數據管理能力成熟度模型理論一、概述 1.1工作背景 1.2編寫目的 21.3研究方法 21.4研究對象 二、數據管理能力成熟度評估理論研究 42.1IBM數據管理成熟度模型 4 6 82.3.1架構和過程域的組織 82.3.2能力與成熟度等級定義 2.4.1理論框架 2.4.2數據管理職能領域 2.4.3成熟度級別 2.5國標數據管理能力成熟度評估模型(DCMM) 2.5.1能力域和能力項 2.5.2評估等級 三、單項數據管理能力評估理論 253.1信息安全技術數據安全能力成熟度模型 3.1.1概述 3.1.2模型架構 3.1.3數據生命周期安全 3.1.4安全能力維度 3.1.5成熟度等級定義 3.2信息技術服務數據中心服務能力成熟度模型 3.2.1能力成熟度級別 3.2.2模型構成 3.2.3能力框架 3.2.4評價方法 3.3.1理論特點 403.3.2理論內容 403.3.3理論解讀 413.3.4優劣勢分析 四、對比研究及相關結論 4.2各理論/標準對比 五、相關意見和建議 數據是國家基礎性戰略資源。黨的十八屆五中全會正式提出“實施國家大數據戰略”;黨的十九屆四中全會首次增列“數據”作為生產要素之一參與分配；2020年新冠肺炎疫情防控期間，強調要運用大數據、人工智能等數字技術更好支持疫情防控和資源調配；3月4日，中共中央政治局常務委員會強調，加快5G網絡、數據中心等新型基礎設施建設。數據作為核心生產要素，已日益成為數字經濟時代重要的戰略資產和重要價值。數據管理專業體系建設是發揮數據價值的必經之路，是大數據應用工作基礎中的基礎，沒有良好的數據管理，數據價值作用的發揮就無從談起。數據管理能力成熟度評估作為定位數據管理發展階段、加強數據管理能力、提升數據資產價值的重要抓手，對于規范和指導企業高效有序推進大數據工作，提升數據價值挖掘能力，具有十分重要的意義。隨著公司數據管理工作持續深入推進，數據管理頂層設計必要以數據管理能力成熟度評估為抓手，明確一把尺子，找準數據管理能力所處階段，提出改進提升措施，明確未來發展方向，全面推動公司數據管理體系建設。數據管理能力成熟度模型理論研究是建設公司數據管理能力成熟度評估標準體系建設的重要理論基礎，通過對國內外數據管理能力成熟度評估理論進行全方位研究和學習，分析各類標準理論的優缺點，總結經驗與啟示，為制定適合公司數據業務發展需要的數據管理能力成熟度評估體系提供理論基礎，促進公司數據管理專業快速發展。本項目將采用文獻研究與實踐研究相結合的研究方法。一方面，通過文獻圖書、專業機構、國外媒體、互聯網、第三方調查機構等渠道收集有關數據管理相關的標準、模型的實際發展情況，對其進行整理分析，研究總結出數據管理成熟度評估理論的關注點、制定方法以及理論發展趨勢，為后續制定公司數據管理能力成熟度評估標準體系提供理論分析研究基礎。另一方面，研究數據管理相關的標準、模型的實際應用情公司發展需要的數據管理各項能力框架，為后續制定公司數據管理能力成熟度評估標準體系提供理論實踐參考基礎。準或者企業標準，主要要求其數據管理能力成熟度評估理論具有領先性，且經過實施評估后取得了一定的成效，有科學論據證明其先進性，是公司開展數據管理能力成熟度評估體系建設運作方式、管理架構等相近，且既往經歷過公司現在面臨的同樣或相似境況，需要進行數據管理能力成熟度評估標準體系建理論研究結合先進性、相似性原則，選取相關領域的典準或理論模型進行研究。具體包括數據管理能力成熟度評估理論、單項數據管理能力評估理論等。二、數據管理能力成熟度評估理論研究經過多年發展，國內外數據管理能力成熟度評估理論與實國際、中國信標委等組織和企業開展了大量理論研究和實踐探息化較為先進的行業，已經積累了豐富的數據資產管理經驗，這些經驗的總結對于補充完善數據管理理論體系、推進數據資產管理在各個行業的普及和發展有著重要意義。2.1IBM數據管理成熟度模型2010年，IBM發布《數據治理統一流程》,提出IBM數據管理成熟度模型。根據成熟度模型的定義，可就一個企業的數據管理現狀和期望給出相關領域的成熟度評估和能力建設需要。IBM對成熟度模型的顆粒度進行細化，并在《數據治理統一流程》中對如何進行成熟度評估和如何結合IBM的軟件產品提升數據治理能力進行較為完備的介紹。但是，該模型并沒有對每個領域如何評估進行介紹，需IBM的專家與用戶共同商定，公開度較低，可操作性較差。IBM數據治理委員會根據5級分類提出一種成熟度模型：1)成熟度級別1(初始),流程通常是臨時性的，環境較管處于級別1的組織會產生有效的產品和服務，但其經常超出預算和項目計劃時間。2)成熟度級別2(管理),成功是可重復的，但流程可能無法在組織內所有的項目中重復實踐。基本項目管理對跟蹤成本和時間表很有幫助，而流程有助于確保現有的實踐活動正常開展。當這些實踐活動準備就緒之后，項目會依據其備案的計劃進行執行和管理，但仍存在超出預算和計劃時間的風險。3)成熟度級別3(定義),組織標準流程集中于在整個組織內建立一致性。對組織標準流程項目標準、流程描述和規程進行調整，以適合特定的項目或組織部門。4)成熟度級別4(定量管理),組織設置流程和維護的數量質量目標。所選子流程對整體流程的性能具有重大突出貢獻，采用統計技術和其他量化技術來控制。5)成熟度級別5(優化),量化流程改進目標被明確地建立并繼續修訂，以反映不斷變化的業務目標和用作改進管理流同時，IBM將數據管理劃分為11領域，分別為：風險管理據質量管理、數據生命周期管理、數據安全和隱私管理、數據架構、分類與元數據管理、審計信息日志和報告。