Portail de connaissances DCAM / Messages / Catégorie DCAM v3 / Cadre DCAM v3 - 7.0 Opérations de gestion des données, risques et contrôles

Cadre DCAM v3 - 7.0 Opérations de gestion des données, risques et contrôles

3 novembre 2025 Sans commentaires

DCAM Framework Component 7

Matière supérieure

Introduction

Le Gestion des données Opérations, risques et contrôles L'environnement de gestion des données désigne l'état de fonctionnement dans lequel les données d'une organisation sont gérées de manière globale dans l'ensemble de l'organisation. Un environnement de gestion des données performant comporte trois éléments.
  1. Les objectifs et les capacités de gestion des données (GD) décrits dans ce document ont été adoptés et intégrés dans toute l'organisation.
  2. Le cycle de vie des données est pleinement soutenu par toutes les parties prenantes. Ces parties prenantes assurent la compréhension, la connaissance et le contrôle des données tout au long de la chaîne d'approvisionnement, de la source à la consommation et à l'élimination.
  3. La gestion des données fait partie de l'écosystème des données de l'organisation. Il est intégré et coordonné avec toutes les autres fonctions de contrôle à l'échelle de l'organisation.
Le volet Opérations, risques et contrôle de la gestion des données porte sur la mise en œuvre opérationnelle de la gestion des données par l'organisation, grâce à la coordination des ressources, des processus et de la technologie dans le cadre d'un ensemble de pratiques cohérentes et homogènes. Le cycle de vie du développement des données est une capacité clé pour la gestion des données tout au long de leur durée de vie au sein d'une organisation. Il garantit la confidentialité, l'intégrité et la disponibilité des données, ainsi que le stockage, l'utilisation, l'analyse et l'élimination des données, tout en maximisant leur valeur et en répondant aux objectifs de l'entreprise. La gestion du cycle de vie du développement des données permet une meilleure gestion des risques et du contrôle des données, tout en assurant la coordination et la collaboration des ressources, des pratiques et des méthodes pour d'autres organisations. DCAM y compris les exigences en matière de données, architecture de données, qualité des données, et la gouvernance des données. La mesure dans laquelle le cycle de vie du développement des données est respecté a une incidence sur l'amélioration des résultats de la gestion des risques liés aux données. Les risques liés aux données devraient être définis et gérés conformément au cadre de gestion des risques de l'organisation. Une gestion des données bien coordonnée est fondamentale pour les organisations qui s'efforcent d'optimiser les opérations de gestion des données, de se conformer aux exigences réglementaires et de libérer la valeur commerciale des données.

Définition

Le Gestion des données Opérations, risques et contrôles La composante "gestion des données" est constituée de capacités qui forment un environnement de gestion des données permettant de superviser et de contrôler les actifs de données d'une organisation. Il intègre des pratiques cohérentes en matière de cycle de vie, de gestion des risques et des contrôles des données, et nécessite une collaboration organisationnelle, une responsabilisation et un alignement sur les objectifs stratégiques.

Portée

  • Mettre en place des pratiques cohérentes en matière de cycle de vie du développement des données afin de permettre un environnement de gestion des données durable et conforme aux pratiques habituelles.
  • Harmoniser les ressources humaines, les processus, les technologies et les pratiques de gestion des données au sein de l'organisation afin de parvenir à un écosystème de données cohérent et de bout en bout.
  • Alignez la gestion des données avec la gestion globale des risques de l'organisation afin d'établir une approche et un plan de gestion des risques liés aux données.

Proposition de valeur

Le DCAM permet une approche globale de la gestion des données tout au long de leur cycle de vie, avec des contrôles basés sur des exigences détaillées en matière de données, une stratégie cohésive d'atténuation des risques et une structure claire de responsabilité. Ces capacités permettent aux personnes à tous les niveaux de l'organisation de participer efficacement à la gestion des données. Les objectifs stratégiques et opérationnels qui dépendent des données sont soutenus par cette approche, qui permet aux organisations d'équilibrer la création de valeur à partir des données et la gestion des risques liés aux données. Une telle approche favorise un écosystème de données de haute qualité et durable qui peut s'avérer essentiel à la mise en œuvre de la stratégie commerciale et des obligations réglementaires de l'organisation.

Aperçu

Activation de la DCAM La mise en place d'un cadre de gestion des données signifie l'intégration des composants de base de la gestion des données - l'architecture (entreprise, données et technologie), Qualité des données, et la gouvernance des données - à tous les stades du cycle de vie du développement des données d'une organisation. Le diagramme ci-dessous présente une représentation visuelle du cycle de vie du développement des données. DCAM Composants du cadre alignés pour gérer les données depuis les exigences jusqu'à l'élimination.

