央行近日发布《金融业数据能力建设指引》,规定了数据战略、数据治理、数据架构、数据规范、数据保护、数据质量、数据应用、数据生存周期管理能力域划分,明确了相关能力项,提出了每个能力项的建设目标和思路,旨在为金融机构开展金融数据能力建设提供指导。
附《指引》全文
前言
本文件按照GB/T1.1-《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国人民银行提出。
本文件由全国金融标准化技术委员会(SAC/TC)归口。
1范围
本文件规定了数据战略、数据治理、数据架构、数据规范、数据保护、数据质量、数据应用、数据生存周期管理能力域划分,明确了相关能力项,提出了每个能力项的建设目标和思路。
本文件适用于指导金融机构开展金融数据能力建设。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
JR/T—中国金融移动支付支付标记化技术规范
JR/T—个人金融信息保护技术规范
JR/T—多方安全计算金融应用技术规范
JR/T—金融数据安全数据安全分级指南
3术语和定义
下列术语和定义适用于本文件。
3.1能力域capabilityarea
数据管理相关活动、过程等以及一组相关数据能力子域的集合。
3.2数据战略datastrategy
组织开展数据工作的愿景、目的、目标和原则。
3.3数据治理datagovernance
对数据进行处置、格式化和规范化的过程。
注:1.数据治理是数据和数据系统管理的基本要素。
2.数据治理涉及数据全生存周期管理,无论数据是处于静态、动态、未完成状态还是交易状态。
3.4数据质量dataquality
在特定条件下使用时,数据特性满足明确要求及隐含要求的程度。
3.5数据生存周期datalifecycle
将原始数据转化为可用于行动的知识的一组过程。
3.6主数据masterdata
企业中需要跨系统、跨部门进行共享的核心业务实体数据。
3.7参考数据referencedata
对其他数据进行分类和规范的数据。
4缩略语
下列缩略语适用于本文件。
PEST:宏观环境分析模型(PoliticsEconomySocietyTechnology)
SWOT:企业战略分析法(StrengthsWeaknessesOpportunitiesThreats)
TCO:总拥有成本(TotalCostofOwnership)
5能力域与能力项
金融数据管理能力划分为8个能力域和29个能力项(见下表)。
能力域及能力项表
6基本原则
金融业数据能力建设遵循以下基本原则:
——用户授权。明确告知用户数据釆集和使用的目的、方式以及范围,确保用户充分知情,获取用户自愿授权后方可采集使用,严格保障用户知情权和自主选择权。
——安全合规。遵循国家法律法规、管理制度,符合国家及金融行业标准规范,建立健全数据安全管理长效机制和防护措施,通过技术手段将原始信息脱敏,并与关联性较高的敏感信息进行安全隔离、分散存储,严控访问权限,严防数据泄露、篡改、损毁与不当使用,依法依规保护数据主体隐私权在数据管理与应用过程中不受侵害。
——分类施策。综合考量国家安全、公众权益、个人隐私和企业合法利益等因素,根据数据的保密性、完整性、可用性等属性受到破坏后的影响对象和影响程度,对数据进行分级分类管理。对不同级别数据进行分类施策,釆取差异化控制措施,实现数据精细化管理。
——最小够用。规范数据使用行为,严控数据获取和应用范围,确保数据专事专用、最小够用,杜绝过度采集、误用、滥用数据,切实保障数据主体的数据所有权和使用权。
——可用不可见。建立数据规范共享机制,在保障原始数据可用不可见的前提下规范开展数据共享与融合应用,保证跨行业、跨机构的数据使用合规、范围可控,有效保护数据隐私安全,确保数据所有权不因共享应用而发生让渡。
7数据战略