根據成熟度模型的定義，可就一個企業的數據管理現狀和期望給出這11領域的成熟度評估和能力建設需要，詳細見下圖所示。初始級已管理級已定義級定量管理級優化級2015年2月，企業數據管理協會(EDMCouncil)發布數據管理能力評價模型(DataManagementCapabilityAssessmentModel,DCAM)。DCAM是由EDMCouncil主導，組織金融行業的企業參與編制和驗證，基于眾多實際案例的經驗總結編寫的。DCAM首先定義數據能力成熟度評估涉及的能力范圍和評如何成功地進行數據管理，最后結合數據的業務價值和數據操作的實際情況定義數據管理的原則。DCAM是面向金融機構的評估模型，內容相比IBM和GARTNER更為細化和豐富，評估更為客觀，可操作性較強，但只有成為其協會的正式會員才能得到EDM的支撐，公開度一DCAM成熟度模型分級定義見表1。等級類別1未開始沒有執行臨時性；由個人完成2初步規劃問題正被討論；會議討論階段；涉及數據從業人員參與3實施進行中關鍵功能性因素已定義；工作流已定義；會議正在進行；參與度增長；活動正在進行；政策、角算4定義已執行和實；界定和分配責任；政策和標準存在；程序到位；定義和驗證譜系；元數據捕獲和驗證；識別5實現行行政管理認可；積極參與業務；責任協調；政策和標準已執行；譜系驗證和記錄；跨數據庫數據6一體化充分融入運營文化，持續改進DCAM的數據管理能力成熟度評估模型主要分為數據管理技術架構、數據質量和數據操作等8個職能域(見圖4)。針對每個職能域，DCAM都設置相關的問題和評價標準，共包括37個能力域和115個子能力域；針對每個子能力域，根據成文的、企業內部批準發現的文件進行成熟度評估，EDM針對其會員提供相應的算法模型。技術架構數據管理程序2014年8月，美國卡內基·梅隆大學軟件工程研究所提出數據管理成熟度(DataManagementMaturity,DMM)模型。DMM模型是一個能實現業務部門利益與IT相互匹配的強大加速器，可為公司組織提供一套最佳實踐標準，制定讓數據管理戰略與單個商業目標相一致的路線圖，從而確保能強化、良好地管理并更好地運用關鍵數據資產來實現商業目標。DMM公開的資料略多，但同樣采用會員制，可以按需進行規定的操作步驟即可進行快速評估。但是，在數據管理職能域劃分過程中也存在一些與國內實際情況不一致的情況，例如沒有參考數據和主數據部分的管理等。DMM模型包括20個數據管理過程域以及5個支持過程域，組織為五個類別。每個類別包含多個過程域，這些過程域是傳過完成過程域實踐可構建數據管理能力，結合基礎設施支持實踐還可以提升其數據管理的成熟度。實施監督：業務過程數據要求質量規則基礎設施圖3類別序號類別1數據管理戰略戰略定義數據管理計劃的愿景、目標和目的，確保所有相關的干系人在優先事項以及計劃的實施和管理上保持一致。2確保政策、標準、過程、進度公告和其他數據管3功能為數據管理領導和員工提供指導，以確保數據作為公司資產得以管理。執行監督對于建立和維護數據管理原則、促進采用以及確保整個組織機構范圍內的一致性而言至關重要。4業務案例由，并通過基于財務因素和組織利益做出決策來5項目資助6治理管理有效地實施。7表支持對所有利益相關方支持業務過程的結構化及8元數據管理建立過程和基礎架構，用于指定和擴展管理信息，保證結構化和非結構化數據資產信息清晰有條理，促進和支持數據共享，確保合規使用數據，提高對業務變更的響應能力，以及降低數據9戰略定義組織范圍的整體戰略，以實現并維持支持業數據分析對特定的一組受管理的數據的內容、質量和規則定義根據預定義業務規則驗證和校正數據所用的數據操作數據需求定義有利益相關方的理解，并且與創建和使用該數據的過程保持一致。數據生命確保組織在從創建或獲取到停止使用的整個數據生命周期中通過業務過程了解、映射、盤點并控制其數據流。通過數據生命周期管理可以更好地進行風險管理和支持數據質量改進，尤其是在涉及大數據量或高速數據遷移以及復雜且相互依賴供應商管理平臺和架構設計并實施最優數據層能夠實現數據的采集、生架構標準為管理架構元素提供一組批準的期望，支持批準的數據表示、數據訪問和數據分發，這是數據資平臺數據集成減少業務從多個來源獲取數據的需求，并改進需要數據整合與匯總的業務過程(如分析)的數據可用性。數據集成可實現源數據優化，通過集中歷史數據、歸檔和保留要求。析開發和維持衡量能力和分析技術，以支持數據管理活動的管理和改進。務目標和目的以及組織過程中的當前差距來規劃、實施和部署組織過程的改進措施。為員工和管理層提供過程執行和相關工作產品的客觀洞察。確定并分析潛在的問題，以采取適當的措施來確保能夠實現目標。維護運營環境和數據管理過程資產的完整性。2.3.2能力與成熟度等級定義DMM具有5個功能性能力和成熟度等級。不同過程域等級意味著最佳實踐的過程改進所取得的成果也隨之提高。下表提供每個等級的概要描述和視角。等級視角執行過程通常無法在跨業務領域中適用。過程原則主要是被動式的。例如，數據質量過程注重修復而非預防。可能存在基本的改進，但這種改進未能擴展至數據管理僅處于項管理組織根據管理策略規劃并執行過程；雇傭有技能的員工并輔以足夠的資源，以保證可控的輸出結果；讓相關的利益相關方參與；監管、控制和評估過程組織意識到將數據作為關鍵基礎設施資產進行管理的重定義針，將一組標準過程進行調整，以獲得適滿足組織從組織層面將將數定量管理定義了過程指標，并將其用于數據管理。