圖片發(fā)自簡(jiǎn)書App

數(shù)據(jù)治理有一套標(biāo)準(zhǔn)的方法論，涵蓋從獲取到使用到處置的整個(gè)數(shù)據(jù)生命周期。包括建立有關(guān)戰(zhàn)略、數(shù)據(jù)存儲(chǔ)、內(nèi)容和記錄管理、數(shù)據(jù)質(zhì)量控制、數(shù)據(jù)訪問、數(shù)據(jù)安全和風(fēng)險(xiǎn)管理、數(shù)據(jù)共享和分發(fā)的決策權(quán)限、政策、程序和標(biāo)準(zhǔn)，以及持續(xù)對(duì)上述所有活動(dòng)的合規(guī)性監(jiān)控。根據(jù)數(shù)據(jù)治理先進(jìn)理念，借鑒國(guó)內(nèi)外數(shù)據(jù)治理最佳實(shí)踐經(jīng)驗(yàn)，總結(jié)了數(shù)據(jù)治理的若干問題，通過提問的形式引發(fā)您反思貴公司在數(shù)據(jù)治理是否存在差距，以便于制定下一步行動(dòng)計(jì)劃。

數(shù)據(jù)戰(zhàn)略

以書面的形式，在數(shù)據(jù)戰(zhàn)略中明確數(shù)據(jù)治理的政策和程序是非常必要的，有利于確保組織中的每個(gè)人都了解數(shù)據(jù)質(zhì)量和安全的重要性，并確保員工有動(dòng)機(jī)和權(quán)力實(shí)施數(shù)據(jù)治理。
1.是否確定了影響關(guān)鍵數(shù)據(jù)治理規(guī)則和要求的政策優(yōu)先事項(xiàng)，以及關(guān)鍵利益相關(guān)者是否就優(yōu)先事項(xiàng)達(dá)成了一致（正式協(xié)議或口頭批準(zhǔn)）？
2.關(guān)于數(shù)據(jù)治理和數(shù)據(jù)管理生命周期的所有方面（包括收集、維護(hù)、使用和傳播）的標(biāo)準(zhǔn)政策和程序是否已明確定義和記錄？
3.是否制定了政策和程序，以確保所有數(shù)據(jù)的收集、管理、存儲(chǔ)、傳輸、使用、報(bào)告和銷毀方式能夠保護(hù)隱私并確保保密性和安全性（包括但不限于遵守GB/T 35273-2017《信息安全技術(shù) 個(gè)人信息安全規(guī)范》，以下簡(jiǎn)稱《規(guī)范》）？
4.是否進(jìn)行了評(píng)估以確保決議或已建立的數(shù)據(jù)治理政策和程序的長(zhǎng)期可持續(xù)性，包括適當(dāng)?shù)娜藛T配備、工具、技術(shù)和資源？
5.是否有一個(gè)書面計(jì)劃，描述了監(jiān)控其數(shù)據(jù)治理的合規(guī)性的過程？
6.數(shù)據(jù)戰(zhàn)略是否以開放和可訪問的方式記錄并傳達(dá)給所有利益相關(guān)者，包括員工、數(shù)據(jù)提供者和公眾？

數(shù)據(jù)存儲(chǔ)

對(duì)所有需要保護(hù)的數(shù)據(jù)進(jìn)行盤點(diǎn)是數(shù)據(jù)安全項(xiàng)目的關(guān)鍵步驟。維護(hù)所有敏感記錄和數(shù)據(jù)系統(tǒng)（包括用于存儲(chǔ)和處理數(shù)據(jù)的系統(tǒng)）的最新狀態(tài)，使組織能夠以其數(shù)據(jù)安全和管理工作為目標(biāo)。按敏感度對(duì)數(shù)據(jù)進(jìn)行分類有助于數(shù)據(jù)管理團(tuán)隊(duì)認(rèn)識(shí)到安全工作的重點(diǎn)。
7.是否有一份詳細(xì)的、最新的、應(yīng)歸類為敏感的所有數(shù)據(jù)清單（即因未經(jīng)授權(quán)或無(wú)意披露而帶來(lái)?yè)p害風(fēng)險(xiǎn)的數(shù)據(jù)）、P個(gè)人信息或兩者兼有？
8.數(shù)據(jù)記錄是否根據(jù)PII披露的風(fēng)險(xiǎn)等級(jí)進(jìn)行了分類？
9.組織是否有關(guān)于數(shù)據(jù)存儲(chǔ)的書面政策，該政策概述了庫(kù)存中應(yīng)包括哪些內(nèi)容以及如何、何時(shí)、多久以及由誰(shuí)更新？

數(shù)據(jù)內(nèi)容管理

密切管理數(shù)據(jù)內(nèi)容，包括確定收集數(shù)據(jù)的目的，有必要證明收集敏感數(shù)據(jù)的合理性，優(yōu)化數(shù)據(jù)管理過程，并確保遵守國(guó)家法律法規(guī)。
10.是否有一套明確記錄的政策、運(yùn)營(yíng)和研究需求，以證明收集特定數(shù)據(jù)的合理性（例如，需要收集哪些個(gè)人信息，以完成相應(yīng)的業(yè)務(wù)操作）？
11.是否定期審查和修訂其數(shù)據(jù)內(nèi)容管理政策，以確保僅收集或維護(hù)滿足上述需求所需的數(shù)據(jù)？

