国家标准：数据治理规范

《数据治理规范》是我国信息技术服务标准（ITSS）体系中的“服务管控”领域标准，属于GB/T 34960《信息技术服务 治理》的第5部分，该国标系列共包含以下五个部分：

 第１部分：通用要求 

第２部分：实施指南 

第３部分：绩效评价 

第４部分：审计导则 

第５部分：数据治理规范 

《数据治理规范》根据GB/T 34960.1-2017《信息技术服务 治理 第1部分：通用要求》中的治理理念，在数据治理领域进行了细化，提出了数据治理的总则、框架，明确了数据治理的顶层设计、数据治理环境、数据治理域以及数据治理的过程，可对组织数据治理现状进行评估，指导组织建立数据治理体系，并监督其运行和完善。

《数据治理规范》标准结构合理、内容完整，明确了数据治理的目标、任务、框架和数据治理的实施要求，对于提升企业数据治理能力和数据应用能力具有指导和规范作用，标准全文内容摘录如下：

信息技术服务治理 第５部分：数据治理规范

１、范围

GB/T34960的本部分提出了数据治理的总则和框架，规定了数据治理的顶层设计、数据治理环境、数据治理域及数据治理过程的要求。

本部分适用于：

ａ）数据治理现状自我评估，数据治理体系的建立；

ｂ）数据治理域和过程的明确，数据治理实施落地的指导；

ｃ）数据治理相关的软件或解决方案的研发、选择和评价；

ｄ）数据治理能力和绩效的内部、外部和第三方评价。

２、规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T34960.1 信息技术服务 治理 第１部分：通用要求