這包括使用統計與其他量化技術對差異、預測和分析進行管爭優勢的來源之一。通過應用等級4分析改進機會的目標識別以優化過程績效。與同行乃至在行業內分享最佳實踐。動態競爭性市場中生存的關鍵要素。2.4DAMA數據管理知識體系DAMA國際自1988年成立以來，一直致力于數據管理的理論研究、實踐、教訓及相關知識體系的建設，在數據管理領域累積了極為深厚的知識沉淀和豐富經驗。2017年，DAMA國際通過對業界數據管理最佳實踐的分析總結，出版了《DAMA-DMBOK2數據管理知識體系指南(第2版)》,給出數據管理的職能、術語和最佳實踐方法的標準行業解釋，提供數據管理總體框架，為數據管理發展提供了重要的理論基礎。DAMA是一套完整的數據管理知識體系，評估的宏觀性強，可操作性也比較強，但缺乏具體的評估方法，相對于國內各行業的針對性較弱，是一個通用的評估模型。2.4.1理論框架DAMA-DMBOK2理論框架由11個數據管理職能領域和7個基本環境要素共同構成“DAMA數據管理知識體系”,每項數據職能領域都在7個基本環境要素約束下開展工作。數據管理職能：數據治理、數據架構、數據建模和設計、數據存儲和操作、數據安全、數據集成和互操作、文檔和內容管理、參考數據和主數據管理、數據倉庫與商務智能、元數據管理、數據質量管理。基本環境要素：目標與原則、組織與文化、工具、活動、角色和職責、交付成果、技術。f9fmm理元理元和I色色B琪琪化監督：數據治理數據估值原則和道德數據存儲和運營數據倉儲數據整合與協同大數據存儲主數據管理參考數據管理基礎活動數據風險管理：安全、隱私、合規性元數據管理數據質量管理主數據應用文檔和內容管理通過描述各階段DAMA數據管理能力特點來定義成熟度的級別。當一個組織滿足某階段能力特征時，就可以評估其成熟度等級，并制定一個提高能力的計劃，幫助組織在等級評估的指導下進行改進，與競爭對手或合作伙伴進行比較。在每一個新等級，能力評估會變得更加一致、可預測和可靠。當能力呈現出與等級不符的特征時，等級會得到提升。但能力水平有既定順序，不能跳過任何等級。2向利益相關者介招教鋼管理的概金，原則和實武，并在更廣泛的背服下確定其作為數鋼創健者和管理者的角色和職責。3.建立或加溪可持續的企業范國數軟管理計劃，以支持運營和戰目標等級和排名業務戰略和目標文化與風險承受能力成熟度框架與DAMA-政策、流程、標準、操作模式成熟度基線準備評估風險評估人員配置能力基準基準經理主題專家員工技術技術驅動力相只效小組數據管理成熟度框架選擇社區參與數據管理成熟度框架選擇社區參與現有基準數分析工具圖6數據管理成熟度語境關系圖2.4.2數據管理職能領域11個數據管理職能領域具體內容如下：(1)數據治理：被定義為對數據資產的管理行使權力和控制(例如策劃、監督和強制執行)。治理活動有助于控制數據的開發和使用，也降低了與數據相關的風險，并使一個組織可以戰略性地利用數據。(2)數據架構：定義了與組織戰略協調的管理數據資產的“藍圖”,指導基于組織的戰略目標，制定符合戰略需求的數據架構。數據架構是用于定義數據需求、指導對數據資產的整合和控制、使數據投資與業務戰略相匹配的一套整體構件和規范。一般包括數據資產目錄、數據標準、企業級數據模型和數據分布四個組件。(3)數據建模和設計：以數據模型的精確形式，進行發現、分析、展示和溝通數據需求的過程。數據建模是分析和設計的方法，用于定義和分析數據需求和定義支持這些需求的邏輯和物理結構。數據模型是反映數據要求和設計的一組數據規范和相關圖表。(4)數據存儲和操作：以數據價值最大化為目標，包括存儲數據的設計、實現和支持活動，以及在整個數據生命周期中，從計劃到銷毀的各種操作活動。(5)數據安全：這一活動確保數據隱私和安全，數據的獲得和使用必須要有安全的保障。在數據生命周期節點上應用不同安全技術組合，保障數據安全。(6)數據集成和互操作：包括與數據存儲、應用程序和組織之間的數據移動和整合相關的過程。(7)文檔和內容管理：用于管理非結構化媒體的數據和信息的生命周期過程，包括計劃、實施和控制活動，尤其是指支持法律法規遵從性要求的文檔。(8)參考數據和主數據管理：包括核心共享數據的持續協調和維護，使關鍵業務實體的真實信息，以準確及時和相關聯的方式在各系統間得到一致使用。(9)數據倉庫與商務智能：包括計劃、實施和控制流程，來管理決策支持數據，并使知識工作者通過分析報告從數據中獲得價值。—16—(10)元數據管理：包括規劃、實施和控制活動，以便能夠訪問高質量的集成元數據，包括定義、模型、數據流和其它至關重要的信息(對理解數據及其創建、維護和訪問系統有幫助)。(11)數據質量管理：是指對數據在規劃和生命周期各階段可能引發的各類數據質量問題進行的管理活動，以滿足用戶對評估和提高數據在組織內的適用性。其能力成熟度通常定義五至六個成熟度級別，每個級別有各自的特性，從初始級到優化級。數據管理成熟度評估框架被劃分為離散的數據管理主題，框架焦點和內容取決于它們是用于通用行業還是特定行業。量和過程質量的度量已管理級初始/臨時級數據程進·控件(如果有的話)的應用不一致可重復級題圖7數據管理成熟度模型示例2.5國標數據管理能力成熟度評估模型(DCMM)2018年3月，中國信息技術標準化委員發布國標《數據管理能力成熟度評估模型》(DCMM)。