風險處理方式說明文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第10頁共398頁現(xiàn)有控制措施完全可以應(yīng)付或防止此風險的控制現(xiàn)有控制措施不足或沒有控制措施，必須制作重新相控制現(xiàn)有風險所花費的成本過高、超出公司隨范圍且風險發(fā)生的可能性極小或沒有適當?shù)慕鉀Q方案，公司決定接受此風險公司放棄可能涉及此風險的行為，以保證風險不會發(fā)生轉(zhuǎn)移將風險轉(zhuǎn)嫁至其他公司或第三方人員身上，公司內(nèi)部不再對此風6.9.1計劃6.9.2報告風險評估小組導(dǎo)出《數(shù)據(jù)治理風險評估報告》,陳述數(shù)據(jù)治理管理現(xiàn)狀，分析出數(shù)據(jù)治理管理(控制)的建議與措施，提交總經(jīng)辦進行審核。6.9.3審核總經(jīng)辦考慮成本與風險的關(guān)系，對《數(shù)據(jù)治理風險評估報告》及《數(shù)據(jù)治理風險處置計劃》的相關(guān)內(nèi)容審核，對認為不合適的控制或風險處理方式等提出說明，由風險評估小組協(xié)同相關(guān)部門重新考慮總經(jīng)辦6.9.4實施各責任部門按照批準后的《數(shù)據(jù)治理風險處置計劃》的要求采取有效安全控制措施，確保所采取的控6.10.1再評估對采取安全措施處理后的風險，總經(jīng)辦應(yīng)進行再評估，以判斷實施安全措施后的殘余風險是否已經(jīng)降6.10.2再處理某些風險可能在選擇了適當?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L險范圍內(nèi)，應(yīng)考慮是否接受此風險或進文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第11頁共398頁6.11.1定期評估總經(jīng)辦每年應(yīng)組織對數(shù)據(jù)治理風險重新評估一次，以適應(yīng)信息資產(chǎn)的變化，確定是否存在新的威脅或脆弱性及是否需要增加新的控制措施。6.11.2非定期評估當發(fā)生以下情況時需及時進行風險評估：a)當發(fā)生重大數(shù)據(jù)治理事故時；b)當信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時；c)總經(jīng)辦確定有必要時。6.11.3更新資產(chǎn)各部門對新增加、轉(zhuǎn)移的或授權(quán)銷毀的資產(chǎn)應(yīng)及時更新資產(chǎn)清單。6.11.4調(diào)整控制措施總經(jīng)辦應(yīng)分析信息資產(chǎn)的風險變化情況，以便根據(jù)企業(yè)的資金和技術(shù)，確定、增加或調(diào)整適當?shù)臄?shù)據(jù)治理控制措施。7記錄《數(shù)據(jù)治理風險評估計劃》《數(shù)據(jù)資產(chǎn)識別清單》《重要數(shù)據(jù)資產(chǎn)識別清單》《數(shù)據(jù)治理風險評估匯總表》《數(shù)據(jù)治理風險處置計劃》《數(shù)據(jù)治理風險評估報告》《數(shù)據(jù)治理剩余風險評估報告》《組織環(huán)境描述》文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第12頁共398頁日期擬制審核陳文學(xué)黃偉對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)書面許資料(其全部或任何部分)披露予任何第三方，或進行文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第13頁共398頁目錄 3職責 5程序 文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第14頁共398頁為了對數(shù)據(jù)治理管理文件的編制、審核、批準、標識、發(fā)放、管理、使用、評審、更改、修訂、作廢等過程的實施有效控制，特制定本程序。本程序適用于文件管理。負責審定數(shù)據(jù)治理管理文件，負責批準數(shù)據(jù)治理程序文件和作業(yè)文件。負責批準數(shù)據(jù)治理管理文件的制訂、修訂計劃，負責批準《數(shù)據(jù)治理管理手冊》(含數(shù)據(jù)治理方針)和《數(shù)據(jù)治理適用性聲明》d)負責數(shù)據(jù)治理管理文件的歸口管理。e)負責組織數(shù)據(jù)治理管理文件的制訂、修訂和評審等管理工作。f)負責數(shù)據(jù)治理管理文件的標識、作廢、回收等日常工作。