信息治理的定义和方法
CIO之家的朋友 veritas

信息的爆炸性增长是我们这个时代最为显著的特征。在这个信息化时代,数据量、数据用途、数据源数量以及数据传播的路径都呈指数级增长。这种增长也创造了数据定义、收集、访问、处理和管理信息等一系列新行业。

在这样的环境下,大家都充分认识到信息管理的重要性,但具体落实到如何攻克这个艰巨任务上,人人都难有把握。

如今的企业都面临着所收集、处理和存储数据的数量和种类的巨大增长。遗憾的是,大多数企业都不了解自己所处理的数据类型以及数据价值。这就意味着,企业无法妥善使用或维护数据。因此,他们往往因无法妥善管理数据而错失了更好的发展。

企业还可能因不良的数据管理遭受重大的财务、法律和声誉损失。不过,信息治理可帮助企业摆脱这种命运。

所以,究竟什么是信息治理 (IG),它在当今的业务环境中起到什么作用?本指南旨在浅析信息治理——以业务流程和合规为重心的新兴数据管理领域。

何为信息治理 (IG)?

信息治理指的是以战略性方法最大限度挖掘数据价值,管控企业信息创建、使用和共享的相关风险。它将信息当做企业资产,要求从上到下实施监督和协调以落实信息的问责制、保护、完整性以及适当保留。

信息治理旨在打破藩篱,消除信息管理的碎片化,确保信息治理高度可靠,企业能从管理信息的流程、技术和人员身上获得投资回报。

信息治理的定义多种多样,但 Gartner 的定义得到的认可度最高。它认为,信息治理是一个问责制框架,旨在约束创建、评估、使用、归档、删除和存储信息的行为。它包含各种标准和指标、角色和策略以及流程,确保信息得到高效利用,推动企业实现自己的业务目标。

信息治理流程可帮助管理信息记录的使用,例如客户信息、员工记录、医疗记录和知识产权。贵公司的信息治理专业人士在制定相关策略时应参考领导层和其他关键利益相关方的意见,合理指定员工处理所有企业信息资产的方法。

信息治理的重要目标包括如下几点:

  • 了解和宣传数据资产的价值

  • 有效解决任何数据相关问题,创建流程以防止未来出现数据泄露

  • 强制员工遵守信息治理相关的标准和策略

  • 定义和批准数据战略、标准、策略以及相关的指标和过程

  • 与相关方明确交流数据策略

  • 支持、跟踪和监督数据管理项目的交付

信息治理框架

为帮助清晰定义信息治理的目标和流程,您可制定框架以正式阐述企业的信息治理方法。该框架要概述整体方法并从“对象、内容、位置、时间、方法和原因”等 6 个维度解答问题。

您应根据企业的独特需求定制框架,不过至少定义如下探讨领域:

  1. 范围:它将确定您的信息治理计划范围,包括明确罗列整体目标、该计划将管理的数据类型以及哪些员工可帮助实现这些目标。

  2. 政策和流程:该框架需定义整个信息治理计划相关的整体公司政策和流程,包括数据安全性、数据保留、处理计划、记录管理、信息共享政策以及隐私。

  3. 角色和职责:该框架应定义信息治理计划的基本功能,包括具体部门和员工在信息整合和实施过程中应承担的职责。

  4. 内外部数据管理:信息治理框架应定义企业及员工如何管理具体的数据。相关部分包括条例合规性、个人信息管理、可接受的内容类型、信息的共享方式以及数据的存储和归档方式。

它还应作为重要方针,指导企业如何操作信息以及如何与合作伙伴、利益相关方和供应商共享信息。您的框架还应定义企业制定用于三方信息共享的策略和流程,信息治理流程如何影响合同义务,以及如何确定合作伙伴和第三方是否达到信息治理目标。

此外,框架还应明确概述发生数据泄露事件时的应对流程,包括如何报告违规和信息泄露事件、灾难恢复流程、事件管理细节、业务连续性战略以及如何审计这些灾难恢复和业务连续性流程。

最后,您的框架应大致阐述连续监控的流程,包括信息治理流程质量保障的计划,例如如何监控信息访问、衡量合规性、开展风险评估、维持适当的安全性以及整体审查信息治理计划。

信息治理 VS 数据治理

很多人和企业都将信息治理和数据治理混为一谈。尽管这两者都是企业实现业务目标道路上的必要课题,两者之间也存在一些重叠,但它们并不完全相同。

信息治理的目的是让企业从数据资产中挖掘业务价值。它指的是企业用于实现信息价值最大化,同时将风险和成本降到最低水平的活动和技术。

数据治理则是指在业务部门级别对信息进行控制,确保数据准确且可靠。它是一个涉及管理数据使用性、可用性、完整性和安全性的过程。

简而言之,数据治理旨在防止混入信息垃圾,而信息治理指的是您在使用数据时所做出的决策。

下文是这两个领域涉及的一些活动示例,有助于我们说明差别。

  • 数据治理包括管理元数据、数据操作、数据管理、数据体系结构、数据质量和主数据。

  • 另一方面,信息治理则涉及企业数据生命周期管理。它包括一系列活动和流程,例如个人信息交换、监管合规审计、记录、保留计划、电子发现和数据隐私保护。

数据治理是 IT 部门的责任,而信息治理的范畴更广。信息治理可解决数据使用和数据保留相关的业务和合规需求,它可在企业管理过程中起到战略方针的作用。

信息治理和数据治理双管齐下就构成了企业信息管理实务,帮助企业交付更高的业务价值。

为何信息治理如此重要?