DCMM是我國數據管理領域第一個國家標準，將為我國數據管理體系建設、企業數據管理能力提升提供標準化支撐，可以用來幫助和指導相關組織單位定位數據管理等級、加強數據管理能力，提升數據資產價值；同時，通過DCMM對數據管理從業人員進行培訓，可以提升數據管理和應用的技能，規范和指導大數據整體行業的高效、有序發展。DCMM充分考慮了國內數據管理發展實際，將數據標準、數據安全、數據應用等納入過程域，并從過程描述、過程目標及能力等級標準等方面逐一對各過程子域進行描述。但沒有對每但增加了數據安全和數據標準這2個在數據管理中同樣非常重要的領域，對我國企業目前的數據管理能力而言可能適用性更DCMM理論框架包括數據管理能力域和成熟度評價等級兩部分內容。數據管理能力域由8個能力域組成，每個能力域包括若干數據管理領域的過程，共28個能力項。8個能力域為數據戰略、數據治理、數據架構、數據應用、數據安全、數據質量、數據標準和數據生存周期。(1)數據戰略：反映的是組織的數據戰略規劃、實施和評估能力，通過確立數據管理、開發和應用的戰略驅動要因，組織關鍵利益相關者的數據需求，通過數據職能框架的逐步實現，達成數據管理和應用的愿景和目標，且考慮投資回報。數據戰略包括制定、規劃、戰略實施評估等三個二級域，其中數據戰略制定旨在確數據管理愿景、目標等高階內容，戰略實施確定任務藍圖及優先級順序。(2)數據治理：是指通過組織、制度、流程、規范等方面的逐步構建，保障組織數據戰略目標得以實現。(3)數據架構：是指通過開發企業級模型，將數據需求反映到企業模型上，以數據形式構建統一的企業級數據模型，明晰數據的分布情況及集成共享關系。(4)數據應用：是指組織對數據進行分析、加工及應用服務，對內支持業務運營、流程優化、營銷推廣、風險管理、渠道整合等活動，對外支持數據開放共享、數據服務，提升數據在組織運營管理方面的價值轉換，實現數據價值變現。(5)數據安全：是指組織開展計劃、制定、執行相關數據安全策略和規程，確保數據資產在使用過程中的安全認證、授權、訪問和審計等措施。(6)數據質量：是指組織對數據資產的特性滿足要求的程度，即從使用者的角度出發，滿足用戶對數據的使用要求程度。(7)數據標準：是指為組織中的數據提供規范化、標準化，是組織數據集成、共享的基礎，是組織獲得高質量數據的基礎。(8)數據生存周期：是對數據資產全生命周期的各個階段的管理，確保數據在需求、概念設計、物理實現、應用開發、運維和退役等各個階段的全過程管理。表4能力域和能力項序號能力域能力項能力目標1數據戰略數據戰略規劃a)建立、維護數據管理戰略；b)針對所有業務領域，在整個數據治理過理戰略(目標、目的、優先權和范圍);c)基于數據的業務價值和數據管理目標，識別利益相關者，分析各項數據管理工作的優先權；d)制定、監控和評估后續計劃，用于指導數據管理規劃實數據戰略實施a)檢查數據戰略落實情況，定期對實施情況評估；b)對現狀和發展目標進行對比，分析存在c)推動戰略實施，根據存在的差距，結合組織的共同目標和實際商業價值，對數據職能任務優先級排序，提供資源和數據戰略評估動要求，幫助項目獲取執行層面的支持，同時為投資模型提供參考；b)建立一個或一組可持續的投資模型，滿務案例需求；c)遵循投資模型，進行合理的成本收益分析，同時項目資金支持反映業務目標和組織優先級考慮；d)對業務案例、資金支持方法及活動的記錄、跟蹤、審計、后評估。2數據治理織a)建立完善的組織架構及對應的工作流程機制；b)數據管理明確歸口管理并設置足夠的專續推動團隊建設；c)建立支撐數據管理和數據應用戰略的績效評價體系。數據制度建設a)建立數據制度體系，并在組織范圍內廣泛征求意見后發b)建立制度的管理流程，進行制度的檢查、更新、發布、推廣。數據治理溝通a)溝通保障數據管理和數據應用活動的信息能被相關人員及時獲知并理解；b)及時發布影響數據管理和數據應用的監c)建立利益相關者參與數據治理溝通的機制；d)加強組織人員對于數據相關制度、組織、標準的理解。3數據架構數據模型a)建立并維護組織級數據模型和系統應用級數據模型；b)建立一套組織共同遵循數據模型設計的開發規范；c)使用組織級數據模型來指導應用系統的建設。數據分布a)對組織的數據資產建立分類管理機制，確定數據的權威數據源；b)梳理數據和業務流程、組織、系統之間的關系；數據集成與a)建立高效、靈活、適應性好的組織級應用系統間數據交換規范和機制；b)建立數據集成共享環境，可實現結構化處理，具備復雜數據加工、挖掘分析和便捷訪問等功能。a)根據業務需求、數據管理和應用需求，對元數據進行分類，建立元模型標準，保障不同來源的元數據集成和互操作，元模型變更實現規范管理；b)實現不同來源的元數據有效集成，形成圖，能從業務、技術、操作、管理等不同維度管理和使用數據，元數據變更應遵循相關規范；c)建立元數據應用和元數據服務，提升相關方對數據的理4數據應用數據分析a)數據分析能力滿足組織的業務運營需求，并適應業務、技術領域的發展變化；b)數據分析促進數據驅動型決策和業務價數據開放共享a)數據開放共享可滿足安全、監管和法律法規的要求；b)數據開放共享可促進內外部數據的互通的提升。數據服務a)通過數據服務探索組織對外提供服務或產品的數據應用模式，滿足外部用戶的需求；b)通過數據服務實現數據資產價值的變現。5數據安全數據安全策略a)建立統一的數據安全標準；數據安全管理b)對數據在組織內部流通的各個環節進行c)分析潛在的數據安全風險，預防風險的發生。