7.1数据战略规划
7.1.1概述
数据战略规划是基于金融机构对数据的需求,经相关方充分协商达成一致后拆解出可评估、可衡量、可操作的目标,最终形成数据战略内容的过程。数据战略具有一定前瞻性和统领性,内容覆盖数据管理工作愿景、目标、原则、任务、路径等要素,做到内容全面、目标合理、范围明确、路径清晰,可操作性强,能够指导未来一段时间有效开展数据管理工作。
7.1.2工作措施
数据战略规划釆取的工作措施包括但不限于:
a)开展数据战略需求评估,全面考量法律法规、行业监管要求、金融机构业务发展规划、金融科技发展趋势等对数据的需求,并将数据战略列入金融科技发展故略中,
b)对当前和未来面临内外部形势开展分析评估和研判。
c)识别数据战略的相关方,包括行业主管部门、股东、职员、客户、业务合作伙伴等。数据战略为相关方充分协商并达成一致的结果。
d)由董事会负责制定数据战略。
e)至少考量以下数据战略内容:
1)愿景陈述,包括数据管理的原则、目的和目标。
2)规划范围,包括重要业务领域、数据范围。
3)现状分析,包括企业当前数据管理现状及与目标存在的差距。
4)主要工作任务和优先级。
5)所选择数据管理模型和建设方法。
6)战略相关方名单。
7)管理层和相关职能部门具体责任和工作任务分工。
8)相关保障措施。
9)量化考核机制。
10)持续优化路线图。
f)将数据战略形成文档,并经审批后以正式文件发布。
g)根据法律法规、监管政策、业务战略、金融科技发展等方面的要求,持续优化改进数据战略。
h)运用PEST、SWOT等方法对宏观环境进行全面分析。
i)以股东大会表决等形式审批数据战略,确保获得企业内广泛认可。
J)通过数据战略的发布,带动形成良好的数据文化。
7.2数据战略实施
7.2.1概述
数据战略实施是按照既定目标和路线持续执行数据战略工作任务的过程,做好工作任务责任分解和措施保障,强化过程监督管理,确保达成预期目标。
7.2.2工作措施
数据战略实施釆取的工作措施包括但不限于:
a)落实数据战略实施过程中的组织、资金、制度、人才等保障措施。
b)做好数据战略实施过程中的工作计划和中长期规划,有序开展数据战略实施。在实施过程中定期总结,及时对照修正偏差。
c)明确实施过程中的领导机构和牵头部门以及具体负责部门的职责分工,做好工作任务分解落实。
d)由监事会对数据战略的实施过程进行有效监督,强化目标管理与工作考核。
e)强化数据战略实施组织保障.如设立专职负责数据管理的部门和岗位等。
7.3数据战略评估
7.3.1概述
数据战略评估是在数据战略实施期间和实施后,对照目标和实施情况全面综合评价数据战略实施的效果,并进行闭环反馈。
7.3.2工作措施
数据战略评估釆取的工作措施包括但不限于:
a)针对数据战略实施建立系统完整的评估准则,明确评估方法。
b)定期对数据战略实施情况进行评估。
c)根据评估结果对数据战略逬行持续优化,指导数据管理工作的有效开展。
d)采取量化分析方法或统计方法,从成本、效益、时间、风险等角度对企业整体的数据战略实施情况开展成本效益评估。
e)构建专门的数据管理TCO方法,衡量评估数据管理工作的切入点和实施基础的变化,并调整资金预算。
f)编制并发布数据管理资金预算报告。
g)定期对数据能力建设情况进行评估。
8数据治理
8.1组织建设
8.1.1概述
组织建设包括组织架构、岗位设置、团队建设、数据责任等内容,是各项数据职能工作开展的基础。其目标是对数据管理和应用进行职责规划与控制,指导各项数据职能的执行,以确保有效落实数据战略目标。
8.1.2工作措施
数据治理组织建设采取的工作措施包括但不限于:
a)管理层负责数据治理工作相关决策,参与数据治理相关工作。
b)明确统一的数据治理归口部门,负责组织协调各项数据职能工作。
c)明确数据工作人员的岗位职责。
d)制定数据治理工作的评价标准,建立人员奖惩制度。