信息对于企业而言,是一项不可或缺的重要资产。缺少信息,业务运营就如纸上谈兵。因此,企业积极投资流程、技术和人力,确保信息可以推动企业向前发展。

由于信息创建、使用、保护和共享涉及巨额的投资,因此企业将信息视为一项业务资产,但不同于运营业务所需的设备、建筑物和财务资源。

监督和管理信息资源或资产是所有企业治理的主要目标。此外,与其他资产一样,信息也要假以管理之手,确保您以负责任方式利用信息价值并管控相关风险。

信息治理可让企业以有理有据的方式管理信息相关风险和价值。

信息治理仍是一个新兴领域,因此围绕它在业务流程中的角色仍存在诸多疑问。不过,信息治理计划如妥善实施,则有助于企业:

  • 支持业务需求、工作重心以及战略目标,具体取决于企业文化、可用资源以及利益相关方参与程度等因素

  • 避免数据泄露

  • 实现监管合规并减少相关风险,例如罚款

  • 改进数据分析能力

  • 提高企业商务智能的投资回报率

  • 建立对外包 IT 和激增系统的控制

  • 增强员工对关键信息策略的认识

  • 降低信息存储和电子发现的成本(文本发现技术)

以医疗行业为例,它面临的难题在于时时刻刻的变化,例如治疗手段、付款模式、与他人合作的要求、新的客户期望、技术和不断出台的法规,因此信息治理比以往任何时候都重要。因此,对于医疗和相关机构而言,信息治理是保障信息可靠并运用信息解决各种需求的最好方法。

信息治理有助于您根据企业需求而非技术来做出信息决策。它还杜绝了意外的决策者(偶然在数据周期某个特定时刻拥有数据的人),因为他们倾向于不顾其他利益相关者的需求而独自做出决策。

如何入门

为寻找开启信息治理计划的最佳入手点,您必须寻找一条出路,以可靠的信息和数据支持企业的战略工作。

企业通常秉持自己的愿景和使命,以此为指导方向,开展业务并制定战略来实现目标。因此,仔细审视这些业务战略和目标,从中找出开启信息治理计划的着手点和方法。

没有信息,您就无法实现任何目标,因此开启信息治理计划的最佳入手点是运用信息找出需要解决的问题(痛点),甚至是可降本创收的机遇。

这种战略联合方法意味着,您应在以企业目标为终点的大布局战略中整合信息治理需求。您的目标可能是广泛而多样的,例如更好地管理空间(房地产),通过收购和整合其他业务来扩展服务范围,创建新的客户服务协议或降低成本。

信息治理规定了信息各方面操作的责任和权利,决策权则规定了数据所有权以及拥有决策权的对象。

因此,定义了所有者和决策者,也就分配了数据决策的职责和责任,这可能是创建信息治理策略时要落实的基本概念。问责制也必不可少,因为数据的依赖关系日益增长,您可以默认做出业务决策,通常是选择最简单的路径,而且排除其他考虑因素。

关键信息治理领域

创建信息治理策略时应考虑如下几个关键领域:

使用策略:明确定义的策略应包含各种安全风险,特别详细指明可以访问数据的对象以及在哪些情况下可访问数据。

问责制:您应开设一个职位,例如首席数据官,或专门指定一个部门来制定标准策略,确保安排专人负责数据处理策略。

记录管理:大型企业每年的存储数据量可能高达 10PB,相应的存储成本也十分高昂。您可通过信息治理识别和存储有价值的数据,从而大幅节省存储成本。

合规:法律、业务需求和监管需求决定了企业如何保存信息。因此,您应根据法律、监管和业务要求,按照制定的生命周期计划删除相应数据。

教育:最后一点,与所有其他公司政策一样,对员工、合作伙伴和供应商开展信息治理计划的相关培训,这样才能算作完整的计划。

技术:完整的信息治理计划还可解决 IT 管理问题。它可为 IT 专家提供相关策略,例如创建存储层次结构或获取适当放宽或收窄的访问权限方案。

信息治理的优势

  • 数据更安全。有效的信息治理策略可从安全角度创建规则、标准、规定和责任,保证数据安全无虞。

  • 信息治理可通过智能信息共享促进生产协作,提高工作效率。

  • 降低成本。清晰的信息治理策略可更好地识别所存储的数据、存储的介质以及存储时长,从而助力企业进一步节省成本。它还可以减少不必要的重复劳动。

  • 高效访问数据。数据在信息治理的清晰策略下得到合理分类、保护和支持,让您轻松访问有用且有意义的数据。

  • 风险管理。信息策略可对数据进行分类,有助于您从数据高安全性角度出发,根据数据类型控制相应风险。

  • 业务情报。开发人员和营销人员可高效轻松访问数据访问趋势和历史记录,从而做出更明智的决策。

  • 生命周期效率。信息治理可消除数据孤岛,这意味着您可在整个生命周期充分挖掘数据价值。

  • 合规。数据如果未经分类,而且无法随时随地按需访问,那么收集数据以应对监管要求简直就是噩梦一场。

  • 信息治理可显著减少诉讼和数据发现的成本。它可轻松识别和访问监管需求的相关数据,实现快速而全面的电子发现。

  • 信息治理可改进决策流程,提高业务敏捷性。它概述了企业如何实现信息的随时高可用性,有助于减轻企业不同部门之间的各自为政和官僚主义风气。

  • 缩短后的销售周期可提高盈利能力。

  • 帮助企业改善客户体验。信息治理设定了企业整理、分类和访问信息方式的标准。

  • 信息治理可尽量减少信息量或文档版本,让信息更易存储和访问,提高员工的工作效率。

信息治理法规

随着企业数据量的持续增长,技术创新不断拓宽业务功能,相继出台的条例对信息治理流程提出严苛的规定和要求也逐渐成为常态。监管条例的出台是保护数据安全和隐私的必要举措,因为个人身份信息 (PIN) 最近已成为网络犯罪分子和黑客的主要攻击目标。

隐私法开始在全球范围内扩散开来,为企业和公民带来了新的信息安全治理义务。很多行业都开始受到条例约束,按照规定,他们应在法定的最短保留期间内保存电子通信和记录的全部内容。这些条例包括联邦机构的指令,例如司法、环保局或证劵交易委员会。

监管报告要求还规定企业提供详细的年度合规报告。企业必须通过完善的业务记录管理流程来证明自己合规。

此外,《海外反腐败法》等合规条例要求企业证明自己的信息治理计划和记录真实可靠。

有关数据安全性、记录管理和数据保留的大量现行行业和政府要求都会影响到企业的信息治理战略。下文罗列了在美国营业的企业组织须知的一些基本法规。

  • 2002 年《萨班斯-奥克斯利法案》(SOX):这是一项适用于所有上市公司的重要法规。SOX 将记录管理实践标准化,无一例外。它要求企业对风险管控流程和企业财务记录实施控制。它还规定企业必须至少保留 5 年的业务记录。

  • 《健康保险携带与责任法案》(HIPAA):它适用的对象是医疗提供商、健康信息机构以及存储、管理和传输受保护健康信息的其他业务伙伴和实体。

  • 《联邦记录法》(44 USC 31) 和相关法规:要求联邦机构创建记录其所有业务活动的完整纪录。他们还应将记录备案,实现记录的安全存储、高效检索和适当处置。

  • 《格雷姆-里奇-比利雷法案》(GLBA):它规定金融机构必须保护客户的不公开个人信息。他们必须安全存储金融记录,待到这些记录不再需要后给予销毁,以防落入他人之手。

  • 《美国海外账户税收合规法案》(FATCA)

  • 《支付卡行业数据安全标准》(PCI-DSS)

  • 《联邦民事诉讼规则》

衡量信息治理进度

信息治理成熟度模型和信息治理参考模型等评估工具可帮助企业衡量自己的信息治理进度。信息治理参考模型带来一款工具,有助于企业、行业协会、分析公司和其他相关方就信息治理计划的进度、实践和责任与利益相关方进行沟通。

另一方面,信息治理成熟度模型以 ARMA 的八个一般公认记录保留原则为构建基础。该成熟度模型分别定义了从低于标准到信息治理转型等各级记录保留计划的特征。企业的目标是达到最高的转型级别,在这个级别,信息治理战略整合到整个企业基础架构或业务流程中,帮助企业控制成本、改善客户服务体验并提高竞争优势。

总结

信息治理规定了信息各方面操作的责任和权利,包括创建、评估、使用、存储、删除和归档。要高效使用数据,信息治理应包括推动企业达到目标的策略、目的、流程和标准。

信息治理为企业带来了巨大的利益和价值,随着数据集和存储量的不断增长以及监管条例的不断出台,这一点尤为突出。完善的信息治理战略的制定和实施可帮助企业确保数据可用、控制成本、减轻网络风险以及应对监管难题。立即踏上信息治理之旅,避免企业出现安全泄漏事件或面临诉讼、审计失败或声誉损失。


CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