數據安全審計a)確保組織的安全需求、監管需求得到滿足；b)及時發現數據安全隱患，改進數據安全措施；c)提出數據安全管理建議，促進數據安全的優化提升。6數據數據質量需求a)形成明確的數據質量管理目標；b)明確各類數據質量管理需求；c)建立持續更新的數據質量規則庫。數據質量檢查a)制定數據質量檢查計劃；b)全面監控組織數據質量情況；c)建立數據質量問題管理機制。數據質量分析a)建立數據質量問題評估分析方法；b)定期分析組織數據質量情況；c)建立持續更新的數據質量知識庫。數據質量提升a)建立數據質量持續改進策略；b)制定數據質量改進方案；c)建立良好的數據質量文化。7數據標準a)業務術語可準確描述業務概念的含義；b)組織建立了全面、已發布的業務術語字典；c)業務術語的定義能遵循相關標準；d)通過管理流程來統一管理業務術語的創建和變更；e)通過數據治理來提升業務術語的管理和應用。參考數據和主數據b)建立參考數據和主數據的準確記錄；c)建立參考數據和主數據的管理規范。數據元a)建立統一的數據元管理規范；b)建立統一的數據元目錄。指標數據a)建立指標數據分類規范、格式規范；b)建立組織內部統一的指標數據字典；c)指標數據定義，清晰的描述指標含義等；d)建立了統一的指標數據管理流程。8數據生存周期數據需求a)建立數據需求管理制度，統一管理各類數據需求；b)數據相關方對數據需求有一致的理解，c)各類數據需求得到梳理和定義；d)數據的命名、定義和表示遵循組織發布的相關標準。數據設計和a)設計滿足數據需求的數據結構和解決方案；b)實施并維護滿足數據需求的解決方案；c)確保解決方案與數據架構和數據標準的一致性；d)確保數據的完整性、安全性、可用性和可維護性。數據運維a)組織的內外部數據提供方可按照約定的服務水平提供滿足業務需求的數據；b)保證數據相關平臺和組件的穩定運行。數據退役a)對歷史數據的使用、保留和清除方案符合組織的內外部業務需求和監管需求；b)建立流程和標準，規范開展數據退役需計和執行。2.5.2評估等級數據管理能力成熟度評價層次劃分為5個等級：初始級、受管理級、已定義級、量化管理級和優化級。在此基礎上，確定每個層次的基本特征。(1)初始級數據需求的管理主要是在項目級體現，沒有統一的管理流程，主要是被動式管理，具體特征如下：a)組織在制定戰略決策時，未獲得充分的數據支持；b)沒有正式的數據規劃、數據架構設計、數據管理組織和流程等；c)業務系統各自管理自己的數據，各業務系統之間的數據存在不一致現象，組織未意識到數據管理或數據質量的重要性；d)數據管理僅根據項目實施的周期進行，無法核算數據維護、管理的成本。(2)受管理級組織已意識到數據是資產，根據管理策略的要求制定了管理流程，指定了相關人員進行初步管理，具體特征如下：a)意識到數據的重要性，并制定部分數據管理規范，設置了相關崗位；b)意識到數據質量和數據孤島是一個重要的管理問題，但目前沒有解決問題的辦法；c)組織進行了初步的數據集成工作，嘗試整合各業務系統的數據，設計了相關數據模型和管理崗位；d)開始進行了一些重要數據的文檔工作，對重要數據的安全、風險等方面設計相關管理措施。(3)穩建級數據已被當作實現組織績效目標的重要資產，在組織層面制定了系列的標準化管理流程，促進數據管理的規范化，具體特征如下：a)意識到數據的價值，在組織內部建立了數據管理的規章b)數據的管理以及應用能結合組織的業務戰略、經營管理需求以及外部監管需求；c)建立了相關數據管理組織、管理流程，能推動組織內各部門按流程開展工作；d)組織在日常的決策、業務開展過程中能獲取數據支持，明顯提升工作效率；e)參與行業數據管理相關培訓，具備數據管理人員。(4)量化管理級數據被認為是獲取競爭優勢的重要資源，數據管理的效率能量化分析和監控，具體特征如下：a)組織層面認識到數據是組織的戰略資產，了解數據在流程優化、績效提升等方面的重要作用，在制定組織業務戰略的時候可獲得相關數據的支持；b)在組織層面建立了可量化的評估指標體系，可準確測量數據管理流程的效率并及時優化；c)參與國家、行業等相關標準的制定工作；d)組織內部定期開展數據管理、應用相關的培訓工作；e)在數據管理、應用的過程中充分借鑒了行業最佳案例以及國家標準、行業標準等外部資源，促進組織本身的數據管理、應用的提升。(5)優化級數據被認為是組織生存和發展的基礎，相關管理流程能實時優化，能在行業內進行最佳實踐分享，具體特征如下：a)組織將數據作為核心競爭力，利用數據創造更多的價值和提升改善組織的效率；b)能主導國家、行業等相關標準的制定工作；c)能將組織自身數據管理能力建設的經驗作為行業最佳案例進行推廣。三、單項數據管理能力評估理論3.1信息安全技術數據安全能力成熟度模型2019年8月30日，全國標準信息公共服務平臺發布《信息安全技術數據安全能力成熟度模型》(GB/T37988-2019)(簡稱DSMM:DataSecurityMaturityModel)。該標準旨在助力提升全社會、全行業的數據安全水平，其發布填補了行業在數據安全能力成熟度評估標準方面的空白，為組織機構評估自身數據安全能力，提供了科學依據和參考。該標準在2020年3月起正式實施。正式發布前，該標準已在23個行業、40多家企業試點。