国内资讯

IBM数据治理框架及DSMM模型简介

IBM：数据治理框架

IBM数据治理模型分为目标、支持条件、核心规程和支持规程四个层次，如下图：

目标。目标是数据治理计划的预期结果，通常致力于降低风险和价值创造。数据风险管理和规格性是用来确定数据治理与风险管理的关联度及合规性，用来量化、跟踪、避免或转移风险。价值创造是通过有效的数据治理，实现数据资产化帮助组织创造更大的价值。

支持条件。组织机构与意识，数据治理需要建立相应的组织机构（例如：数据治理委员会、数据治理工作组等），并安排的全职的人员开展数据治理工作，同时，需要建立起数据治理的相关制度并且获得高管的重视。管理工作，制定数据质量控制的规程和制度，用来管理数据以实现数据资产的增值和风险控制。策略，组织应在数据战略层面设置明确的目标的方向。

核心规程。数据质量管理，提升数据质量，保障数据的一致性、准确性和完整性的各种方法。信息生命周期管理，对各种类型数据，如：结构化数据、非结构化数据、半结构化数据全生命周期管理的相关策略、流程和分类。信息安全与隐私，在数据资产包含，减低数据安全风险的各种策略、实践和控制方法。

支持规程。数据架构，指系统体系结构设计，支持向适当的用户提供和分配数据。分类与元数据，通过元数据的技术，对组织的业务元数据、技术元数据进行梳理，形成数据资产的统一资源目录。审计记录与报告，指数据合规性、内部控制、数据管理审计相关的一系列管理流程和应用。

IBM数据治理能力成熟度评估模型借鉴了，能力成熟度模型CMM（Capability Maturity Model），将数据治理的成熟度描述了五个等级的成熟度路径：

Level 1 初始化：工作通常是临时的，环境也不稳定，反映组织内个人能力，而不作为成熟度管理。该阶段尽管组织内会生成产品和服务，但往往会超出预算和项目时间；

Level 2 已管理：基于项目或单业务职能的有效管理，能够跟踪成本和时间表，可以基于项目实践的计划和执行的经验开展复用，但仍缺乏组织内整体的管理，仍然存在预算超支和实践逾期等风险；

Level 3 已定义：组织内形成覆盖整个组织的标准、流程和规程管理，能够适应组织内业务职能或项目；

Level 4 量化管理：组织通过统计技术和量化分析，对所开展的质量目标进行量化管理；

Level 5 持续改进：量化的目标被明确建立且持续修订反映业务目标的变化。

IBM：数据治理流程

IBM 数据治理统一流程列出了这 14 个主要的10个必需步骤和 4 个可选专题，以及支持有效的数据治理计划的相关IBM 软件工具和最佳实践。

10 个必需步骤是为有效的企业治理计划奠定基础所不可或缺的。

4 个可选专题是主数据治理、分析治理、安全和隐私以及信息生命周期治理。

（1）定义业务问题

数据治理计划失败的主要原因是：它们无法识别实际的业务问题。组织亟需围绕一个特定的业务问题，比如失败的审计、数据破坏或出于风险管理用途对改进的数据质量的需要，定义数据治理计划的初始范围。一旦数据治理计划开始解决已识别的问题，业务职能部门将支持它将范围扩展到更多区域。

（2）获取高层支持

得到关键 IT 和业务高层对数据治理计划的支持很重要。获得此支持的最佳方式是以业务案例和“快捷区域”的形式建立价值。例如：业务案例可以专注于一客户名称匹配，改进数据的质量以支持客户中心性计划。

（3）执行成熟度评估

每个组织需要对其数据治理成熟度执行一项评估，最好每年执行一次。数据治理组织需要评估组织当前的成熟度水平，当前状态和想要的未来成熟度水平，这通常在12到18 个月后。这段时间必须长到足够生成结果，短到确保关键利益相关者的持续支持。

