信息與文獻 信息治理 概念與原則 征求意見稿

1GB/TXXXXX—XXXX信息與文獻信息治理概念與原則本文件描述了信息治理的概念和原則。本文件適用于組織的過去、當前和未來信息資產(chǎn)的治理。本文件適用于所有組織，無論其規(guī)模和類型，包括公共和私營組織、政府實體和非營利組織。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1與信息概念有關(guān)的術(shù)語3.1.1真實的authentic（首選術(shù)語）真實性authenticity（許用術(shù)語）信息(3.1.3)的屬性可以被證明與其主旨相符。3.1.2數(shù)據(jù)data一組已經(jīng)或可以被賦予意義的字符或符號。3.1.3信息information數(shù)據(jù)（3.1.2）在一定背景下的特定含義的數(shù)據(jù)。3.1.4信息資產(chǎn)informationasset2GB/TXXXXX—XXXX對相關(guān)利益方有價值的信息(3.1.3)。3.1.5完整性integrity完整的、未改變的信息的性質(zhì)。3.2與信息治理概念有關(guān)的術(shù)語3.2.1合規(guī)性compliance符合法律、法規(guī)、標準或政策所規(guī)定規(guī)則的特性。3.2.2數(shù)字連續(xù)性digitalcontinuity能夠隨時隨地根據(jù)需要使用數(shù)字信息(3.1.3)的能力。3.2.3處置disposition與實現(xiàn)關(guān)于信息(3.1.3)保留、銷毀或轉(zhuǎn)移決策相關(guān)的一系列過程。3.2.4電子取證e-discovery識別、收集、保存、審查和交換電子存儲信息（ESI）的過程，以便將其用作數(shù)字證據(jù)。3.2.5框架framework為支持完成一項特定任務(wù)而設(shè)計的由相關(guān)部分組成的結(jié)構(gòu)。3.2.63GB/TXXXXX—XXXX治理governance指導和控制組織的原則、政策和框架（3.2.5）。3.2.7信息治理InformationGovernance跨組織治理信息資產(chǎn)(3.1.4)的戰(zhàn)略框架，以加強對實現(xiàn)業(yè)務(wù)成果的協(xié)調(diào)支持，并確保有效識別和管理其信息(3.1.3)風險，從而確保組織的運營能力和完整性(3.1.5)。3.2.8信息安全informationsecurity信息(3.1.3)的保密性、完整性和可用性。4信息治理益處4.1通則信息治理是一個戰(zhàn)略性的、多學科的、賦能相關(guān)專業(yè)間協(xié)作的框架。信息治理將信息視為一種有價值的組織資產(chǎn)，并具有提供以下益處的潛力。4.2戰(zhàn)略益處信息治理的戰(zhàn)略益處包括：a)提供一個總體的高層治理框架，支持組織使命和經(jīng)濟、戰(zhàn)略利益實現(xiàn)，包括但不限于：1)信息資產(chǎn)價值最大化；2)保護組織和其他利益相關(guān)者權(quán)利；3)遵守法律和監(jiān)管要求；4)促進公開、透明和問責。b)通過提供對真實、可靠、相關(guān)、完整和準確、實時和可訪問信息的及時訪問，來支持知情決策。c)通過以下方式降低可能導致聲譽受損、經(jīng)濟損失或處罰的風險：1)對有價值的信息資產(chǎn)應(yīng)用提供足夠的安全和保護；2)銷毀或清除不再需要保留的信息。d)識別有效管理組織信息資產(chǎn)所需的系統(tǒng)、政策、程序和流程中的差距。e)確保組織的政策在安全、隱私、評估、保存、處置、發(fā)現(xiàn)和信息披露方面保持協(xié)調(diào)一致。f)提供將所有信息資產(chǎn)納入治理計劃的機制。g)消除孤島和專業(yè)沖突，并鼓勵采用合作和跨學科方法實施符合組織戰(zhàn)略目標和優(yōu)先事項的創(chuàng)新和新興技術(shù)。4GB/TXXXXX—XXXXh)支持與現(xiàn)有和新興技術(shù)（如人工智能和區(qū)塊鏈）相關(guān)的倫理治理。