4相關(guān)文件《數(shù)據(jù)治理管理手冊》《數(shù)據(jù)治理適用性聲明》《商業(yè)秘密管理程序》《數(shù)據(jù)治理法律法規(guī)管理程序》文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第15頁共398頁5程序5.1.1文件分類a)《數(shù)據(jù)治理管理手冊》(含數(shù)據(jù)治理方針、方針文件、目標文件、數(shù)據(jù)治理適用性聲明);5.2.1要求數(shù)據(jù)治理管理文件編制和修訂前，編制人員充分了解相關(guān)方的要求和信息，廣泛收集有關(guān)的文件和資料。a)相關(guān)的法律法規(guī)要求，國家標準、行業(yè)標準、地方標準的要求，尤其是強制性標準的要求，上級b)對客戶和其他相關(guān)方的合同和承諾，客戶與其他相關(guān)方的需求和期望方面的信息。e)內(nèi)容應(yīng)與組織的實際情況相適應(yīng)，并保證文件在現(xiàn)有的資源條件下，能得到有效實施。5.2.2文件編制部門a)數(shù)據(jù)治理管理文件由數(shù)據(jù)治理小組組織b)技術(shù)標準由相關(guān)綜合部門負責，各相關(guān)部門參與。c)策劃的管理方案和管理活動的檢查考核記錄及其他管理、技術(shù)文件由相關(guān)職能部門、單位編制。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第16頁共398頁5.3文件審批5.3.1審批數(shù)據(jù)治理管理文件發(fā)布前須經(jīng)審批。5.3.2權(quán)限數(shù)據(jù)治理管理文件的審批權(quán)限如下：a)《數(shù)據(jù)治理管理手冊》(含數(shù)據(jù)治理方針、方針文件、目標文件、數(shù)據(jù)治理適用性聲明)由管理者代表批準發(fā)布。b)數(shù)據(jù)治理程序文件和作業(yè)文件由職能部門組織審核，綜合部審核，管理者代表批準發(fā)布。c)策劃的管理方案由職能部門組織審核，綜合部審核，管理者代表批準發(fā)布。d)其他管理、技術(shù)作業(yè)和相關(guān)支持性文件由歸口管理部門負責審核，部門負責人審核批準。5.4文件標識為確保在使用處獲得適用文件的有效版本，文件均要有明確的標識，包括文件編號、版本號、分發(fā)號、發(fā)布和實施日期等。數(shù)據(jù)治理管理文件編號規(guī)則如下：HYK-GDMS-A-01《數(shù)據(jù)治理管理手冊》HYK-GDMS-B-XX數(shù)據(jù)治理程序文件(含QMS共用文件)HYK-GDMS-C-XX作業(yè)文件、策略涉密文件應(yīng)按《商業(yè)秘密管理程序》的規(guī)定分類并標識。5.5文件發(fā)放文件審批后，數(shù)據(jù)治理小組登記并制定《數(shù)據(jù)治理文件一覽表》和《文件發(fā)放/回收一覽表》,按《文件發(fā)放/回收一覽表》規(guī)定的范圍進行發(fā)放。文件發(fā)放時，數(shù)據(jù)治理小組應(yīng)在文件第一頁注明發(fā)放部門和發(fā)布日期。并標上“受控”標識。所發(fā)放使用的數(shù)據(jù)治理管理體系文件均為受控文件，各文件使用部門嚴格保管，不得外借和復(fù)制，并保持文件清晰、易于識別。當文件的當前內(nèi)容和實施動作不一致時，綜合部提出更改文件要求，由文件對口部門和綜合部人員說明原因，填寫《文件修改通知單》,經(jīng)原審批部門批準后，由文件歸口管理部門進行修改。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第17頁共398頁初次發(fā)布的文件，版本號以A/0作為標識，當文件發(fā)生修改時，版本號以下列方式進行編制：a)修改內(nèi)容不超過20%時，版本號以A/1位依次遞進，例：A/1;A/2...A/9;A/10;A/11以此類推；文件按文件修改通知單上的內(nèi)容進行修改，并更新變更記錄，變更后由數(shù)據(jù)治理組長進行審核，管理者代表批準，確保所有文件更改到位。對已經(jīng)過期，不適用本組織業(yè)務(wù)程序的文檔，要進行“報廢”處理；針對電子檔文件需在首頁打上“報廢”水印，在變更履歷中注明“報廢”原因；針對紙質(zhì)文件，蓋上“作廢”章。5.7文件的評審當出現(xiàn)以下情況，綜合部應(yīng)組織對文件進行評審、必要時予以更新并再次批準：a)數(shù)據(jù)治理管理體系結(jié)構(gòu)發(fā)生重大變化時；b)數(shù)據(jù)治理管理體系標準發(fā)生重大變化時；c)組織結(jié)構(gòu)發(fā)生重大變化時；d)數(shù)據(jù)治理活動、流程發(fā)生重大變化時。