Które normy ISO są stosowane w Data Governance?

Created in September 10, 2024

2024   ·   data-governance   data-standards   iso-standards   ·   data-governance

Jakie standardy ISO są wykorzystywane w zarządzaniu danymi?

W ostatnich latach zarządzanie danymi zyskuje na znaczeniu w różnych sektorach. W miarę jak organizacje zaczynają postrzegać dane jako aktywa, pojawia się potrzeba skutecznego zarządzania nimi. W tym kontekście standardy ISO stają się kluczowym narzędziem, które pomagają wytworzyć ramy dla skutecznego zarządzania danymi, a także w spełnianiu wymogów prawnych.

ISO 8000 – Standardy jakości danych

ISO 8000 to standard, który ma na celu zapewnienie, że dane wykorzystywane w różnych kontekstach (takich jak procesy biznesowe, analizy czy podejmowanie decyzji) spełniają określone standardy jakości. Obejmuje on kluczowe elementy danych, takie jak:

  • Składnia
  • Pochodzenie
  • Kompletność
  • Dokładność
  • Certyfikacja

Dzięki tym specyfikacjom organizacje mogą oceniać zgodność swoich danych z normami ISO 8000. Standard ten obejmuje kilka części, takich jak 110, 115, 120, z których każda koncentruje się na różnych aspektach zarządzania jakością danych. Na przykład, ISO 8000-115:2018 stanowi przewodnik w formowaniu identyfikatorów przy zarządzaniu danymi bazowymi, takimi jak katalog produktów.

ISO/IEC 38505-1:2017 – Standard zarządzania danymi

ISO/IEC 38505-1:2017 jest standardem dedykowanym zarządzaniu danymi, który dostarcza zbiór wytycznych dotyczących zarządzania danymi w organizacjach. Uznaje on zarządzanie danymi za podzbiór zarządzania IT, które z kolei jest elementem zarządzania organizacją. Standard ten definiuje jasne odpowiedzialności dla organu zarządzającego i mechanizmy nadzoru.

Celem standardu jest ukazanie członkom organu zarządzającego efektywne, skuteczne i akceptowalne wykorzystanie danych, ze szczególnym uwzględnieniem potrzeby odpowiedzialności na wszystkich etapach zarządzania danymi. W kontekście inicjatyw związanych z regulacjami prawnymi ten standard może zapewnić interesariuszom, że jeśli jego zasady będą przestrzegane, zyskają oni pewność co do zarządzania danymi w organizacji.

ISO 22745 – Standard dla danych bazowych

ISO 22745 to standard dla danych bazowych oparty na NATO Codification System (NCS). Jest on zaprojektowany dla przemysłu i obejmuje nowoczesną architekturę danych. Skupia się na definiowaniu wymagań dla danych bazowych wymienianych pomiędzy organizacjami. Standard ten określa wymagania dotyczące przekazów zawierających dane bazowe, w tym składnię, kodowanie semantyczne i przenośność.

ISO 22745 i ISO 8000 są zarządzane przez techniczny komitet ISO 184/podkomitet 4 (Dane przemysłowe). Podczas gdy ISO 22745 koncentruje się na wymianie danych bazowych, ISO 8000 dostarcza ram dotyczących oceny i doskonalenia jakości danych.

ISO 3166 – Standardy dla danych referencyjnych

Niektóre standardy ISO mogą być również wykorzystywane do zapewnienia spójnych zewnętrznych danych referencyjnych w wielu aplikacjach biznesowych. Przykład stanowi standard ISO 3166, który definiuje kody dla nazw krajów. Implementacja dostępnych międzynarodowych i krajowych rozszerzeń oraz standardów branżowych może być częścią dostarczanych rezultatów programu zarządzania danymi.

ISO/IEC 11179 – Rejestr metadanych

Innym wartym uwagi standardem ISO jest ISO/IEC 11179, który jest standardem rejestru metadanych (MDR). Zapewnia on ramy w siedmiu częściach do reprezentowania metadanych w organizacji, co czyni dane zrozumiałymi i wymiennymi. Doskonałym przykładem rejestru metadanych, który stosuje wytyczne ISO/IEC 11179, jest Australian Institute of Health and Welfare — Metadata Online Registry (METeOR).