4.3運營益處信息治理的運營益處包括：a)通過整合信息管理、信息安全和隱私、合規(guī)性、業(yè)務(wù)連續(xù)性、災(zāi)難恢復、電子發(fā)現(xiàn)和其他與指導和控制信息相關(guān)的方面，提供一種全面系統(tǒng)的方法來管理支持組織運營的信息；b)識別存在哪些組織信息、位于何處、可以對其采取哪些行動，以及應(yīng)如何管理和控制，從而產(chǎn)生可復用的有價值的信息；c)支持信息資產(chǎn)的系統(tǒng)組織，從而提高可用性、共享和協(xié)作，并提供業(yè)務(wù)信息的快速搜索和普通檢索；d)提供信息資產(chǎn)維護框架，杜絕關(guān)鍵業(yè)務(wù)信息丟失；e)通過采用銷毀不再需要或保留信息的處置程序，降低與存儲相關(guān)的成本以及管理或發(fā)現(xiàn)信息所需的資源；f)降低電子發(fā)現(xiàn)的生產(chǎn)成本，并確保組織不會因生產(chǎn)和保留不必要的信息而造成額外風險；g)通過為增強在組織層面協(xié)作實現(xiàn)的數(shù)字連續(xù)性能力提供基礎(chǔ)，保護組織文化和組織記憶。5信息治理原則5.1將信息作為組織的戰(zhàn)略資產(chǎn)信息治理將組織的信息視為資產(chǎn)。信息對于任何組織的未來都具有戰(zhàn)略意義，并有助于其長期可持續(xù)性。信息治理承認信息和信息資產(chǎn)的法律、業(yè)務(wù)、歷史和其他價值，承認其在業(yè)務(wù)和治理中的重要作用、信息相關(guān)的利益和風險、以及信息資產(chǎn)成為關(guān)鍵競爭優(yōu)勢的潛力。被治理的信息包括結(jié)構(gòu)化和非結(jié)構(gòu)化、數(shù)字和非數(shù)字信息，以及人們頭腦中的信息。5.2將信息治理作為組織戰(zhàn)略的關(guān)鍵要素信息治理包括治理和控制信息的所有高級戰(zhàn)略方面（如提供用于處理的基礎(chǔ)設(shè)施和系統(tǒng)）、遵守與信息相關(guān)的法律和監(jiān)管要求、治理工具（如政策、程序和標準）、人員（如資源、培訓和專業(yè)發(fā)展）。5.3將信息治理整合到組織的治理框架中信息治理應(yīng)包含在組織治理中：指導和控制組織的系統(tǒng)（參見ISO/IEC38500以實現(xiàn)組織目標，并滿足誠信、記憶和社會責任的道德要求。信息治理是組織所有治理框架和管理體系的組成部分，并且應(yīng)與之整合。信息治理與所有信息管理框架和系統(tǒng)集成，例如財務(wù)、風險、安全、質(zhì)量、環(huán)境、健康和安全管理流程及其操作要求和程序。信息治理應(yīng)包含在組織的綜合報告中。信息治理應(yīng)涵蓋所有以信息為中心的治理方面或領(lǐng)域，包括但不限于記錄管理、數(shù)據(jù)保護/隱私、信息安全、信息敏感性、數(shù)據(jù)管理、組織內(nèi)容管理、文檔控制和電子發(fā)現(xiàn)。5.4確保高級管理層的領(lǐng)導力和承諾高級管理層應(yīng)致力于指導、領(lǐng)導和支持信息治理。組織高級管理層的成員應(yīng)負責信息治理并確保問責制，向組織中最高級人員或治理結(jié)構(gòu)報告。5GB/TXXXXX—XXXX信息治理領(lǐng)導者的職責應(yīng)包括確定組織信息治理框架的組成部分，定義并推動流程和程序，消除潛在和緊急障礙，傳達長期目標和中短期業(yè)務(wù)目標，分配所需的資源（團隊、結(jié)構(gòu)、基礎(chǔ)設(shè)施）并讓高層管理人員了解進展情況。信息治理領(lǐng)導者在一個連貫的信息治理計劃中共同監(jiān)督所有這些活動。此外，信息治理方面的運營責任可以委托給信息治理官或適當級別的其他工作人員。5.5信息治理的協(xié)同建設(shè)信息治理主要被理解為一個戰(zhàn)略性的多學科框架，為眾多信息相關(guān)專業(yè)間的合作與協(xié)同奠定基礎(chǔ)。這種合作的共同目標是對整個組織的各種信息資產(chǎn)進行一致和全面的治理與管理。作為一項合作工作，信息治理的具體子原則如下：——包容性：包括所有利益相關(guān)者；——全面性：涵蓋現(xiàn)有的和未來的所有信息資產(chǎn)；——政策一致性：在保存重要知識、信息和數(shù)據(jù)方面沒有薄弱環(huán)節(jié)，以滿足安全、隱私和合規(guī)目標；——敏捷性：積極主動地與新的信息相關(guān)學科或利益相關(guān)者合作；——合作：鼓勵并支持跨學科努力和基于共識的決策；在交叉領(lǐng)域，集體努力比在學科之間劃出嚴格的界限更可取。5.6確保信息治理支持法律合規(guī)性和強制性要求信息治理支持并旨在遵守適用于該組織的所有適用法律、法規(guī)、強制性和自愿性標準和行業(yè)實踐規(guī)范。