1、2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会数据安全治理与认证2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会议题 数据治理态势与驱动力 数据安全治理的框架与模型-数据治理国际标准ISO38505-1的运用数据治理与数据中台 数据安全治理案例展示 数据治理认证介绍2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会数据治理态势与驱动力22/07/2019Copyright 2017 BSI.All rights reserved32019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会对数据的控制是数字时代全球治理的重要话题也成了

2、新的地缘主义工具工业时代工业时代物流关税，海关，贸易策略资金流-币种，汇率人流-护照，大使馆，海关数字时代数字时代数据的流动-出境管理，隐私保护，关键基础设施信息保护知识产权出口控制日本 Adequacy decision（充分性）无缝跨地区数据传输2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会基于信任的数据数据自由流通和以人为本的人工智能 个人权益的保护（人权）非个人数据的流通（重要数据跨境）全球数据治理成为全球数据治理成为G20大阪峰会的中心大阪峰会的中心议题议题安倍表示，“我希望G20大阪峰会因启动全球数据治理而被人们长久铭记。”2019中中 国国 数数 据据 智智

3、能能 管管 理理 峰峰 会会2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会数据安全治理的框架与模型22/07/2019Copyright 2017 BSI.All rights reserved72019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会22/07/2019Copyright 2017 BSI.All rights reserved8治理相关标准和概念 治理与管理治理活动管理活动业务活动治理治理管理管理定义与含义管理的管理责任机构治理层，如董事会管理层，如CEO主要活动EDM 评估指导监督PDCA策划执行检查改进输出物战略，原则，方针方针、标准、流程

4、、程序操作指导责任价值与风险绩效达成与操作风险控制2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会22/07/2019Copyright 2017 BSI.All rights reserved9基于ISO 38505-1概念下的大数据治理框架-数据安全治理框架协同应用基于信任的流通基于信任的流通以人为以人为本的人工智能本的人工智能2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会E 评估评估D决策决策M 监督监督C沟通沟通A 审计审计Governance治理层GE安全始于设计，业务考虑安全变革的安全DE 风险偏好容忍度安全策略安全的投资GM 安全计划实施有效

5、性内外部期望达成变革安全监督GC安全的沟通外部及监管机构GA安全审计Management管理层ME发起安全项目支持业务目标MD安全目标风险与隐私影响评估数据分级分类指南数据生命周期管理数据安全架构管理数据共享分包管理MM设计一套监控指标触发警示MC提请GB注意事项事件响应与内外部沟通采集与使用的透明告知内部意识文化的建立MA支持审计Technical 技术层TE战略及项目管理工具TD风险管理工具识别打标敏感数据工具生命周期阶段管理工具架构设计工具数据共享平台API身份认证工具数据中台数据中台 TM检查工具威胁模型与告警事件监控工具Dashboard日志分析工具.TC沟通渠道工具TA审计工具Pe

6、ople 人员PE安全意识法规PD风险管理投资决策PM监督及证据留存PC沟通能力应急事件PA审计及保留证据22/07/2019Copyright 2017 BSI.All rights reserved10基于国际标准的数据安全治理模型和流程ISO 38505-1的应用2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会数据治理22/07/2019Copyright 2017 BSI.All rights reserved112019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会摘自大数据治理与服务Data API 数据服务后台基础稳定前台快速响应数据治理是数据中台的

7、基础2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会数据治理认证22/07/2019Copyright 2017 BSI.All rights reserved132019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会认证认证-标准指导标准指导 统一度量统一度量横向可比横向可比22/07/2019Copyright 2017 BSI.All rights reserved14金融金融合规驱动用户挖据征信风控制造制造产品数据设备数据用户数据互联网互联网用户画像技术第一成本生命线非一次性项目，是持久运营工作，通过认证年审督促数据治理的持续符合非一次性项目，是持久运营工

8、作，通过认证年审督促数据治理的持续符合2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会认证认证-传递信任，遵从展示传递信任，遵从展示22/07/2019Copyright 2017 BSI.All rights reserved15数据安全体检证体检证数据质量信用证信用证数据共享通行证通行证数据合法利用不滥用自由流通不随意流通垃圾进垃圾出安全始于设计向主管与监管机构提供数据治理实施的符合性记录向主管与监管机构提供数据治理实施的符合性记录2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会认证认证-国际通行证书，品牌价值提升国际通行证书，品牌价值提升22/07/2

9、019Copyright 2017 BSI.All rights reserved16截至 2016年底的ISO调查显示全球对认证的需求上升强劲相比2015年ISO27001增长了20.9%，业务连续增长了23%信息安全：BSI占有世界范围内IS的市场业务连续性：BSI占有世界范围内ISO的.市场IT服务管理：BSI占有世界范围内ISO的.市场云安全领域BSI最早与CSA（云安全联盟）合作，将其经验转换为认证标准，国内的阿里、百度、腾讯、华为、国外的微软Azure、office 365,Apple、Cisco、花旗、汇丰等都选择BSI认证服务。2019中中 国国 数数 据据 智智 能能 管管