DSMM能夠幫助各行業、組織機構基于統一標準來評估其數據安全能力，發現數據安全能力短板，查漏補缺，最終提升互聯網行業的整體安全管理水平和產業競爭力，促進數字經濟發展。該標準主要根據《信息安全技術大數據服務安全能力要求》 (以下簡稱為《要求》)中的數據安全要求對組織機構提供的數據安全能力提出評估的模型框架及方法論。《要求》中定義了大數據服務提供者應具有的組織相關基礎安全能力和數據生命周期相關的數據服務安全能力，該標準針對《要求》中定義的每個安全要求定義基本實踐，并根據該標準定義的成熟度等級的通用實踐，對基本實踐進行等級評估。該標準闡述了數據安全能力評估的成熟度模型及方法論，在過程域層面與《要求》完全一致，在基本實踐層面與《要求》進行映射，兩標準可以相互支撐調用。《要求》中定義了大數據服務提供者提供大數據服務所需要滿足的基線要求，該標準定義了組織機構持續實現安全過程、滿足安全要求的能力等級的評估方法，來指導組織機構提升自身的數據安全能力水平。本標準借鑒能力成熟度模型(CMM)的思想，以CMM的通用實踐來衡量能力成熟度等級，以《要求》中的安全要求為基礎，定義數據安全過程域和基本實踐，指導組織機構如何持續達到所對應的安全要求。數據安全能力成熟度模型(DS-CMM)的模型架構由以下三方面構成(如下圖所示):——數據生命周期安全：圍繞數據生命周期，提煉出大數據環境下，以數據為中心，針對數據生命周期各階段建立的相關數據安全過程域體系。——安全能力維度：明確組織機構在各數據安全領域所需要具備的能力維度，明確為組織建設、制度流程、技術工具和人員能力四個關鍵能力的維度。在各數據安全過程域的五個級別的能力成熟度分級要求。數據銷毀安全數據銷毀安全數據交換安全數據處理安全數據傳輸安全類市若作安山數據采集安全能力成熟度等級安全能力維度圖8數據安全能力成熟度模型架構對于上圖的模型架構的說明如下：1)基于電子數據在組織機構內的數據生命周期，明確定義數據生命周期各階段安全的過程域和數據生命周期通用安全的過程域。數據生命周期各階段安全的過程域，包括數據采集、數據傳輸、數據存儲、數據處理、數據交換和數據銷毀這六個階段中的過程域。數據生命周期通用安全的過程域，是與各個生命周期都相關的過程域，比如策略與規程、合規性管理等方面。2)本標準對組織機構的數據安全保障能力的成熟度的分級評估，是基于各成熟度等級下的數據安全能力通用實踐所定義的分級評估方法，對數據生命周期各階段安全的基本實踐和數據生命周期通用安全的基本實踐，進行能力成熟度等級評估。3.1.3數據生命周期安全基于大數據環境下數據在組織機構業務中的流轉情況，定義數據生命周期的6個階段，具體各階段的定義如下：——數據采集：指在組織機構內部系統中新生成數據，以及從外部收集數據的階段。 數據傳輸：指數據在組織機構內部從一個實體通過網絡流動到另一個實體的階段。 數據存儲：指數據以任何數字格式進行物理存儲或云存儲的階段。——數據處理：指組織機構在內部針對數據進行計算、分析、可視化等操作的階段。——數據交換：指數據由組織機構與外部組織機構及個人交互的階段。——數據銷毀：指通過對數據及數據的存儲介質通過相應的操作手段，使數據徹底消除且無法通過任何手段恢復的過程。特定的數據所經歷的生命周期由實際的業務場景所決定，并非所有的數據都會完整的經歷六個階段。3.1.3.2數據安全過程域體系安全過程域體系覆蓋數據生命周期的六個階段，包含數據生命周期通用安全的過程域和數據生命周期各階段安全的過程域，如下圖所示。各階段安全數據正當使用圖9數據安全過程域體系3.1.4安全能力維度通過對各項安全過程所需具備安全能力的量化，可供組織機構評估每項安全過程的實現能力。安全能力從組織建設、制度流程、技術工具及人員能力四個維度展開。——組織建設：數據安全組織機構的架構建立、職責分配和溝通協作。——制度流程：組織機構關鍵數據安全領域的制度規范和流程落地建設。——技術工具：通過技術手段和產品工具固化安全要求或自動化實現安全工作。 人員能力：執行數據安全工作的人員的意識及專業能從承擔數據安全工作的組織機構建設應具備的能力出發，從以下方面進行能力的級別區分： 數據安全組織架構對組織業務的適用性；——數據安全組織機構承擔的工作職責的明確性； 數據安全組織機構運作、溝通協調的有效性。從組織機構在數據安全層面的制度流程建設，以及制度流程的執行情況出發，從以下方面進行能力的級別區分：——數據生命周期關鍵控制節點授權審批流程的明確性；——相關流程制度的制定、發布、修訂的規范性； 安全要求及流程落地執行的一致性和有效性。從組織機構用于開展數據安全工作的安全技術、應用系統和自動化工具出發，從以下方面進行能力的級別區分：——數據安全技術在數據全生命周期過程中的利用情況，針對數據全生命周期安全風險的檢測及響應能力；——利用技術工具對數據安全工作的自動化和持續支持能力，對數據安全制度流程的固化執行能力。從組織機構承擔數據安全工作的人員應具備的能力出發，從以下方面進行能力的級別區分：——數據安全人員所具備的數據安全技能是否能夠滿足復合型能力要求(對數據相關業務的理解力以及專業安全能力);——數據安全人員的數據安全意識以及關鍵數據安全崗位員工的數據安全能力的培養。3.1.5成熟度等級定義組織機構的數據安全能力成熟度模型分為五個成熟度等級，一級是非正式執行級，二級是計劃跟蹤級，三級是充分定義級，四級是量化控制級，五級是持續改進級。能力級別從一級至五級逐級提高，標志著組織機構的數據安全保障能力的成熟度不斷提升。