5.7確保信息治理與業(yè)務(wù)目標一致信息治理應(yīng)和組織的戰(zhàn)略、運營目標、目的以及業(yè)務(wù)需求相一致。隨著業(yè)務(wù)需求和方向的變化，應(yīng)不斷地監(jiān)測和修改一致性。在制定信息治理計劃時，應(yīng)考慮到所有利益相關(guān)者的要求與需求。5.8確保信息治理支持信息安全與隱私信息治理應(yīng)支持和促進信息安全和隱私。應(yīng)建立和實施訪問控制權(quán)限，以確保只有擁有適當權(quán)限的人才能獲得信息。5.9確保信息治理支持信息質(zhì)量與完整性信息治理應(yīng)力求確保信息是：——真實的；——可信賴的；——完整和一致的（在整個組織中管理——可靠的；——相關(guān)的；——易于檢索和使用的；——準確的；——能夠展示完整性的。6GB/TXXXXX—XXXX5.10培育協(xié)作和知識共享文化有效和高效的信息治理通常要求將信息視為組織資源，而不是專門由特定業(yè)務(wù)領(lǐng)域/職能或個人控制的資產(chǎn)。信息治理需要酌情進行跨職能合作，以使信息的價值最大化。信息應(yīng)以易于使用（復用）、交付和交換的方式共享，應(yīng)通過多種渠道提供，同時始終確保滿足保密、隱私和安全方面的條件。數(shù)字的或非數(shù)字的信息系統(tǒng)和流程應(yīng)從設(shè)計上支持互操作性，從而實現(xiàn)協(xié)作和知識共享。5.11采用基于風險的方法信息治理應(yīng)采用基于風險的方法，并根據(jù)組織的風險概況/偏好，在符合法律、政策和法規(guī)的情況下，對適當信息使用實施控制。5.12確保授權(quán)的利益相關(guān)方可獲得信息且信息可用信息治理應(yīng)通過確保在正確的時間、地點和格式以有效的成本向授權(quán)用戶/消費者提供相關(guān)信息，從而促進組織績效。信息治理應(yīng)支持組織的競爭地位和可持續(xù)性。信息治理計劃應(yīng)不斷適應(yīng)，以滿足組織的內(nèi)部和外部不斷變化的需求。5.13在信息生命周期中管理信息信息治理應(yīng)在整個信息生命周期內(nèi)進行管理，包括創(chuàng)建信息（有時在創(chuàng)建之前：例如，策略和程序的開發(fā)、信息系統(tǒng)的設(shè)計）或接收到最終處置信息的過程，甚至在創(chuàng)建信息之后（出于合規(guī)性的目的，仍然可以保留一些元數(shù)據(jù)）。5.14支持組織文化信息治理應(yīng)深植于組織文化以及為其工作的人的行為和態(tài)度中。將信息治理嵌入到為組織工作的人的行為中，這取決于組織的各級領(lǐng)導和明確的價值觀，以及對推進信息治理措施的認可和執(zhí)行。如果一個組織的所有級別都并非如此，信息治理就有失敗的風險。信息治理項目需要有計劃的方法來采用、變革管理和加強認識，確保所有的信息治理舉措使得員工能夠遵守組織的信息治理要求。5.15支持可持續(xù)發(fā)展信息治理是組織社會責任行為的一部分，有助于可持續(xù)發(fā)展。7GB/TXXXXX—XXXX（資料性）概念圖A.1通則概念之間不是獨立的。將信息治理領(lǐng)域內(nèi)，概念之間的關(guān)系分析為概念系統(tǒng)，是形成連貫詞匯的前提。在制定本文定義的詞匯時進行了如下分析。本附錄提供了開發(fā)過程中詳細闡述的概念圖，以便更好地理解詞匯關(guān)系。根據(jù)ISO704，本附錄使用了三種形式的概念關(guān)系。a)關(guān)聯(lián)關(guān)系(有箭頭)。關(guān)聯(lián)關(guān)系不分級。當借助經(jīng)驗在概念之間建立主題聯(lián)系時，就存在關(guān)聯(lián)關(guān)系(ISO704:2009,5.5.3)。b)從屬關(guān)系(無箭頭)。部分關(guān)系是分級的。當上位概念代表一個整體，而下位概念代表這個整體的部分時，就存在從屬關(guān)系。各部分匯集在一起組成整體(ISO704:2009,5.5.2.3.1)。c)通用關(guān)系(無箭頭)。通用關(guān)系是分級的。當下位概念的內(nèi)涵包括了上位概念的內(nèi)涵再加上至少一個額外的限定特征時，兩個概念之間存在通用關(guān)系(ISO704:2009,5.5.2.2.1)。A.2概念圖A.2.1通則圖A.1和A.2為核心概念主題分組的概念圖，其中術(shù)語和詞匯表與信息治理設(shè)置和框架相關(guān)。