３、术语和定义

GB/T34960.1界定的以及下列术语和定义适用于本文件。

3.1数据治理 data governance

数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。

3.2数据管理 data management

数据资源获取、控制、价值提升等活动的集合。

3.3数据资产 data asset

组织拥有和控制的、能够产生效益的数据资源。

3.4数据战略 data strategy

组织开展数据工作的愿景和高阶指引。

3.5数据架构 data architecture

数据要素、结构和接口等抽象及其相互关系的框架。

3.6元数据 metadata

定义和描述其他数据的数据。

3.7数据生存周期 data life cycle

数据获取、存储、整合、分析、应用、呈现、归档和销毁等各种生存形态演变的过程。

４、数据治理总则

4.1概述数据治理源于组织的外部监管、内部数据管理及应用的需求，主要包括：

ａ）法律法规、行业监管和内部管控等对数据及其应用的安全、合规的要求；

ｂ）数据产品化、资产化和价值化的要求；

ｃ）数据生存周期管理及应用过程中，数据架构、数据模型、数据标准、数据质量和数据安全等体系建设的要求。

4.2目标数据治理的目标是保障数据及其应用过程中的运营合规、风险可控和价值实现，主要包括：

ａ）运营合规：建立符合法律法规和行业监管的数据运营管理体系，保障数据及其应用的合规；

ｂ）风险可控：建立数据风险管控机制，确保数据及其应用满足风险偏好和风险容忍度；

ｃ）价值实现：构建数据价值实现体系，促进数据资产化和数据价值实现。

4.3任务组织应通过评估、指导和监督的方法，按照统筹和规划、构建和运行、监控和评价以及改进和优化的过程，实施数据治理的任务，主要包括：

ａ）评估数据治理的现状及需求、数据治理环境、数据资源管理和数据资产运营能力；

ｂ）指导数据治理体系的构建、数据治理域的建立和数据治理的实施落地；

ｃ）制定合理的评价体系与审计规范，监督数据治理内控、合规和绩效。

５、数据治理框架数据治理框架包含顶层设计、数据治理环境、数据治理域和数据治理过程四大部分，见图１：

图１数据治理框

顶层设计：包含数据相关的战略规划、组织构建和架构设计，是数据治理实施的基础。

数据治理环境：包含内外部环境及促成因素，是数据治理实施的保障。

数据治理域：包含数据管理体系和数据价值体系，是数据治理实施的对象。

数据治理过程：包含统筹和规划、构建和运行、监控和评价以及改进和优化，是数据治理实施的方法。

６、顶层设计

6.1战略规划数据战略规划应保持与业务规划、信息技术规划一致，并明确战略规划实施的策略，至少应：

ａ）理解业务规划和信息技术规划，调研需求并评估数据现状、技术现状、应用现状和环境；

ｂ）制定数据战略规划，包含但不限于愿景、目标、任务、内容、边界、环境和蓝图等；

ｃ）指导数据治理方案的建立，包含但不限于实施主体、责权利、技术方案、管控方案、实施策略和实施路线等，并明确数据管理体系和数据价值体系；

ｄ）明确风险偏好、符合性、绩效和审计等要求，监控和评价数据治理的实施并持续改进。

6.2组织构建组织构建应聚焦责任主体及责权利，通过完善组织机制，获得利益相关方的理解和支持，制定数据管理的流程和制度，以支撑数据治理的实施，至少应：

ａ）建立支撑数据战略的组织机构和组织机制，明确相关的实施原则和策略；

ｂ）明确决策和实施机构，设立岗位并明确角色，确保责权利的一致；

ｃ）建立相关的授权、决策和沟通机制，保证利益相关方理解、接受相应的职责和权利；

ｄ）实现决策、执行、控制和监督等职能，评估运行绩效并持续改进和优化。

6.3架构设计架构设计应关注技术架构、应用架构和架构管理体系等，通过持续的评估、改进和优化，以支撑数据的应用和服务，至少应：

ａ）建立与战略一致的数据架构，明确技术方向、管理策略和支撑体系，以满足数据管理、数据流通、数据服务和数据洞察的应用需求；

ｂ）评估数据架构设计的合理性和先进性，监督数据架构的管理和应用；

ｃ）评估数据架构的管理机制和有效性，并持续改进和优化。

７、数据治理环境

7.1内外部环境组织应分析业务、市场和利益相关方的需求，适应内外部环境变化，支撑数据治理的实施，至少应：

ａ）遵循法律法规、行业监管和内部管控，满足数据风险控制、数据安全和隐私的要求；

ｂ）遵从组织的业务战略和数据战略，满足利益相关方需求；

ｃ）识别并评估市场发展、竞争地位和技术变革等变化；

ｄ）规划并满足数据治理对各类资源的需求，包括人员、经费和基础设施等。