（4）创建路线图

数据治理组织需要开发一个路线图来填补 11 个数据治理成熟度类别的当前状态与想要的未来状态之间的空白。例如：数据治理组织可以检查“照管”的成熟度空白，确定企业需要任命数据照管人来专门负责目标主题区域，比如客户、供应商和产品。数据治理计划也需要包含“快捷区域”——计划可带来近期业务价值的区域。

（5）建立组织蓝图

数据治理组织需要建立一种章程来治理其操作，确保它拥有足够的成熟度来在关键形势下担当决胜者。数据治理组织最好在一种 3 层架构下操作。顶层是数据治理委员会，它由依靠数据作为企业资产的关键职能和业务领导组成。中间层是数据治理工作组，它由经常会面的中层经理组成。最后一层由数据管理员组成，它负责每天的数据质量。

（6）创建数据字典

业务词汇的有效管理可帮助确保相同的描述性语言适用于整个组织。数据字典或业务术语库是一个存储库，包含关键词汇的定义。它用于在组织的技术和业务端之间实现一致性和达成一致。例如：“客户”的定义是什么，客户是某个进行购买的人还是某个考虑购买的人，前员工是否仍然分类为“员工”，词汇“合作伙伴”和“经销商”是否同义，这些问题可通过创建一个通用的数据字典来回答。一旦实现，数据字典可应用到整个组织，确保业务词汇通过元数据与技术词汇相关联，而且组织拥有单一、共同的理解。

（7）理解数据

有人曾经说过：“您无法控制您还未理解的东西。”如今很少有应用程序是独立存在的。它们由系统和“系统的系统”组成，包含散落在企业各个角落但整合或至少相互关联的应用程序和数据库。关系数据库模型实际上使情况更糟了，它使业务实体的存储分散化。但是所有一切是如何关联的，数据治理团队需要发现整个企业中关键的数据关系。

（8）创建元数据存储库

元数据是关于数据的数据。它是有关任何数据工件，比如其技术名称、业务名称、位置、被认为的重要性和与企业中其他数据工件的关系的特征的信息。在查询阶段，数据治理计划将从数据字典生成大量业务元数据和大量技术元数据。此元数据需要存储在一个存储库中，所以它可以在多个项目之间共享和利用。

（9）定义度量指标

数据治理需要拥有可靠的度量指标来度量和跟踪进度。数据治理团队必须认识到当您度量某个东西时，性能就会改进。因此，数据治理团队必须挑选一些关键性能指标 (KPI) 来度量计划的持续性能。例如：一家银行将希望评估行业的整体信贷风险。在这种情况下，数据治理计划可以选择空的标准行业分类 (SIC) 代码的百分比作为 KPI跟踪风险管理信息的质量。

前9个步骤是企业数据治理的基本流程，第10步需要企业在 4 个可选的数据治理专题（主数据治理、分析治理、安全和隐私以及信息生命周期治理）中至少选择一个。

（10）治理主数据

企业内最有价值的信息（与客户、产品、材料、供应商和帐户相关的关键数据）统称为主数据。尽管它很重要，主数据常常是重复的并分散在整个企业的各种业务流程、系统和应用程序中。治理主数据是一种持续的实践，其中业务领导为实现业务目标而定义准则、策略、流程、业务规则和度量指标，管理他们的主数据的质量。

（11）数据分析治理

企业已投入了巨额资金建立数据仓库来获取竞争洞察。但是，这些投资并不总是得到了结果，导致企业越来越多地审查其对分析的投资。“分析治理”专题定义为设置更好地协调业务用户与对分析基础架构的投资的策略和过程。

（12）管理安全和隐私

数据治理领导（尤其是向首席信息安全官报告的领导）常常必须处理围绕数据安全和隐私的问题采用相应的策略和措施。

（13）治理信息生命周期

非结构化内容占典型企业中的数据的 80% 以上。随着组织从数据治理转向信息治理，他们开始考虑这种非结构化内容的治理。

（14）度量结果

数据治理组织必须通过不断监控度量指标来确保持续改进。在第9 步中，数据治理团队设置度量指标。在此步骤中，数据治理团队依据这些度量指标向来自 IT 和业务部门的高层利益相关者报告进度。

