战略耦合,全局规划,分步建设
数据治理的本质是组织文化和协作模式的变革,必须在全局规划的指引下开展。通过小范围试点验证方案、积累成功经验后再全面推广的逐步实施方式更具可行性。
以数据战略支撑业务战略
好的数据战略核心源于业务战略目标拆解的数据需求。要建立能够支撑业务战略的数据战略,需关注业务战略目标的深度拆解与映射。
- 首先要识别业务战略目标中涵盖的关键数据需求。
- 然后采用需求矩阵工具,识别关键数据需求和影响范围、涉及系统和解决难度,并标注优先级与依赖关系,以此划分长期和中短期目标。
数据战略一定不能只锚定在解决现象问题或技术问题,必须将成果转化为可量化的业务指标,这样才能显现数据治理项目对组织的价值。
要事先行,持续迭代
数据战略实现路径的核心原则是"要事先行",然后通过阶段性成果验证路径的可行性并持续迭代。
大多数企业的数据战略实施通常以主数据治理作为切入点,而物料数据和客商数据又是最先被重点突破的主数据域。
通用的原则是优先实施高价值场景,或者相对容易实现业务成果转化的场景,总结出对组织可行的方案,通过阶段性成果验证路径可行性,再逐步扩展至全领域。
持续借力高层,巧妙设计制度
数据治理需从组织战略高度切入,通过制度设计与持续推动,确保资源整合与执行穿透力。
- 战略绑定与高层参与:数据治理需与组织战略目标深度融合。IT部门需从高层视角出发,围绕业务收益、合规风险、成本优化等核心关注点,将数据治理的价值映射至企业战略层面。
- 现状分析与紧迫性驱动:通过调研揭示数据管理的痛点,结合行业标杆对比,凸显企业数据治理的短板。激发管理层的危机意识,为项目启动争取资源与高优先级。
- 实施路径与沟通机制:制定分阶段推进计划,定期向高层汇报,确保决策层对项目的持续关注与资源支持。
- 巧妙设计制度,推动长效保障:为防止因管理层关注度波动导致项目中断,需要构建与战略匹配的治理体系,包括组织架构、绩效考核及激励制度。
穿透组织壁垒,打通协作与沟通
构建多层级协作体系,打破信息孤岛,实现技术与业务的深度融合。
- 组织内部协作:业务部门是数据的主要使用者和受益者,IT部门负责技术实施和系统整合;需要建立定期的沟通会议和协作机制;建设共享知识库;明确责任分工和进度安排。
- 组织与承建方合作:组织和承建方需要在项目初期建立紧密的沟通机制,确保双方对项目目标、需求、实施方案等方面有共同的认识;承建方必须制订周密的项目计划,工作成果要及时反馈;数据治理项目实施人员的沟通能力、逻辑思维能力和工作经验必须达到一定要求。
- 供应商间的协作:建立跨供应商的技术标准对齐机制;设立多方参与的仲裁委员会快速响应争议问题。
聚焦关键活动,校准实施路径
治理架构设计
架构设计需要关注以下几个方面:
- 数据治理的组织架构和职责分工;
- 数据标准、数据质量和数据安全管理等方面的规范和流程;
- 数据治理平台或系统的技术架构和功能需求;
- 数据治理的实施计划和时间表等。
数据架构设计
数据架构主要描述组织数据主题的分布和数据流向关系。
数据主题是架构的"组件",是对业务的抽象。主题域的识别准则必须在整个组织模型中保持一致。常用的主题域识别准则包括:使用规范化的规则,从系统组合中分离主题,基于顶级流程或者基于业务能力形成主题。组织内部的数据通常可以划分为财务主题、产品主题、客户主题、营销主题等,数据仓库、数据集市的建设也都是面向主题的。
数据流用来描述"组件之间的关系"。数据流描述数据如何在业务流程和系统中流动,也可以体现不同层级模型的映射关系--主题、业务实体及至属性层面的映射关系。
数据架构的设计需要以业务主体设计作为企业架构的核心要素,使业务主体作为主线,串联业务架构和应用架构,保证数据架构中业务主体的一致性。
设计组织的数据架构通常有两种模式:
- 从技术到业务:以现有的操作型数据结构为基础,先定义主题域,再结合相关人员访谈以及对现有系统数据结构的调研结果,将其作为制定数据结构的基础。
- 以业务为驱动:以组织的业务流程为核心,将业务单元、业务环节和活动串联起来,通过调查和访谈,分析确定业务实体、属性和关系,并分析最终业务用户的数据需求,将上述信息整合,结合现有数据结构,设计企业数据架构,实现从数据到信息的连通。
数据合规与数据安全管理
|------|-------------------|------------------------------|
| 维度 | 数据合规管理 | 数据安全管理 |
| 本质 | 法律遵从性,往往由外部监管要求驱动 | 技术可控性,基于内部风险对防泄露、防篡改、防破坏等的要求 |
| 首要目标 | 确保数据处理符合法律法规 | 保障数据的保密性、完整性、可用性 |
| 焦点 | 是否被允许 | 如何防得住 |
| 结果衡量 | 通过监管审计 | 技术防护有效性 |
| 失败后果 | 监管处罚 | 资产损失 |
[数据合规管理与数据安全管理比较]
数据合规重点关注:《网络安全法》、《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》
数据安全管理应该考虑如下三方面内容:
- 对数据实施全生命周期安全管理,即涉及数据采集、传输、存储、使用、删除、销毁的整个过程,建立完整的数据生命周期防护机制。
- 对数据进行分类分级管理。分类更多从业务角度出发,根据数据的来源、内容和用途进行分类。分级是从安全角度出发,按照数据的价值、内容的敏感程度、影响范围的不同,对数据进行级别保护划分,也可以结合完整性、机密性、可用性,对数据保护进行等级划分。
- 对数据进行访问控制。数据访问控制分三层:访问控制 - 划定数据操作边界,包括对系统、功能、数据级次以及访问频率的控制、数据处理 - 以加密和脱敏为核心保护手段,强化访问控制后的数据保密性,并实现访问控制下的最小化数据暴露、审计监控 - 通过用户实体行为分析,识别可疑行为、潜在的威胁和可能的攻击。
推动治理成果显性化
数据治理成果量化,旨在通过具体指标衡量企业在数据管理方面的改进效果,为后续的优化策略提供数据支持。
- 纳入绩效考核体系
- 治理成果可视化
- 数据治理成熟度评估
- 数据资产估值与资本化
数据治理持续优化与赋能
- 建立持续改进机制
- 培养数据治理文化
- 利用新技术和新方法