5.8外來文件的控制組織的外來文件包括與運行維護有關(guān)的國家、地方、行業(yè)的法律、法規(guī)、部門規(guī)章、標準，體現(xiàn)客戶有關(guān)要求的文件等。組織的外來文件由文件接收負責登記在《外來文件清單》上，《外來文件清單》應(yīng)注明分布部門，以供使用者查閱。對外來法律法規(guī)文件，按《數(shù)據(jù)治理法律法規(guī)管理程序》控制。各部門對受控中的外來文件進行編號管理，以便于查看。5.9文件的銷毀若受控文件已不在適合本組織時，可對文件進行“回收”處理，判定文件是否可被銷毀，可以在數(shù)據(jù)治理內(nèi)部審核或管理評審時提出，由綜合部成員表決，管理者代表批準。如果文件被批準銷毀，綜合部成員需重新修改《數(shù)據(jù)治理文件一覽表》、并將最新信息登記到《文件發(fā)放/回收一覽表》。電子文件可以仍然保存在服務(wù)器中，但名稱中要加入“作廢”標記；同時，文件的“受控”標識也要改為“作廢”標識。6記錄《數(shù)據(jù)治理文件一覽表》《文件發(fā)放/回收一覽表》《外來文件清單》文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第18頁共398頁日期擬制審核數(shù)據(jù)治理管理體系程序文件首次發(fā)布陳文學(xué)黃偉對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)書面許可，不得將該等文件資料(其露予任何第三方，或進行修改后使用。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第19頁共398頁目錄 20 3職責 20 5程序 20 22文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第20頁共398頁為確保對數(shù)據(jù)治理記錄的標識、貯存、保護、檢索、保存期限和處置實施有效管理，特制定本程序。本程序適用于本組織證實數(shù)據(jù)治理管理體系符合要求和有效運行的記錄管理。數(shù)據(jù)治理小組負責數(shù)據(jù)治理的管理。各部門負責本部門的記錄文件的日常管理。4相關(guān)文件《數(shù)據(jù)治理管理手冊》《數(shù)據(jù)治理管理文件標識規(guī)范》《商業(yè)秘密管理程序》《重要信息備份管理程序》《數(shù)據(jù)治理記錄分類與保存期限清單》5.1記錄的標識5.1.1要求記錄文件的標識按《數(shù)據(jù)治理管理文件標識規(guī)范》進行。5.1.2標識數(shù)據(jù)治理記錄應(yīng)有追溯標識(如流水號),追溯標識由各職能部門確定。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第21頁共398頁5.1.3密級記錄的密級分類按《商業(yè)秘密管理程序》規(guī)定進行，涉密信息應(yīng)將密級標識在記錄上。5.2記錄的保管5.2.1保管形式紙質(zhì)記錄由各保管部門按規(guī)定存放于文件夾/文件柜中，電子記錄由各保管部門以電子檔的形式保存在服務(wù)器上。5.2.2備份要求以電子媒體保管的場合，為預(yù)防意外，需做適當?shù)膫浞?。備份的安全要求?zhí)行《重要信息備份管理程序》。5.2.3記錄保存要求記錄保管部門應(yīng)建立《數(shù)據(jù)治理記錄一覽表》,明確規(guī)定保管記錄類別、記錄保存期限等。記錄的保存應(yīng)符合有關(guān)法律法規(guī)的要求。給外部的文件應(yīng)建立《文件交接登記表》,由接收人簽字確認。5.3記錄的查閱5.3.1權(quán)限因工作需要，借閱其他部門的秘密記錄，應(yīng)獲得記錄保管部門經(jīng)理授權(quán)后方可借閱，并填寫《記錄借閱登記表》,留下授權(quán)記錄。5.3.2控制借閱者在借閱期內(nèi)不得改動記錄，借閱完畢后，保管部門經(jīng)理刪除其訪問閱讀權(quán)限。文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第22頁共398頁5.4記錄的銷毀5.4.1廢棄超過保管期限的記錄，應(yīng)填寫《記錄銷毀記錄表》,經(jīng)本部門高管批準后，由保管部門作為秘密文件處理廢6記錄《數(shù)據(jù)治理記錄一覽表》《記錄借閱登記表》《記錄銷毀記錄表》《文件交接登記表》⑧版權(quán)所有9文件編號：HYK-GDMS-B-01數(shù)據(jù)治理風險管理程序版本：A/0第23頁共398頁日期擬制審核數(shù)據(jù)治理管