整个数据治理统一流程需要以持续循环的形式操作。该流程需要度量结果并循环回到高层支持者，以获得数据治理计划的持续支持。

DSMM模型简介

数据安全能力成熟度模型（DS-CMM，或DSMM）是由是阿里巴巴和中国电子技术标准化研究院在大量实践和研究的基础上，联合三十多家企事业单位共同研究制定的。DSMM一份关于数据安全管理的标准，目前是报批稿状态，即将成为国家标准。

DSMM借鉴能力成熟度模型（CMM）的思想，将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

注：该标准还在进一步修订中，未正式发布，供参考。需要请见文末。

能力成熟度等级

1级（非正式执行）

主要特点：数据安全工作是随机、无序、被动执行的，依赖与个人，经验无法复制。

组织在数据安全领域未执行有效的相关工作，仅在部分场景或项目的临时需求执行相关工作，未形成成熟的机制，来保障数据安全相关工作的持续开展。

2级（计划跟踪）

主要特点：在项目级别主动实现了安全过程的计划与执行，没有形成体系化。

规划执行，对数据安全过程进行规划，提前分配资源和责任；

规范化执行，对安全过程进行控制，使用安全执行计划，执行相关标准和程序的过程，对数据安全过程实施配置管理；

验证执行，确认过程按照预定的方式执行，验证执行过程与可应用的计划是一致的，对数据安全过程进行审计；

跟踪执行，控制数据安全项目的进展，通过可测量的计划跟踪过程执行，当过程实践与计划产生重大的偏离时采取修正行动。

3级（充分定义）

主要特点：在组织级别实现了安全过程的规范定义和执行。

定义标准过程，组织对标准过程进行制度化，形成标准化过程文档，为满足特定用途对标准过程进行裁剪；

执行已定义的过程，充分定义的过程可重复执行，针对有缺陷的过程结果和安全实践的核查，使用过程执行的结果数据；

协调安全实践，对业务系统和组织的协调，确定业务系统内，各业务系统之间、组织外部活动的协调机制。

4级（量化控制）

主要特点：建立了量化目标，安全过程可量化度量和预测。

建立可测的目标，为组织数据安全建立可测量的目标；

客观的管理执行，确定过程能力的量化测量来管理安全过程，以量化测量作为修正行动的基础。

5级（持续优化）

主要特点：根据组织的整理战略和目标，不断改进和优化数据安全过程。

改进组织能力，在整个组织范围内的标准过程使用情况进行比较，寻找改进标准过程的机会，分析对标准过程的可能变更。

改进过程有效性，制定处于连续受控改进状态下的标准过程，提出消除标准过程产生缺陷的原因和持续改进的标准过程。

数据生命周期安全

DSMM模型将数据生命周期分为了数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁六大阶段，40个过程域（PA），其中包含16个通用安全过程域，和24个数据生命周期各阶段安全过程域，如下图所示：

数据安全能力构成

1、组织建设

—— 数据安全组织架构对组织业务的适应性；

—— 数据安全组织架构承担的工作职责的明确性；

—— 数据安全组织架构运作、协调、沟通的有效性；

2、制度流程

—— 数据生命周期的关键控制节点授权审批流程的明确性；

—— 相关流程、制度的制定、发布、修订的规范性；

—— 安全要求及落地执行的一致性和有效性。

3、技术与工具

—— 数据安全技术在数据全生命周期过程中的使用情况，针对数据安全风险的检测及相应能力；

—— 利用技术工具对数据安全工作的自动化和持续支持能力，对数据安全制度流程的固化执行能力。

4、人员能力

—— 数据安全人员所具备的安全技能是否能满足复合型能力要求；

—— 数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力培养。

其实，之所以分享数据治理成熟度模型，是因为所有的成熟度评估的套路都是一样的，掌握了数据治理能力成熟的评估，则会更加容易理解数字化转型成熟度模型。

来源：POM前沿+GDNA整理