由于這些術(shù)語是重復的，沒有定義和任何相關(guān)的注釋，建議參考第3章來查閱這些元素。A.2.2信息相關(guān)概念信息相關(guān)概念見圖A.1。數(shù)據(jù)信息信息資產(chǎn)真實性A.2.3信息治理相關(guān)概念信息治理相關(guān)概念見圖A.2。完整性信息相關(guān)核心概念8合規(guī)性處置治理框架信息治理電子取證GB/TXXXXX—XXXX數(shù)字連續(xù)性信息安全圖A.2信息治理相關(guān)概念9GB/TXXXXX—XXXX國家標準中相關(guān)術(shù)語和定義本附錄收錄了信息治理領(lǐng)域中的常用術(shù)語及其定義，涵蓋了信息治理的基本概念、原則及操作實踐，以幫助準確掌握標準中的概念并更好地應(yīng)用于實際操作中，確保對信息治理領(lǐng)域?qū)I(yè)術(shù)語的統(tǒng)一認識。表NA.1國家標準中相關(guān)術(shù)語和定義概念定義來源信息(1)被交流的知識注1:參見信息(2)。注2:改編自GB/T17532-2005,注3:信息(1)涉及事實、概念、對象、事件、觀念、過程等(2)在通信過程中為了增加知識用以代表信息(1)的一般消息注:參見信息(1)。GB/T4894-2009信息與文獻術(shù)語數(shù)據(jù)用適合于通信、解釋和處理的形式表示的信息GB/T17532-2005術(shù)語工作計算機應(yīng)用詞匯數(shù)據(jù)治理對數(shù)據(jù)進行處置、格式化和規(guī)范化的過程注1:數(shù)據(jù)治理是數(shù)據(jù)和數(shù)據(jù)系統(tǒng)管理的基本要素。注2:數(shù)據(jù)治理涉及數(shù)據(jù)全生存周期管理,無論數(shù)據(jù)是處于靜態(tài)、動態(tài)、未完成狀態(tài)還是交易狀態(tài)。GB/T35295-2017信息技術(shù)大數(shù)據(jù)術(shù)語對數(shù)據(jù)進行處置、格式化和規(guī)范化的過程注1:數(shù)據(jù)治理是數(shù)據(jù)和數(shù)據(jù)系統(tǒng)管理的基本要素。注2:數(shù)據(jù)治理涉及數(shù)據(jù)全生存周期管理,無論數(shù)據(jù)是處于靜態(tài)、動態(tài)、未完成狀態(tài)還是交易狀態(tài)。GB/T36073-2018數(shù)據(jù)管理能力成熟度評估模型數(shù)據(jù)資源及其應(yīng)用過程中相關(guān)管控活動、績效和風險管理的集合GB/T34960.5-2018信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范數(shù)據(jù)資源及其應(yīng)用過程中相關(guān)管控活動、績效和風險管理的集合GB/T34960.5-2018信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范對數(shù)據(jù)資源管理行使權(quán)力和控制的活動集合(計劃、監(jiān)督和執(zhí)行)GB/T44109-2024信息技術(shù)大數(shù)據(jù)數(shù)據(jù)治理實施指南數(shù)據(jù)管理數(shù)據(jù)資源獲取、控制、價值提升等活動的集合GB/T34960.5-2018信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范數(shù)據(jù)資源獲取、控制、價值提升等活動的集合。GB/T34960.5-2018信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范信息管理一個機構(gòu)對信息(1)源的規(guī)劃、控制和開發(fā)。GB/T4894-2009信息與文獻術(shù)語信息技術(shù)專注于信息技術(shù)體系及其績效和風險管理的一組治理規(guī)GB/T29264—2012信息技術(shù)服務(wù)GB/TXXXXX—XXXX概念定義來源治理則，由領(lǐng)導關(guān)系、組織結(jié)構(gòu)和過程組成，以確保信息技術(shù)能夠支撐組織的戰(zhàn)略目標。