e)建立健全覆盖管理、业务和技术等方面人员的数据责任体系,明确各方在数据管理过程中的职责。
f)定期进行培训和经验分享,不断提高数据治理能力。
g)建立覆盖管理、技术、运营等的复合型数据团队。
h)建立适用于数据工作相关岗位人员的量化绩效评估指标,评估相关岗位人员绩效,并发布考核结果。
8.2制度建设
8.2.1槪述
制度建设是数据管理和数据应用各项工作有序开展的基础,是数据治理的依据。制度建设分层次设计,遵循严格的发布流程,并定期检査和更新。
8.2.2工作措施
数据治理制度建设釆取的工作措施包括但不限于:
a)建立科学的数据制度框架。
b)建立全面、有效的数据管理和数据应用机制。
c)建立完备的数据制度体系,保障数据治理工作的规范性和严肃性。
d)根据实施情况对数据制度进行持续修订,保障制度有效性。
e)定期开展数据制度相关培训和宣传。
f)业务人员积极参与数据制度的制定。
g)数据制度的制定符合监管、合规要求。
h)量化评估数据制度的执行情况。
8.3流程规范
数据治理流程规范采取的工作措施包括但不限于:
a)建立规范的数据治理流程,规定具体的工作步骤以及各环节主要活动。
b)明确数据治理流程中各参与人员工作任务,并有效执行。
c)建立完善的数据治理流程管理机制,用以指导数据治理流程的修订,保障流程有效性。
d)业务人员积极参与数据治理流程的制定,并有效推动业务工作的开展。
e)数据治理流程的制定参考行业先进案例,体现未来业务发展的需要。
8.4技术支撑
8.4.1概述
技术支撑是指为开展数据治理工作而建设的相关系统或平台。
8.4.2工作措施
数据治理技术支撑采取的工作措施包括但不限于:
a)对数据治理系统或平台进行整体建设规划。
b)将数据治理相关组织、制度、流程落实到系统或平台当中,以规范数据治理工作流程,提高数据治理工作效率。
c)业务人员充分运用系统或平台开展数据治理各领域工作。
d)明确数据治理系统或平台的规划、建设和运维责任部门。
e)数据治理系统或平台建设参考行业先进案例,充分满足数据治理各领域工作开展的需要。
f)针对数据治理系统或平台建立科学的效能评价体系,对系统或平台使用效能进行量化评估,不断完善其功能。
9数据架构
9.1元数据管理
9.1.1槪述
元数据管理是关于元数据的创建、存储、整合、控制等一整套流程的集合。
9.1.2工作措施
元数据管理采取的工作措施包括但不限于:
a)根据业务、管理、应用等方面的需求,对元数据进行分类,建立元数据标准,保障元数据的互操作性。
b)建立集中的元数据存储库,统一管理多个业务领域及应用系统的元数据。
c)制定和执行贯穿数据生存周期的元数据集成和变更流程,实现元数据釆集和变更规范化管理。
d)制定和执行统一的元数据应用需求管理流程,实现元数据应用需求的规范化管理。
e)通过服务、接口等方式实现各类元数据内容在应用系统之间共享使用。
f)定义并应用量化指标,衡量元数据管理工作的有效性。
g)建立元数据间的关联关系,并通过可视化形式展现。
h)在满足用户授权、安全合规、最小够用等前提下,实现跨机构、跨行业的元数据共享、交换和应用。
9.2数据模型
9.2.1概述
数据模型使用结构化的语言将收集到的业务经营、管理和决策中使用的数据需求进行综合分析,并按照模型设计规范将数据需求重新组织。数据模型分为企业级数据模型和系统应用级数据模型。企业级数据模型包括主题域模型、概念模型和逻辑模型,系统应用级数据模型包括逻辑模型和物理模型。
9.2.2工作措施
数据模型采取的工作措施包括但不限于:
a)对应用系统的数据现状进行全面梳理,了解当前存在的问题并提出解决办法。
b)分析相关方的数据需求,至少包括系统的分析应用需求、内部组织战略和合规需求、行业监管需求、跨机构互联互通需求。
c)制定企业级数据模型开发规范,指导企业级数据模型的开发和管理.