ISO 27001:2022 – Standard dla systemów zarządzania bezpieczeństwem informacji

ISO 27001:2022 to międzynarodowy standard uznawany za ramy najlepszych praktyk dla systemu zarządzania bezpieczeństwem informacji (ISMS). Wdrażanie standardu ISO 27001 zazwyczaj jest wynikiem programu zarządzania bezpieczeństwem informacji, a nie tylko dostarczaniem programów zarządzania danymi. Jednak dojrzałość zarządzania danymi jest kluczowa dla spełnienia wymogów ISO 27001 i zapewnienia bezpieczeństwa, poufności i integralności danych.

Kluczowe obszary crossover między zarządzaniem danymi a ISO 27001

  1. Klasyfikacja danych
    Zarządzanie danymi często wiąże się z klasyfikacją danych według wrażliwości. Klasyfikacja ta jest niezbędna dla wdrażania zabezpieczeń zgodnych z wymaganiami ISO 27001, które określają różne poziomy ochrony dla różnych kategorii danych.

  2. Kontrola dostępu
    Zarządzanie danymi definiuje, kto ma dostęp do danych i jakie ma uprawnienia. ISO 27001 zaleca, aby dostęp do danych był zabezpieczony tak, aby tylko autoryzowane osoby mogły modyfikować i przeglądać dane.

  3. Zarządzanie ryzykiem
    Zgodność z ISO 27001 wymaga od organizacji identyfikacji i oceny ryzyk związanych z danymi, co jest kluczowe w procesie oceny ryzyka i ustalania odpowiednich zabezpieczeń.

  4. Ochrona danych
    Organizacje muszą ustanowić ramy ochrony swoich zasobów informacyjnych, w tym danych, zgodnie z wymaganiami ISO 27001.

  5. Audyt i zgodność
    Standard ISO 27001 obejmuje przepisy dotyczące regularnych audytów wewnętrznych i zewnętrznych, co przyczynia się do zapewnienia, że polityki związane z danymi są zgodne z wymaganiami normy.

  6. Reagowanie na incydenty
    Obecność formalnego zarządzania danymi w organizacji odgrywa kluczową rolę w identyfikacji i zarządzaniu incydentami związanymi z danymi.

  7. Zarządzanie danymi wrażliwymi
    ISO 27001 zawiera wytyczne dotyczące ochrony danych osobowych (PII), co stanowi istotny element ochrony danych.

  8. Szkolenie pracowników
    Standard kładzie duży nacisk na edukację i szkolenie pracowników, co jest kluczowe dla zapewnienia skuteczności polityki bezpieczeństwa danych.

  9. Ciągłe doskonalenie
    ISO 27001 podkreśla potrzebę kultury ciągłego doskonalenia. Program zarządzania danymi może wspierać organizację w dostosowywaniu praktyk zarządzania danymi w odpowiedzi na zmieniające się potrzeby dotyczące bezpieczeństwa.

Wnioski

Wdrażanie standardów ISO to kluczowy krok w stronę uzyskania audytowalnej zgodności z regulacjami prawnymi, a także w budowaniu zaufania do danych przedsiębiorstwa jako wartościowego zasobu. Dlatego przy inicjowaniu programu zarządzania danymi warto przeanalizować celowość, wykonalność i możliwość zastosowania standardów ISO.

Należy również zauważyć, że certyfikacja ISO jest możliwa jedynie dla standardów z jasno określonymi wymaganiami (np. ISO 27001), a nie dla najlepszych praktyk lub wytycznych (np. ISO 38505).

Z perspektywy Data View House, dostrzegam zastosowanie standardów ISO w czterech fazach „od danych do inteligencji”: Pochodzenie -> Przechowywanie -> Proces -> Dostęp. Kontynuując moje badania, dążę do identyfikacji odpowiednich standardów ISO w tych kluczowych fazach zarządzania danymi. Tylko dzięki świadomemu wdrażaniu i przestrzeganiu standardów ISO można skutecznie zarządzać danymi, zapewniając jednocześnie ich bezpieczeństwo i wartość strategiczną dla organizacji.