分類與代碼GB/TXXXXX—XXXX參考文獻[1]GB/T10112-2019術(shù)語工作原則和方法[2]GB/Z18219-2008信息技術(shù)數(shù)據(jù)管理參考模型[3]GB/T24353-2022風險管理指南[4]GB/T26162-2021信息與文獻文件（檔案）管理概念與原則[5]GB/T32923-2016信息技術(shù)安全技術(shù)信息安全治理）[6]GB/T35770-2022合規(guī)管理體系要求及使用指南[7]GB/T41245-2022項目、項目群和項目組合管理治理指南[8]GB/T42187-2022安全與韌性組織韌性原則和屬性[9]ISO/IEEE11073-10201:2020Healthinformatics—Deviceinteroperability—Part10201:Point-of-caremedicaldevicecommunication—Domaininformationmodel[10]ISO/TR14639-2Healthinformatics—Capacity-basedeHealtharchitectureroadmap—Part2.Architecturalcomponentsandmaturitymodel[11]ISO15638-6Intelligenttransportsystems—FrameworkforcollaborativeTelematicsApplicationsforRegulatedcommercialfreightVehicles(TARV)—Part6:Regulatedapplications[12]ISO/IEC15944-8Informationtechnology—Businessoperationalview—Part8:Identificationofprivacyprotectionrequirementsasexternalconstraintsonbusinesstransactions[13]ISO16439Informationanddocumentation—Methodsandproceduresforassessingtheimpactoflibraries[14]ISO/TS17187IntelligenttransportsystemsElectronicinformationexchangetofacilitatethemovementoffreightanditsintermodaltransfer—Governancerulestosustainelectronicinformationexchangemethods[15]ISO/TS17573-2:2020Electronicfeecollection—Systemarchitectureforvehiclerelatedtolling-Part2:Vocabulary[16]ISO/TR18128Informationanddocumentation—Riskassessmentforrecordsprocessesandsystems[17]ISO/TR19591Personalprotectiveequipmentforfirefighters—Standardtermsanddefinitions[18]ISO/IEC20924:2018Informationtechnology—InternetofThings(IoT)—Vocabulary[19]ISO/TR21965Informationanddocumentation—Recordsmanagementinenterprisearchitecture[20]ISO24531Intelligenttransportsystems—Systemarchitecture,taxonomyandterminology-UsingXMLinITSstandards,dataregistriesanddatadictionaries[21]ISO/IEC/TR26927Informationtechnology—TelecommunicationsandinformationexchangeCorporatetelecommunicationnetworks—Mobilityforenterprisebetweensystemscommunications[22]ISO/IEC27000:2018Informationtechnology—Securitytechniques—InformationsecurityGB/TXXXXX—XXXXmanagementsystems--Overviewandvocabulary[23]ISO/IEC27050Informationtechnology—Electronicdiscovery[