數(shù)據(jù)記錄管理

必須指定與處理數(shù)據(jù)相關(guān)的適當(dāng)管理和用戶活動(dòng)，以便為數(shù)據(jù)管理員和用戶提供符合組織安全策略的適當(dāng)工具。
12.是否建立了盡可能消除個(gè)人隱私信息標(biāo)識(shí)的機(jī)制（例如，從個(gè)人信息中刪除所有直接和間接標(biāo)識(shí)）？
13.是否制定并傳達(dá)了在數(shù)據(jù)生命周期的所有階段（包括獲取、維護(hù)、使用和存檔或銷毀數(shù)據(jù)）處理記錄的政策和程序？

數(shù)據(jù)質(zhì)量

確保數(shù)據(jù)準(zhǔn)確、及時(shí)和完整，以達(dá)到預(yù)期用途，這對(duì)任何組織來(lái)說都是一個(gè)高度優(yōu)先的問題。維護(hù)高質(zhì)量數(shù)據(jù)的關(guān)鍵是對(duì)數(shù)據(jù)治理采取主動(dòng)的方法，該方法要求建立并定期更新預(yù)防、檢測(cè)和糾正數(shù)據(jù)錯(cuò)誤和誤用的策略。
14.是否制定了策略以確保數(shù)據(jù)準(zhǔn)確、完整、及時(shí)且與利益相關(guān)者的需求相關(guān)？
15.是否定期進(jìn)行數(shù)據(jù)質(zhì)量審計(jì)，以確保其實(shí)施質(zhì)量控制的策略是最新的？

數(shù)據(jù)訪問

根據(jù)個(gè)人在組織中的角色和職責(zé)，定義和分配不同級(jí)別的數(shù)據(jù)訪問權(quán)限，對(duì)于防止未經(jīng)授權(quán)的訪問和最小化數(shù)據(jù)泄露風(fēng)險(xiǎn)至關(guān)重要。
16.是否制定了限制和監(jiān)控員工數(shù)據(jù)訪問的策略，限制哪些數(shù)據(jù)可以由誰(shuí)訪問，包括根據(jù)工作描述和職責(zé)分配不同級(jí)別的訪問權(quán)限？這些策略是否符合適用的國(guó)家隱私保護(hù)法律法規(guī)（包括《網(wǎng)安法》、《規(guī)范》等）？
17.是否建立了管理用戶數(shù)據(jù)訪問的內(nèi)控手段，包括具有個(gè)人信息訪問權(quán)限的員工所需的安全審查、培訓(xùn)和保密協(xié)議？
18.是否有適當(dāng)?shù)募夹g(shù)來(lái)限制和監(jiān)控授權(quán)用戶的數(shù)據(jù)訪問，以確保其在系統(tǒng)中訪問數(shù)據(jù)的條件與數(shù)據(jù)安全策略中限定的條件一致，包括哪些數(shù)據(jù)可以訪問、訪問時(shí)間段以及在什么條件下訪問等？

數(shù)據(jù)安全和風(fēng)險(xiǎn)管理

確保敏感和個(gè)人可識(shí)別數(shù)據(jù)的安全性，降低未經(jīng)授權(quán)披露這些數(shù)據(jù)的風(fēng)險(xiǎn)，是有效數(shù)據(jù)治理計(jì)劃的首要任務(wù)。
19.是否制定了全面的安全框架，包括解決數(shù)據(jù)安全問題的組織、硬件和軟件（如數(shù)據(jù)訪問和共享限制、強(qiáng)大的密碼管理、定期的員工培訓(xùn)等）？
20.是否進(jìn)行了風(fēng)險(xiǎn)評(píng)估，包括評(píng)估與惡意個(gè)人（如黑客）故意濫用數(shù)據(jù)和授權(quán)用戶無(wú)意披露數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)和漏洞？
21.是否有適當(dāng)?shù)挠?jì)劃來(lái)減輕與故意和無(wú)意數(shù)據(jù)泄露相關(guān)的風(fēng)險(xiǎn)？
22.是否定期監(jiān)控或?qū)徲?jì)數(shù)據(jù)安全？
23.是否制定了策略，以確保在發(fā)生數(shù)據(jù)泄露、丟失或其他災(zāi)難時(shí)數(shù)據(jù)服務(wù)的連續(xù)性？
24.是否制定政策指導(dǎo)有關(guān)數(shù)據(jù)交換和報(bào)告的決策，包括與行業(yè)監(jiān)管機(jī)構(gòu)、數(shù)據(jù)分析人員和第三方合作伙伴共享數(shù)據(jù)？
25.在共享數(shù)據(jù)時(shí)，是否制定了適當(dāng)?shù)某绦?，如共享協(xié)議，以確保任何個(gè)人信息保持嚴(yán)格保密，并防止未經(jīng)授權(quán)的披露？

圖片發(fā)自簡(jiǎn)書App