حکمرانی داده
در عصر تحول دیجیتال، داده به یکی از باارزشترین داراییهای سازمانها تبدیل شده است. تصمیمگیریهای راهبردی، نوآوری در محصولات و خدمات، بهینهسازی عملیات و حتی ایجاد مزیت رقابتی پایدار، همگی به کیفیت، صحت، دسترسپذیری و استفاده مسئولانه از داده وابستهاند. با این حال، افزایش حجم دادهها، تنوع منابع (مانند اینترنت اشیا، کلان داده و رایانش ابری) و حساسیت اطلاعات شخصی و سازمانی، ریسکها و مسئولیتهای جدیدی را برای سازمانها ایجاد کرده است.
در چنین شرایطی، حکمرانی داده (Data Governance) نهتنها یک موضوع فنی یا مدیریتی، بلکه یک موضوع حاکمیتی در سطح هیئتمدیره و بالاترین سطوح تصمیمگیری سازمان محسوب میشود.
حکمرانی داده
- استاندارد ISO/IEC 38505-1 با تکیه بر استاندارد مادر خود یعنی ISO/IEC 38500 حکمرانی فناوری اطلاعات، چارچوبی اصولمحور برای هدایت، نظارت و ارزیابی نحوه استفاده از داده در سازمان ارائه میدهد.
- این استاندارد تأکید میکند که حکمرانی داده با مدیریت داده تفاوت دارد؛ مدیریت داده بر «چگونه انجام دادن» تمرکز دارد، در حالی که حکمرانی داده بر «چه چیزی باید انجام شود و چرا» متمرکز است. از این منظر، حکمرانی داده مسئول تضمین استفاده اثربخش، کارا و قابل قبول از داده در راستای اهداف سازمان و ذینفعان است.
اهداف استاندارد ISO/IEC 38505-1
استاندارد ISO/IEC 38505-1 با رویکردی راهبردی و غیرتجویزی (Advisory & Principles-based) تدوین شده و اهداف کلیدی زیر را دنبال میکند:
هدایت نهاد حاکمیتی سازمان
این استاندارد به اعضای هیئتمدیره و نهاد حاکمیتی کمک میکند تا:
- نقش و مسئولیت خود را در قبال داده بهدرستی درک کنند؛
- بر استفاده فعلی و آینده از داده نظارت مؤثر داشته باشند؛
- اطمینان حاصل کنند که داده در راستای استراتژی سازمان بهکار گرفته میشود
ایجاد اطمینان برای ذینفعان
با پیادهسازی اصول این استاندارد، سازمان میتواند به ذینفعان خود (مشتریان، نهادهای نظارتی، شرکا و جامعه) اطمینان دهد که:
- دادهها بهصورت مسئولانه و ایمن استفاده میشوند؛
- الزامات قانونی، حریم خصوصی و مالکیت فکری رعایت میشود؛
- ریسکهای مرتبط با داده بهطور نظاممند مدیریت میشوند
افزایش ارزش و کاهش ریسک داده
- هدف اصلی حکمرانی داده در این استاندارد، حداکثرسازی ارزش داده همزمان با حداقلسازی ریسکها و پیامدهای منفی ناشی از استفاده نادرست یا ناکارآمد از داده است.
ایجاد زبان و درک مشترک
- استاندارد با ارائه تعاریف، مفاهیم و چارچوبهای مشترک، به ایجاد یک زبان واحد میان مدیران ارشد، متخصصان فناوری، حسابرسان و مشاوران کمک میکند.
اصول استاندارد حکمرانی داده (Principles)
- استاندارد ISO/IEC 38505-1 شش اصل بنیادین حکمرانی را که از ISO/IEC 38500 اقتباس شدهاند، برای حوزه داده بهکار میگیرد:
اصل مسئولیتپذیری (Responsibility)
- مسئولیتها و اختیارات مرتبط با داده باید بهصورت شفاف تعریف و تخصیص داده شوند. هیچ دادهای نباید “بیصاحب” باشد و پاسخگویی نهایی همواره با نهاد حاکمیتی سازمان است.
اصل راهبرد (Strategy)
- استفاده از داده باید همسو با راهبرد کلان سازمان باشد. سرمایهگذاریهای دادهمحور، تحلیلها و ابتکارات دیجیتال باید از اهداف راهبردی پشتیبانی کنند.
اصل تأمین و اکتساب (Acquisition)
- اکتساب، تولید یا استفاده از داده و فناوریهای مرتبط باید بر اساس تحلیل هزینه- فایده، ریسک و ارزش انجام شود، نه صرفاً بر مبنای جذابیت فناوری.
اصل عملکرد (Performance)
- داده باید بهگونهای مدیریت و استفاده شود که عملکرد سازمان را بهبود دهد. کیفیت، بهموقع بودن و تناسب داده نقش کلیدی در این اصل دارند.