每個級別規定了對應的公共特征和通用實踐。對成熟度等級的描述如下表所示：成熟度等級詳述特征正式執行>執行基本實踐：組織機構在數據安全過程域未有效的執行相關工作，僅在部分業務場景中/項目執行過程中根據臨時的需求執行了相關工作，卻未形成成熟的機制保證相關工作的持續有效進行，執行相關工作的人員能力也未得到有效的保障。所執行的過程可稱為“非正式過程"。隨機、無序、被動的執行安全過人，經驗無法復劃跟蹤>規劃執行：對安全過程進行規劃，提前分配資源和責任。執行計劃、執行基于標準和程序的過程，對數據安全過程實施配置管理。>驗證執行：確認過程按照預定的方式執行，驗證執行過程與可應用的計劃是一致的，對數據安全過程進行審計。測量的計劃跟蹤過程執行，當過程實踐與計劃產生重大偏離時采取修正行動。在項目級別主動實現了安全過程的計劃與執行，沒有形成體系分定義>定義標準過程：組織機構對標準過程進行制度化，為組織機構定義標準化的過程文檔，為滿足特定用途對標準過程進行裁剪。了安全過程的規>執行已定義的過程：充分定義的過程可重復執行，使用已定義的過程，針對有缺陷的過程結果和安全實踐的核查，使用過程執行的結果數據。協調安全實踐：對業務系統和組織活動的協調，確定業務系統內、各業務系統之間、組織機構外部活動的協調機制。化控制>建立可測的安全目標：為組織機構的數據安全建立可測量目標。>客觀地管理執行：確定過程能力的量化測量并使用量化測量來管理安全過程，以量化測量作為修正行動的基礎。建立了量化目標，安全過程可續優化改進組織能力：在整個組織機構范圍內標準過會，分析對標準過程的可能變更。改進過程有效性：制定處于連續受控改進狀態下的標準過程，提出消除標準過程產生缺陷的原因和持續改進的標準過程。目標，不斷改進3.2信息技術服務數據中心服務能力成熟度模型2016年10月13日，國家質檢總局和國家標準委發布GB/T33136-2016《信息技術服務數據中心服務能力成熟度模型》國家標準，目的是為數據中心服務能力管理提供成熟度過程框架和評價方法，對服務能力建設提出要求，提高數據中心的服務質量和服務水平，有助于數據中心實現收益、降低成本和控制鑒業內主流管理方法論，對數據中心管理進行了全面、科學研中國自主知識產權的能力框架、管理要求和評價方法。該標準是一套全面解決數據中心運營管理的管理體系，所提出的數據中心服務能力成熟度是指一個數據中心對其提供服務的能力實施管理的成熟度，即從數據中心相關方實現收益、控制風險和優化資源的基本訴求出發，確立數據中心的目標以及實現這些目標所應具備的服務能力。服務能力按特性劃分為33個能力項，每個能力項基于證據進行評價得出其成熟度，單個能力項成熟度經加權計算后得到數據中心服務能力成熟度。3.2.1能力成熟度級別數據中心服務能力成熟度劃分為五個級別，如圖下所示。卓越級(五)卓越級(五)優秀級(四)發展級(二)起始級(一)圖10成熟度級別成熟度級別自低向高依次為起始級、發展級、穩健級、優秀級和卓越級，并用一、二、三、四、五表示，每個成熟度級別表明數據中心服務能力所達到的水平。數據中心服務能力的改進和提升是通過漸進的方式來實現的，較高的成熟度級別涵蓋了低于其成熟度級別的全部要求。在實際應用中，成熟度級別為數據中心持續提升自身的服務能力提供了路線圖。3.2.2模型構成能力框架由戰略發展、運營保障、組織治理三個能力域構成。每個能力域由若干能力子域構成；能力要素由人員、過程、技術、資源、政策、領導、文化構成。通過能力要素分解為技術指標，加權平均形成能力成熟度，進而得到數據中心服務能力成熟度。過程技術政策領導人員文化資源圖11模型構成能力框架是由支撐數據中心目標所需的能力域、能力子項和能力項組成。能力域層面，闡述數據中心服務能力基本框架，包括戰略發展能力域、運營保障能力域、組織治理能力域。為基礎，以“戰略管控”、“傳承創新”和“穩健發展”為指心目標，“質量管理”和“安全管理”貫穿數據中心運營的整個生命周期。能力項層面，基于能力域和能力子域將數據中心的服務能力細化分解為33個能力項。序號能力域能力子域能力項1戰略發展戰略管控戰略管理2項目管理3知識管理45穩健發展6789問題管理發布管理資產與配置管理IT服務連續性管理安全管理安健環管理審計管理治理架構關系管理組織風險驅動機制績效管理能力框架涉及的3個能力域、11個能力子域、33個能力項作為數據中心服務能力成熟度的評價對象。采用基于證據的方法進行能力域成熟度評價，每一個能力域從7個能力要素分解出下述8個評價要素進行評價，并按照評價要素的特性確定13個適宜的評價指標。(1)管理人：能力項的管理人評價要素是指能力項的管理者，承擔協調和管控的職責，其評價指標為：管理人充分性、管(2)執行人：能力項的執行人評價要素是指執行能力項相關活動的人，其評價指標為：執行人充分性、執行人適宜性。(3)過程：能力項的過程評價要素是指能力項的一系列相互關聯的活動，其評價指標為：過程充分性、過程有效性。(4)技術：能力項的技術評價要素是指與能力項活動執行相關的方法、平臺和工具，其評價指標為：技術充分性、技術適(5)資源：能力項的資源評價要素是指與能力項配套的人力、財力和物力等，其評價指標為：資源充分性。(6)政策：能力項的政策評價要素是指與能力項配套的原則和策略，以及轉化和落實所需要的制度規范和操作指引，其評價指標為：政策充分性、政策適宜性。(7)領導：能力項的領導評價要素是指數據中心管理層對能力項的重視與支持程度，其評價指標為：領導充分性。