10、理理 峰峰 会会数据治理认证做什么22/07/2019Copyright 2017 BSI.All rights reserved172019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会22/07/201918数据治理系列认证与服务数据治理系列认证与服务风险风险数据治理数据治理ISO38505-1信息安全ISO27001GDPRBS10012健康数据安全HIPAA约束约束个人信息安全ISO2910027018/29151云安全ISO27017支付卡数据安全PCI DSS中国网络安全法价值价值GB/T34960.5流通、服务、洞察标准、质量、元数据生命周期、数据安全审核准则与依据：

11、红色部分为必选，其他为组织实际业务情况可选ISO20000/8000服务/数据质量管理2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会 数据治理认证为了证实企业数据治理组织已经建立，组织战略覆盖了数据战略，组织考虑了数据的价值、风险与合规的要求。数据治理认证像其他体系认证一样需要确认认证的范围，从业务、组织、地点等维度确认认证证书的范围 组织可以有质量管理、GBT34960.5附录提及的其他管理机制落地实施不同的治理域，但是数据安全方面，数据治理认证必须基于ISO27001证书基础上实施，即需要依靠一套管理的机制来落地管理层的流程与实施监督改进，确保数据风险按照组织策略得以控

12、制。22/07/2019Copyright 2017 BSI.All rights reserved192019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会22/07/2019Copyright 2017 BSI.All rights reserved202019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会EDMPDCA数据治理审核要点数据治理机构、职责，数据战略，数据管理与服务流程，数据价值绩效，数据治理环境与人员技能数据治理域的审核可选数据标准，数据架构，元数据管理，数据质量，数据安全，数据共享，数据服务，数据洞察等2019中中 国国 数数 据据 智智 能能 管

13、管 理理 峰峰 会会其他管理模块的介绍（根据组织业务实际，叠加为组织的实施和认证依据）ISO27017:云安全管理ISO29100：个人信息保护原则ISO2718：公有云个人信息保护，微软云，百度腾讯等已获得此证书BS 10012：世界上唯一一个与GDPR一致的标准，SAP已获得此认证GDPR:欧盟个人数据保护法案，BSI提供培训，实施与评估验证服务PCI DSS：支付卡数据安全标准，BSI提供培训与评估服务，华为、花旗等通过此评估HIPAA：美国个人健康数据保护法案，Accenture等在27001基础上通过此评估22/07/2019Copyright 2017 BSI.All rights

14、 reserved222019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会如何做数据治理认证22/07/2019Copyright 2017 BSI.All rights reserved232019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会22/07/2019Copyright 2017 BSI.All rights reserved24组织申请组织根据实施情况，确定认证范围包括业务（产品或服务）、组织、地点、人数填写申请表向BSI提出认证申请初次认证BSI评估组织准备情况接受申请实施第一阶段文件评审，查看相关策略文件是否覆盖标准要求实施第二阶段评审 查看执行记

15、录与现场操作，确定是否满足认证标准与依据若没有严重不符合项目，经过BSI内部报告评审流程，准予发放ISO38505-1 数据治理证书年度监督评审三年重审组织获得证书后，须有一套管理流程确保战略的落地，确保治理层的监督执行，确保发现问题的改正，确保风险与价值的持续该进，每年BSI会进行外部审核，三年全年重新审核，满足要求换发新的证书组织可以变更证书范围，比如扩充产品线，管理域等2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会ISO 38505-1 介绍22/07/2019Copyright 2017 BSI.All rights reserved252019中中 国国 数数 据

16、据 智智 能能 管管 理理 峰峰 会会How：ISO38505-1 面向董事会的大数据治理工具26ISO38505-1 标准通过模型模型和原则原则定义了 3大任务6项原则18个子任务治理主体评估指导监督运营合规价值实现风险可控数据管理体系战略和方针方案和规划绩效和符合性数据价值实现将成为公司治理的评估维度环境促成要素文化人员技术2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会大数据环境下，数据资产概念得到确认，如何使用和运作该项资产，成为大数据治理区别与传统将数据仅作为控制对象看的管理域。治理相关标准和概念治理相关标准和概念大数据时代的数据治理大数据时代的数据治理治理主体评估指导监督运营合规价值实现风险可控数据管理体系PDCA战略和方针方案和规划绩效和符合性数据价值实现环境促成要素文化人员技术2019中中 国国 数数 据据 智智 能能 管管 理理 峰峰 会会THANK YOU!