d)建立覆盖业务经营、管理和决策数据需求的企业级数据模型。
e)使用企业级数据模型指导系统应用级数据模型的设计,并设置相应的角色进行管理。
f)建立企业级数据模型和系统应用级数据模型的映射关系,并根据系统的建设定期更新企业级数据模型。
g)基于数据模型建立统一的数据资源目录,实现数据资源的统一管理。
h)根据数据变化情况持续维护、发布数据资源目录。
i)使用企业级数据模型,指导和规划整个企业应用系统的投资、建设和维护。
j)建立企业级数据模型和系统应用级数据模型的同步更新机制,确保一致性。
k)及时跟踪、研判内外部数据需求变化趋势,持续优化企业级数据模型。
9.3数据分布
数据分布釆取的工作措施包括但不限于:
a)在企业层面制定数据分布关系管理规范,统一数据分布关系的表现形式和管理流程。
b)梳理数据与业务流程、组织机构、系统之间的分布关系,形成数据分布关系库。
c)梳理数据的权威数据源,对每类数据明确合理的唯一管理主体、信息釆集和存储系统,减少重复采集,降低数据冗余。
d)根据数据分布关系对数据相关工作进行规范。
e)根据业务流程和系统建设情况,定期维护和更新数据分布关系库。
f)通过数据分布关系的梳理,員化分析数据相关工作的业务价值。
g)通过数据分布关系的梳理,优化数据的存储和集成关系。
h)实现数据分布关系管理流程的自动优化,提升管理效率。
9.4数据集成
数据集成釆取的工作措施包括但不限于:
a)建立数据集成规范管理制度,明确数据集成管理的原则、方式和方法。
b)形成数据集成管理标准,实现内部数据规范整合与有序流转。
c)建设数据集成管理平台或工具,实现数据统一釆集与集中管理。
d)对新建系统的数据集成方式进行检査,确保统一性和规范性.
e)具备持续优化和提升数据集成管理的能力。
10数据规范
10.1数据元
10.1.1概述
数据元是由一组属性规定其定义、标识、表示和允许值的数据单元。通过制定核心数据元的统一规范,提升数据相关方对数据理解的一致性。
10.1.2工作措施
数据元管理采取的工作措施包括但不限于:
a)建立内部数据元管理规范,明确数据元的管理流程。
b)基于国家和金融行业相关制度、规范,建立健全内部数据元规范体系。
c)制定完整的规范落地方案,并发布数据元的统一目录,提供统一的查询方法。
d)定期开展数据元规范落地执行情况分析,形成分析报告,并对相关问题进行处理和跟踪。
e)定期组织开展数据元应用相关培训。
f)发布数据元管理报告,汇总数据元管理工作的进展。
g)对数据元管理过程进行监控分析,支持数据元信息定期更新,实现数据元髙效有序管理。
h)制定各部门数据元管理工作的考核体系,生成数据元管理考核报告。
10.2参考数据和主数据
10.2.1概述
参考数据是一组增强数据可读性、可维护性、可理解性的数据集合。借助参考数据可实现对其他数据的合理分类。
主数据是企业中需要跨系统、跨部门共享的核心业务实体数据。主数据管理是对主数据规范和内容进行管理,实现主数据跨系统、跨部门的一致、共享使用。
10.2.2工作措施
参考数据和主数据管理采取的工作措施包括但不限于:
a)制定参考数据和主数据的管理流程,规范参考数据和主数据的应用。
b)实现企业级参考数据和主数据的统一管理、展现和使用。
e)制定企业内部各参考数据和主数据的数据规范,并在企业内部发布。
d)制定编码规则和数据模型,定义参考数据和主数据唯一标识的生成规则、组成部分及其含义。
e)识别参考数据值域和取值范围。
f)明确参考数据和主数据管理部门和可信数据源,保障参考数据和主数据的数据质量和使用效果。
g)保持各应用系统中的参考数据和主数据与企业级的参考数据和主数据一致。
h)新建项目的过程中,统一分析项目与企业内部己有的参考数据和主数据的数据集成问题。
i)建立参考数据和主数据相关的质量规则,分析、跟踪并推动解决各应用系统中参考数据和主数据的数据质蛍问题。
j)建立参考数据和主数据管理的资源库。
k)优化参考数据和主数据的管理规范和管理流程,并支持参考数据和主数据信息定期更新,实现参考数据和主数据高效有序管理。