(8)文化：能力項的文化評價要素是指相關方對能力項的認知和認可程度，其評價指標為：文化充分性。遵循下表給出的取值標準來確定13個評價指標的取值，已得到管理人、執行人、過程、技術、資源、政策、領導、文化等圖12評價指標取值標準低中高得到履行執行人的能力能動性，或相關技能和資的能力度執行人的能力本沒有得到履行按規定要求執行管控能力項趨勢預測和主動改進；有能力項對數據中心目標支撐情況的評估，并能夠根據需求變化進行相應的量方向，滿足管理要求，達成既定目標，持續改進情況良好專業方法和工具活動的過程化技術平臺，或必要的專業方法和工具成、報表等功能本無應用平臺或專業方法應用情況良好，且用戶認可資源投入滿足關鍵活動的執行支持不足推動改進能力項成熟度采取對評價要素取值進行加權平均的方法計算出每一個能力項的成熟度指標值。按照下表給定的能力項成熟度分級規則，確定能力項成熟度級別。圖13能力項成熟度分級規則級別取值范圍能力要素不可辨識1級1≤得分<1.5能力要素僅在特定情況下定義并應用1.5≤得分<2.5制定初步的管理規范，能力要素局部得到應用自我經驗積累階段，尚未形成數據中心統一規范引進成熟的數據中心管理經驗和標準進行管理針對能力項已建立數據中心統一的規范，以及支撐業務建立正式的內外部溝通機制能力要素(人員、過程、技術、資源、政策、領導、文化)有效應用內外部溝通機制發揮有效作用能力項執行結果達到其預期目標，并支撐業務目標的達成，促進業務發展基于量化數據，可實現對能力項的持續優化，以達成于2003年，是數據治理與管理領域業界最早的專注于數據治理的研究機構，其創始人GwenThomas是數據治理領域早期實踐者和領域專家。為滿足業界對于數據職責、決策和行動相關的日益興起的發展需求，DGI于2004年發布了DGI數據治理框架，幫助數據領導、數據治理專業人士、業務人員和IT人員共同制定決策，以便更有效管理數據、實現數據價值、最小化數據成本和復雜度、管理風險、確保滿足日益增長的業務需求和法規監管需求。3.3.1理論特點DGI數據治理框架總體定位于“狹義”數據治理，主要探討數據管理工作涉及的“方向、組織、責權、流程”等問題，將數據治理分為10個組成部分但并不探討其他數據管理職能(如數據架構、數據質量等),體現了“數據治理是對數據管理的管理”這一核心理念。DGI數據治理框架并不就企業數據治理工作如何開展給出直接的答案，而是提出企業數據治理工作的10個組成部分，避免企業建立數據治理體系過程中遺漏關鍵因素。其框架設計要(1)明確數據治理的使命，包括主動定義規則、實現規則協同一致，為數據相關方提供持續的跨部門邊界保障和服務，響應和解決問題。(2)明確數據治理所服務的六大工作領域，明確服務對象，是數據治理發揮其使命、創造價值的主要方式。在每個關注域中，數據治理所起的作用和起作用的方式都不同，應進一步明確數據治理在其中的意義和目標、衡量指標及資金提供方式。(3)明確數據治理工作的相關方、主要參與方，同時強調了數據治理辦公室、數據管家是數據治理工作開展的主要參與(4)明確數據治理機制，即決策、職責、控制。關鍵工作和問題的執行職責、決策權設計，以及各項數據工作開展過程中的監督控制機制設計，是保障數據工作有效開展的基礎。決策機制、職責機制、控制機制，應將數據治理工作相關方納入其中，并融入數據治理流程中。(5)明確數據規范，制定明確、一致的數據規則和定義是數據相關方統一數據理解、數據加工和使用方法的最主要手段。(6)明確數據治理相關的三層次流程，主要包括數據治理工作開展的流程(價值主張、演進路線圖、計劃和預算等，DGI共給出7步，是數據治理工作啟動、開展和保持的總體方法)、數據治理的具體執行流程(如：解決問題、制定數據標準等，主理中涉及到數據的流程(如：業務統計規則的定義，IT系統的數據采集等，主要關注數據治理流程應該融入到日常業務和IT的哪些工作流程中)。DGI數據治理框架給出了數據治理工作的6個關注領域，即數據治理工作所服務的其他6個工作領域。主要有政策、標準和戰略制定，數據質量提升，隱私、合規和安全管理，架構和其中，數據治理能夠體現其價值，屬于數據治理的“外延”。DGI數據治理框架偏重于實踐操作的培訓，通過包含的10個組件回答了數據治理WHY-WHAT-WHO-WHEN-HOW這5個經典問題，條理清晰，對實際數據治理實施的指導性很強。另一方面，DGI數據治理框架僅專注于“狹義”數據治理領域，未對其他數據管理工作職能進行闡述，對于數據質量管關注數據治理領域的組成要素，而非嚴格定義每個組成要素的具體內容和開展方式，框架中界定數據治理工作應該由哪些組成部分，但對于每個組成部分的具體實踐方式方法并未進行說明和分析，因此對于進行數據治理體系的具體設計，指導深度四、對比研究及相關結論1.IBM數據管理成熟度模型：2010年，IBM發布《數據治理統一流程》,提出IBM數據管理成熟度模型，將數據管理劃分為11領域，并就如何結合IBM的軟件產品提升數據治理能力進行較為完備的介紹。2.DCAM模型：2015年2月，企業數據管理協會(EDMCouncil,主要面向金融行業)發布數據管理能力評價模型 (DCAM),定義了數據能力成熟度評估涉及的能力范圍和評估準則，包括8個職能域，37個能力域和115個子能力域。定義了數據管理的原則，并從戰略、組織、技術和操作等層面描述了如何開展數據管理。3.DMM模型：