вторник, 2 апреля 2024 г.

ИСО и МЭК: Вышла на финишную прямую работа над стандартом ISO/IEC FDIS 5212 «Использование данных – Руководство по использованию данных»

Данная заметка была опубликована 21 марта 2024 года на веб-сайте технического подкомитета ИСО TC46/SC11 «Управление документами» (Archives/records management).

Стандарт ISO/IEC FDIS 5212 «Информационные технологии - Использование данных – Руководство по использованию данных» (Information technology - Data usage - Guidance for data usage), см. https://www.iso.org/standard/80999.html - это международный стандарт, разработанный техническим подкомитетом SC32 «Управление и обмен данными» (Data management and interchange) Объединённого технического комитета ИСО/МЭК JTC1 «Информационные технологии».

Данный стандарт предоставляет пользователям данных (как организациям, так и физическим лицам) всесторонние рекомендации по оптимизации деловой отдачи, получаемой от использования данных, при одновременном эффективном управлении взаимосвязанными рисками. В настоящее время документ уже перешёл на стадию публикации, что означает значительный прогресс на его пути к официальной публикации.

Контекст применения данных охватывает широкий спектр видов деятельности, вращающихся вокруг использования, обмена и совместного использования данных различными субъектами, независимо от их размера, типа или целей. Процесс принятия решений относительно использования данных требует определения нескольких ключевых элементов:

  • Принятие решений: Процесс начинается с принятия принципиального решения о том, чтобы заняться использованием, обменом или совместным использованием данных, которое является краеугольным камнем для последующих действий;

  • Цель: Понимание цели использования данных имеет решающее значение, поскольку оно обеспечивает ясность в отношении ожидаемых результатов и задач, мотивирующих такую деятельность;

  • Подробные сведения о данных: Чтобы обеспечить ответственные обработку и использование данных, крайне важно вникнуть в особенности самих данных, включающие их характеристики, качество, протоколы безопасности и вопросы защиты персональных данных;

  • Пути использования: Определение путей использования, совместного использования и обмена данными, а также изучение альтернативных маршрутов, помогают в разработке эффективных и продуктивных стратегий управления данными;

  • Оценка рисков: Необходимо проведение оценки приемлемых рисков, связанных с использованием, коллективным использованием и обменом данными, поскольку такая оценка позволяет заинтересованным сторонам оценить потенциальные уязвимости и проблемы;

  • Меры по смягчению рисков: Реализация основательных мер по смягчению выявленных рисков имеет крайне важное значение для защиты от неблагоприятных последствий и обеспечения целостности и безопасности данных;

  • Авторизация: Обеспечение выполнения шагов авторизации и применения мер контроля и управления доступом имеет ключевое значение для регулирования деятельности по использованию данных и предотвращения несанкционированного доступа или некорректного использования;

  • Политики и процедуры: Установление четких политик, процессов и процедур обеспечивает структурированную концептуальную структуру, которая способствует предсказуемости, надёжности и подотчетности деятельности по использованию данных, тем самым улучшая общее стратегическое управление и исполнение законодательно-нормативных требований;

Принимая во внимание все эти элементы в рамках концепции принятия решений, касающихся использования данных, организации и отдельные лица могут преодолевать сложности управления данными, одновременно максимизируя отдачу, получаемую от использования данных.

Мой комментарий: Во вводной части документа отмечается:

«Настоящий документ представляет собой высокоуровневый, основанный на принципах рекомендательный международный стандарт. В нём описана концепция, включающая соответствующие компоненты и понятия, на которую могут ссылаться использующие данные организации, лица и системы.

Концепцию и понятия, сформулированные в настоящем стандарте, следует читать вместе с терминами и определениями, содержащимися в готовящемся к публикации стандарте ISO/IEC 5207 «Информационные технологии - Использование данных - Терминология и варианты использования» (Information technology - Data usage - Terminology and use cases), см. https://www.iso.org/standard/80998.html .

Организации вне зависимости от их типа (включая коммерческие организации, государственные органы и учреждения, некоммерческие организации), размера и целей, полагаются на использование данных при ведении повседневных деловых операций, и всё сильнее зависят от полагающихся на данные систем, таких как ИТ-системы, облачные вычисления, большие данные, интернет вещей и искусственный интеллект.

Существует множество подходов к использованию данных, начиная от наиболее сложных, применимых в отношении высокочувствительной и конфиденциальной информации, персональных данных, - и заканчивая самыми простыми системами сбора данных. В каждом сценарии использования данных могут применяться различные подходы к обеспечению целостности системы, качества данных, предоставляемых пользователям данных возможностей и к стратегическому управлению, осуществляемому в отношении данных организацией.

Данный документ был разработан с использованием подхода, основанного на принципах, чтобы побудить организации внедрять стратегическое управление данными для управления рисками на каждом этапе использования, обмена или совместного использования данных. Этот подход помогает организациям, стремящимся получить от данных большую отдачу, знания и представления, одновременно обеспечивая концептуальные рамки для пользователей данных. Поскольку данные необходимы для широкого круга ролей в организации, крайне важно, чтобы все пользователи имели базовые представления об использовании данных с целью обеспечения надлежащего управления данными. Существует риск того, что, поскольку данные используются в организациях повсеместно, действия пользователей, не имеющих соответствующих знаний, опыта и понимания контекста могут непреднамеренно привести к некорректному использованию данных.

В совместном использовании или обмене данными могут участвовать несколько лиц, систем и/или организаций, использующих различные процессы и процедуры. Более того, каждое лицо или организация, участвующее в совместном использовании или обмене данными, может использовать различные подходы к обеспечению безопасности, защиты чувствительных и персональных данных, а также к решению правовых вопросов. Хотя деятельностью по использованию данных можно управлять с помощью различных механизмов и инструментов стратегического управления, таких как официальные контракты или соглашения о совместном использовании данных, - существует множество этапов использования данных, которые может быть сложно формализовать. В настоящем документе используется методология выявления и управления рисками, которой может воспользоваться любой пользователь данных, будь то физическое лицо или организация. Это может полезно для организаций, применяющих существующие процессы стратегического управления данными и технологиями, вроде тех, что описаны в международных стандартах по вопросам стратегического управления информационными технологиями, таких как ISO/IEC 38500:2024 «Информационные технологии - Стратегическое управление ИТ в организации» (Information technology - Governance of IT for the organization) или все части серии ISO/IEC 38505 «Информационные технологии - Стратегическое управление информационными технологиями / данными» (Information technology - Governance of IT / data).

Помимо того, организации могут подумать о пригодности для поддержки их возможностей по стратегическому управлению требований к ИТ-системам, безопасности и хранению данных, которые рассматриваются в стандартах ISO/IEC 27001, ISO/IEC 27701 и ISO/IEC 27040.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Введение в использование данных
6. Подготовка среды данных для использования, совместного использования и обмена данными
7. Рекомендации по использованию, совместному использованию и обмену данными
8. Использование, совместное использование и обмен данными
9. Вопросы, возникающие после использования данных
Библиография

Источник: веб-сайт технического подкомитета ИСО TC46/SC11 / сайт ИСО
https://committee.iso.org/sites/tc46sc11/home/news/content-left-area/news-about-standarization-in-t-1/iso-iec-fdis-5212-guidance-for-d.html
https://www.iso.org/standard/80999.html


Комментариев нет:

Отправить комментарий