l)制定各部门参考数据和主数据管理工作的考核评价体系。
m)定期生成、发布参考数据和主数据管理工作的考核报告。
10.3明细数据
10.3.1概述
明细数据是日常生产经营等活动中直接产生或获取的未经任何加工的初始数据。
10.3.2工作措施
明细数据管理采取的工作措施包括但不限于:
a)制定统一的明细数据管理规范、细则等制度文件,规范企业层面的明细数据管理流程,明确明细数据管理要求,包括质量要求、安全要求等。
b)根据企业业务管理需求,制定企业内明细数据主题域分类。
c)根据企业业务战略需求、行业监管要求建立统一的明细数据资源目录。
d)遵循统一的业务规则、技术规范,建立企业层面的明细数据规范。
e)明确各类明细数据的管理部门,进行明细数据的管理。
f)对明细数据相关问题进行处理和跟踪。
g)定期分析明细数据规范执行情况,形成分析报告,不断完善明细数据规范。
h)结合企业业务情况,根据国家和金融行业相关制度规范,优化完善明细数据规范。
i)定期发布明细数据及其规范管理报告,阶段汇总明细数据管理工作的进展。
j)制定明细数据及其规范的考核体系。
k)通过量化分析的方式对明细数据及其规范的管理过程进行考核。
l)定期发布明细数据及其规范管理工作考核报告。
10.4指标数据
10.4.1概述
指标数据是在经营分析过程中衡量某一个目标或事物的数据,由明细数据按照统计需求和分析规则加工生成,一般由管理属性、业务属性、技术属性等组
10.4.2工作措施
指标数据管理采取的工作措施包括但不限于:
a)制定统一的指标数据管理规范、细则等制度文件,规范企业层面的指标数据管理流程,明确指标数据的管理要求,包括质量要求、安全要求等。
b)根据企业业务管理需求制定企业内指标数据分类管理框架,保证指标分类框架的全面性和各分类之间的独立性。
c)根据指标数据的数据、接门规范等,由相关部门或应用系统定期进行数据的采集、生成。
d)对指标数据进行授权访问,并根据用户需求进行数据展示。
e)对指标数据釆集、生成过程进行监控,保证指标数据的准确性。
f)对各部门的指标数据进行统一汇总和梳理,形成企业层面的指标数据字典并发布。
g)根据企业的业务战略需求、行业监管要求建立统一的指标数据资源目录。
h)遵循统一的业务规则、技术规范,在企业层面建立指标数据规范。
i)明确各类指标数据的归口管理部门,负责相应指标数据的管理。
j)对指标数据相关问题进行处理和跟踪。
k)定期分析指标数据规范执行情况,形成分析报告,不断完善指标数据规范。
l)建立指标数据价值评价体系,包括质量、标准、应用频次、依赖車要性等。
m)结合企业业务情况,根据国家和金融行业相关制度规范,优化完善指标数据规范。
n)定期发布指标数据及其规范管理报吿,阶段汇总指标数据管理工作的进展。
o)制定各部门指标数据及其规范的考核体系。
p)通过量化分析的方式对指标数据及其规范的管理过程进行考核。
q)定期发布指标数据及其规范管理工作考核报告。
11数据保护
11.1数据保护策略
11.1.1概述
数据保护策略是数据保护的核心内容,在制定的过程中结合企业管理需求、行业监管要求以及相关制度规范等统一制定。
企业在制定数据保护策略的过程中需要了解、掌握行业监管要求,并根据企业对数据保护的业务需要,定义企业数据保护管理的目标、原则、制度、管理组织、管理流程等,制定适合的数据保护标准,确定数据保护等级及覆盖范围等,建立数据保护管理策略,指导数据保护管理及相关工作,为企业的数据保护管理提供保障。
11.1.2工作措施
数据保护策略釆取的工作措施包括但不限于:
a)制定数据保护规范与策略相关的管理流程,并以此指导数据保护规范和策略的制定。
b)依据法律法规、行业规章制度以及相关规范的基本要求,建立统一的数据保护规范以及策略并正式发布。
c)识别数据保护相关方,并明确数据保护相关方在数据保护管理过程中的职责。
d)在数据保护规范与策略制定过程中能够识别企业内外部的数据保护需求,包括法律法规、行业监管的要求。