7.2促成因素组织应识别数据治理的促成因素，保障数据治理的实施，至少应：

ａ）获得数据治理决策机构的授权和支持；

ｂ）明确人员的业务技能及职业发展路径，开展培训和能力提升；

ｃ）关注技术发展趋势和技术体系建设，开展技术研发和创新；

ｄ）制定数据治理实施流程和制度，并持续改进和优化；

ｅ）营造数据驱动的创新文化，构建数据管理体系和数据价值体系；

ｆ）评估数据资源的管理水平和数据资产的运营能力，不断提升数据应用能力。

８、数据治理域

8.1数据管理体系组织应围绕数据标准、数据质量、数据安全、元数据管理和数据生存周期等，开展数据管理体系的治理，至少应：

ａ）评估数据管理的现状和能力，分析和评估数据管理的成熟度；

ｂ）指导数据管理体系治理方案的实施，满足数据战略和管理要求；

ｃ）监督数据管理的绩效和符合性，并持续改进和优化。

8.2数据价值体系组织应围绕数据流通、数据服务和数据洞察等，开展数据资产运营和应用的治理，至少应：

ａ）评估数据资产的运营和应用能力，支撑数据价值转化和实现；

ｂ）指导数据价值体系治理方案的实施，满足数据资产的运营和应用要求；

ｃ）监督数据价值实现的绩效和符合性，并持续改进和优化。

９、数据治理过程

9.1统筹和规划明确数据治理目标和任务，营造必要的治理环境，做好数据治理实施的准备，包括：

ａ）评估数据治理的资源、环境和人员能力等现状，分析与法律法规、行业监管、业务发展以及利益相关方需求等方面的差距，为数据治理方案的制定提供依据；

ｂ）指导数据治理方案的制定，包括组织机构和责权利的规划、治理范围和任务的明确以及实施策略和流程的设计；

ｃ）监督数据治理的统筹和规划过程，保证现状评估的客观、组织机构设计的合理以及数据治理方案的可行。

9.2构建和运行构建数据治理实施的机制和路径，确保数据治理实施的有序运行，包括：

ａ）评估数据治理方案与现有资源、环境和能力的匹配程度，为数据治理的实施提供指导；

ｂ）制定数据治理实施的方案，包括组织机构和团队的构建，责权利的划分、实施路线图的制定、实施方法的选择以及管理制度的建立和运行等；

ｃ）监督数据治理的构建和运行过程，保证数据治理实施过程与方案的符合、治理资源的可用和治理活动的可持续。

9.3监控和评价监控数据治理的过程，评价数据治理的绩效、风险与合规，保障数据治理目标的实现，包括：

ａ）构建必要的绩效评估体系、内控体系或审计体系，制定评价机制、流程和制度；

ｂ）评估数据治理成效与目标的符合性，必要时可聘请外部机构进行评估，为数据治理方案的改进和优化提供参考；

ｃ）定期评价数据治理实施的有效性、合规性，确保数据及其应用符合法律法规和行业监管要求。

9.4改进和优化改进数据治理方案，优化数据治理实施策略、方法和流程，促进数据治理体系的完善，包括：

ａ）持续评估数据治理相关的资源、环境、能力、实施和绩效等，支撑数据治理体系的建设；

ｂ）指导数据治理方案的改进，优化数据治理的实施策略、方法、流程和制度，促进数据管理体系和数据价值体系的完善；

ｃ）监督数据治理的改进和优化过程，为数据资源的管理和数据价值的实现提供保障。

附录Ａ：数据管理体系的治理要求（略）

附录Ｂ：数据价值体系的治理要求（略）

标准解读：GB/T 34960.5《数据治理规范》融合了DAMA（国际数据管理协会）、GDI（国际数据治理研究所）、IBM等机构在数据治理方面的精髓，用一个结构清晰的框架对数据治理体系进行了概况。

首先，在数据治理目标方面，本标准将组织数据治理目标总结为运营合规、风险可控、价值实现三个层面，组织应根据自身的业务需求进行选择。安全合规是基础，在安全合规的基础之上实现数据价值实现体系，促进数据资产化和数据价值实现。

第二，在数据治理框架方面，本标准的数据治理框架主要包含四个部分内容：顶层设计、数据治理环境、数据治理域和数据治理过程。组织进行数据治理应对内外部的业务需求、技术环境、竞争环境等现状做好调研的和评估，并在此基础之上进行愿景、目标、蓝图的数据战略设计。

第三，在数据治理域方面，本标准将数据治理域按照应用维度的不同划分为数据管理体系和数据价值体系两大体系。其中，数据管理体系：围绕数据标准、数据质量、数据安全、元数据管理和数据生存周期等，开展治理。评估、指导、监督；数据价值体系：围绕数据流通、数据服务和数据洞察等，开展治理。评估、指导、监督。

第四，在数据治理实施方面，本标准对数据治理的实施方法进行了总结，主要包含：统筹和规划、构建和运行、监控和评价、改进和优化四个步骤。GB/T 34960.5《数据治理规范》是我国首个数据治理标准，为促进组织建立数据治理体系，明确数据治理域和过程，建立数据治理能力和绩效的内外部评价，以及指导数据治理的落地实施有着重要意义。