اصل انطباق (Conformance)
- استفاده از داده باید با قوانین، مقررات، استانداردها و سیاستهای داخلی سازمان منطبق باشد؛ بهویژه در حوزههایی مانند حریم خصوصی، امنیت و مالکیت فکری.
اصل رفتار انسانی (Human Behavior)
حکمرانی داده باید به جنبههای انسانی توجه کند؛ از فرهنگ سازمانی گرفته تا مهارتها، آموزش و رفتار کاربران داده.
ساختار و مدل استاندارد حکمرانی داده
مدل ارزیابی–هدایت- پایش EDM Model
هسته اصلی چارچوب استاندارد، مدل Evaluate – Direct – Monitor است:
- ارزیابی (Evaluate): بررسی وضعیت فعلی استفاده از داده، فرصتها، ریسکها و فشارهای داخلی و خارجی.
- هدایت (Direct): تعیین سیاستها، راهبردها و اولویتها برای استفاده از داده.
- پایش (Monitor): نظارت مستمر بر انطباق، عملکرد و تحقق اهداف تعیینشده.
این مدل تأکید میکند که اگرچه اجرای عملیاتی به مدیران تفویض میشود، اما پاسخگویی نهایی غیرقابل تفویض است.
نقشه مسئولیتپذیری داده (Data Accountability Map)
- استاندارد چرخهای از مسئولیتهای داده را معرفی میکند که شامل مراحل زیر است:
جمعآوری (Collect)
- داده باید فقط برای اهداف مشخص و مشروع جمعآوری شود و نوع، منبع و سطح حساسیت آن از ابتدا شفاف باشد. در این مرحله تعیین میشود چه دادهای، از چه کسی و با چه مجوزی اخذ میگردد.
ذخیرهسازی (Store)
- دادههای جمعآوریشده باید در محل مناسب، امن و متناسب با سطح ریسک و ارزششان نگهداری شوند. کنترل دسترسی، محل نگهداری (داخلی یا ابری) و دوره نگهداشت در این مرحله تعیین میشود.
گزارشدهی و تحلیل (Report)
- داده به اطلاعات قابل فهم و قابل استفاده برای کسبوکار تبدیل میشود. کیفیت، بهروز بودن و صحت داده در این مرحله مستقیماً بر اعتبار گزارشها و تحلیلها اثر میگذارد.
تصمیمگیری (Decide)
- بر اساس گزارشها و تحلیلها، تصمیمات انسانی یا خودکار اتخاذ میشود. حکمرانی داده تضمین میکند تصمیمها متناسب با سطح اختیار، شفاف و قابل پاسخگویی باشند.
توزیع (Distribute)
- داده یا نتایج تحلیل باید فقط به افراد، سامانهها یا سازمانهای مجاز منتقل شود. نحوه اشتراکگذاری باید با سیاستهای امنیت، حریم خصوصی و قوانین سازگار باشد.
امحاء و حذف (Dispose)
- زمانی که داده دیگر ارزش یا مجوز نگهداری ندارد، باید بهصورت امن و قابل اثبات حذف یا نابود شود. این کار از ریسکهای حقوقی، امنیتی و انباشت غیرضروری داده جلوگیری میکند.
این چرخه نشان میدهد که در هر مرحله، سیاستها و کنترلهای حاکمیتی باید وجود داشته باشند.
جنبههای اختصاصی حکمرانی داده
استاندارد سه بُعد کلیدی را برای تحلیل داده معرفی میکند:
- ارزش (Value): کیفیت، حجم، بهموقع بودن و زمینه داده
- ریسک (Risk): امنیت، سوءاستفاده، تصمیمگیری نادرست و رقابت
- محدودیتها (Constraints): قوانین، مقررات، الزامات اخلاقی و سیاستهای سازمانی
استاندارد ISO/IEC 38505-1 حکمرانی داده را از یک موضوع فنی یا عملیاتی، به یک مسئله راهبردی و حاکمیتی ارتقا میدهد.
این استاندارد به سازمانها کمک میکند تا در دنیایی که داده نقش محوری در موفقیت و بقا دارد، با دیدی مسئولانه، نظاممند و آیندهنگر عمل کنند.
پیادهسازی اصول و مدلهای این استاندارد، نهتنها موجب افزایش اعتماد ذینفعان و انطباق با الزامات قانونی میشود، بلکه زمینهساز استفاده هوشمندانهتر از داده بهعنوان یک دارایی راهبردی است.
در نهایت، سازمانهایی که حکمرانی داده را در سطح هیئتمدیره جدی میگیرند، آمادگی بیشتری برای مواجهه با چالشها و بهرهبرداری از فرصتهای اقتصاد دادهمحور خواهند داشت.
منبع :
ISO/IEC 38505-1
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.