e)建立针对数据收集、传输、存储、使用、删除、销毁等全生命周期的安全保护策略。
f)依据法律法规、行业规章制度以及相关规范的基本要求,建立个人金融信息保护策略。
g)针对数据保护,建立相应的风险监测机制、风险评估机制、应急处置机制、风险事件通报机制。
h)根据JR/T-相关要求,依据合法合规、可执行性、时效性、自主性、差异性、客观性等原则,建立统一的数据分级分类管理制度。
i)釆用或提供云服务时制定相应的数据保护策略。
j)定期开展数据保护规范和策略相关教育培训和宣传工作。
k)梳理和明确有关法律法规行业规章制度以及相关规范等关于数据保护方面的要求列表,并与企业的数据保护规范和策略逬行关联。
l)根据内外部环境的变化定期优化完善数据保护规范与策略。
11.2数据保护管理
11.2.1概述
数据保护管理是通过开展数据保护等级划分、数据访问权限控制、用户身份认证和访问行为监控、数据安全风险防护、数据隐私保护等管理工作,满足数据保护的业务需求和监管要求,实现对数据生存周期的安全管理。
11.2.2工作措施
数据保护管理采取的工作措施包括但不限于:
a)依据保护策略对数据进行全面的等级划分,清晰定义每级数据的保护需求,明确保护需求的责任部门。
b)根据行业监管对数据保护的要求明确定义数据范围。
c)围绕数据生存周期,了解相关方的数据保护需求,并对数据进行严格的使用授权和保护。
d)能对数据生存周期进行风险监控,及时了解可能存在的风险隐患。
e)通过数据脱敏、加密、过滤等手段,保证数据安全和数据隐私。
f)定期开展数据安全风险分析活动,明确分析要点,制定风险预案并监督实施.
g)定期汇总、分析企业内部的数据风险问题,并形成数据保护知识库。
h)定期开展数据保护相关培训和宣传,提升人员数据保护意识。
i)数据保护管理工作符合相关法律法规、规章制度以及金融行业规范等。
j)依据保护策略提供数据收集、传输、存储、使用、删除、销毁等全生命周期的保护。
k)采用或提供云服务时依据数据保护策略提供数据保护。
l)依据个人金融信息保护策略开展数据隐私保护。
m)建立涵盖密钥生成、存储、备份、恢复、更新、有效期变更、停止使用、撤销、销毁等全生命周期的密钥管理制度,保障数据安全。
n)定义数据保护管理的考核指标和考核办法,并定期考核。
o)定期总结数据保护管理工作,在企业层面发布数据保护管理工作报告。
p)对重点数据的风险控制可落实到字段级,明确核心字段的保护等级和管控措施。
q)能主动防范数据风险,并对己发生的数据风险问题进行溯源和分析。
r)建设自动化工具或平台,实现对数据保护管理工作的自动化支持能力。
11.3数据保护审计
11.3.1概述
数据保护审计是一项控制活动,负责定期分析、验证、讨论、改进数据保护管理相关的策略、规范和活动。审计工作可由企业内部或外部审计人员执行,并且审计人员独立于审计所涉及的数据和流程。
11.3.2工作措施
数据保护审计釆取的工作措施包括但不限于:
a)评审数据保护规范与策略是否满足国家法律法规、金融行业规章制度要求,检查数据保护管理规范与策略是否能满足业务需要,以及数据保护管理的措施是否能按照数据保护管理规范与策略的要求进行。
b)在企业层面规范、统一数据保护审计的流程、相关文档模板和规范,并征求相关方意见。
c)制定数据保护审计计划,评审企业数据保护等级的划分情况,评审数据保护管理肉位、职责、流程的设置和保护审计计划的执行情况,定期发布数据保护审计报告。
d)针对合规性审计、日志审计、网络行为审计、主机审计、应用系统审计、集中操作运维审计分别提出要求,并开展审计工作。数据保护审计覆盖全部重要节点、环节、用户,审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的相关事件。
e)审计记录至少包括事件的口期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。对审计数据、分析结果、审计结果(报告)进行保护,定期备份,避免受到意外删除、修改或覆盖等,留存时间符合法律法规等要求。
f)具备审计工具,对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行审计操作,并对这些操作进行审计。对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
g)对云服务提供者和云服务使用者在远程管理时执行的特权命令进行审计,至少包括虚拟机刪除、虚拟机重启、管理员用户行为。
h)根据云服务提供者和云服务使用者的职责划分,实现各自控制部分的审计。
i)建立数据保护审计平台,在发现已定义的潜在风险时可实现自动报警或处置。
j)建立数据保护审计报告管理机制,并跟踪数据保护审计工作开展情况。
k)根据数据保护审计结果对数据保护的管理流程、制度进行优化提升,实现数据保护管理的闭环。
l)数据保护审计成为企业审计工作的重要组成部分,能有效推动数据保护规范和策略的优化及实施。
12数据质量
12.1数据质量需求
12.1.1概述
数据质量需求是根据业务、数据需要制定的一种衡量数据质量的规则,是度量和管理数据质量的依据,包括技术指标、业务指标以及相应的校验方法。数据质量需求符合相关规范,依据数据管理目标、业务管理需求和行业监管要求统一制定和管理。
12.1.2工作措施
数据质量需求釆取的工作措施包括但不限于:
a)深入分析数据质量管理日标、范围、规则等,明确数据质量需求。
b)数据质量需求符合内部管理、行业监管、国家及金融行业标准规范等的相关要求。
c)制定数据质量需求统一模板,明确相关管理规范。
d)建立机制明确各类数据管理人员及相关职责,制定各类数据的优先级和质量管理需求。
e)设计统一的数据质量评价指标体系以及相应的规则库,数据质量评价指标体系的制定符合国家标准、金融行业相关规范。
f)将数据质量需求融入数据生命周期管理的各个阶段.能满足业务发展的需要。
g)定义并应用量化指标,衡量数据质量规则库运行的有效性,持续优化数据质量规则库。
12.2数据质量检查
12.2.1概述
数据质量检査是根据数据质量规则中的技术指标、业务指标、校验方法等对数据质量进行有效监控、发现问题并及时反馈的一种方法。
12.2.2工作措施
数据质量检查采取的工作措施包括但不限于:
a)基于出现的数据问题,开展数据质量检査工作。
b)制定统一的数据质量检査管理制度、流程和工具,明确数据质量检査的主要内容和方式,定义相关人员的职责。
c)明确各个阶段数据质量的检査点、检査模板,强化数据质量检査管理。
d)制定企业级的数据质量检查计划。
e)在企业层面统一开展数据质量的校验,帮助数据管理人员及时发现数据质量问题。
f)在企业层面建立数据质量问题发现、吿警机制,明确数据质量责任人员。
g)采用技术手段开展数据核验,保障共享数据、监管报送数据等的一致性、完整性、真实性。
h)建立数据质量相关考核制度,明确数据质量考核的目标、范围和方法。
i)定义并应用量化指标对数据质量检查和问题处理过程进行有效分析,及时对相关制度和流程进行优化。
j)将数据质量管理纳入业务人员日常管理工作中,主动发现并解决相关问题。
12.3数据质量分析
12.3.1概述
数据质量分析作为数据质量提升的参考依据,通过对检査过程中发现的数据质量问题及相关信息进行分析,找出影响数据质量的原因,并定义数据质量问题的优先级。
12.3.2工作措施
数据质量分析釆取的工作措施包括但不限于:
a)基于出现的数据质量问题开展数据质量分析,明确数据质量问题原因和影响。
b)数据质量分析满足内部管理、行业监管等要求。
c)建立企业级的数据质量问题评估分析方法,制定统一的数据质量报告模板,明确数据质量问题分析的要求。
d)制定数据质量问题分析计划,定期进行数据质量问题分析。
e)对数据质量关键问题的根本原因、影响范围进行分析。
f)定期组织编制数据质量报告并发送至相关方。
g)建立数据质量分析案例库、知识库,提升人员对数据质最的