Operationalizing DCAM

Diagramme 7.1 : Opérationnalisation DCAM

Le diagramme sert de représentation visuelle renforçant l'importance des exigences en matière de données, de la gestion du cycle de vie du développement des données et du contrôle des données pour atteindre l'excellence en matière de données. Caractéristiques clés de l'opérationnalisation DCAM inclure :
  • Collaboration, culture et responsabilité : Le succès de la gestion des données repose sur une culture axée sur les données, une responsabilité claire, un leadership fort, la maîtrise des données et l'engagement actif de chacun. La collaboration au sein de l'organisation est essentielle pour maintenir un écosystème de données efficace. Par exemple, les équipes chargées de la sécurité de l'information, de la gestion du stockage, de la législation et de la conformité, de la protection de la vie privée et de la gestion des fournisseurs ont toutes des responsabilités qui influent sur la manière dont les données sont gérées.
  • Cycle de vie du développement des données : orchestre les activités de gestion des données dans l'ensemble de l'organisation en s'appuyant sur un système de gestion des données. standard, Il s'agit d'une méthodologie cohérente et reproductible. Le cycle de vie du développement des données aligne les activités de gestion des données dans un flux opérationnel, en veillant à ce que chacune d'entre elles bénéficie des ressources, des priorités et du soutien des fonctions commerciales, des données et de la technologie. La coordination des équipes entre ces activités est cruciale pour le succès de l'initiative de gestion des données.
  • L'entreprise est au cœur de l'action : une organisation de gestion des données axée sur l'entreprise garantit que les données sont fiables, accessibles et exploitables, ce qui permet à l'entreprise de prendre des décisions éclairées, d'optimiser ses opérations et d'acquérir un avantage concurrentiel. Au lieu d'être un sous-produit des opérations, les données deviennent un moteur essentiel de la réussite de l'entreprise.
  • Curated métadonnées: sert de base à la gestion du cycle de vie des données, permettant aux organisations de définir, de suivre et de gérer les exigences, les risques, les contrôles et les responsabilités en matière de données. Métadonnées facilite l'automatisation de la gestion des données.
  • Traçabilité des exigences : doit être exhaustif afin de couvrir l'ensemble des besoins des entreprises, par exemple les règles de traitement des données, la conservation, l'élimination, les dimensions de la qualité, la propriété, l'utilisation éthique et d'autres aspects opérationnels de l'utilisation des données. DCAM capacités. Cela est particulièrement important pour les données qui sont partagées entre plusieurs consommateurs de données et pour les attributs de données de base qui sont utilisés comme référence pour l'expression ultérieure dans les calculs opérationnels ou les formules d'entreprise.
  • Contrôles normalisés de la gestion des données : sont appliquées de manière cohérente aux données tout au long des étapes du cycle de vie, ce qui garantit l'application des meilleures pratiques en matière de conception, de déploiement, d'exécution et de documentation des contrôles. Cela améliore l'efficacité et la réutilisation dans l'ensemble de l'organisation. Un inventaire de tous les contrôles de données est essentiel pour la disponibilité des données, la responsabilité, la qualité, l'atténuation des risques et l'alignement sur les objectifs de l'entreprise.
  • Aligné sur la gestion des données Politique et des normes : A standard Le cycle de vie du développement des données garantit le respect des meilleures pratiques en matière de gestion des données et la coordination avec les processus organisationnels tels que le cycle de vie du développement des logiciels et le cycle de vie des données. architecture d'entreprise. Travailler en collaboration au sein d'un écosystème, c'est reconnaître l'interdépendance.
L'objectif est de créer un écosystème de données sécurisé, évolutif et durable qui contrôle et fournit des données pour les besoins de l'entreprise. Le cycle de vie du développement des données orchestre les composants de la gestion des données afin de gérer efficacement les données dans l'ensemble de l'organisation. Un cycle de vie de développement des données cohérent aligne les capacités dans un flux opérationnel, en veillant à ce que chaque élément soit doté de ressources, priorisé et soutenu par les fonctions métier, données et technologiques. La coordination et la collaboration sont essentielles au succès de l'initiative de gestion des données. Il incombe à l'organisation de la gestion des données et à l'équipe dirigeante de l'organisation de la gestion des données d'assurer la coordination et la collaboration. agent de données à chaque niveau de l'organisation pour coordonner et gérer le cycle de vie du développement des données modèle. Cela permet de définir correctement la signification des données, de garantir qualité des données, Le processus de gestion des données, qui facilite la gouvernance des données et soutient la fourniture de données en temps voulu et de manière efficace. La preuve des processus et de leur adoption doit être documentée et compilée par la démonstration des structures organisationnelles, des chartes, des politiques et des directives de la haute direction.

Questions fondamentales

  • Une approche de gestion du cycle de vie des données est-elle utilisée pour contrôler la gestion des données du champ de l'enquête ?
  • Le cycle de vie des données est-il aligné et soutenu par des politiques et des normes de gestion des données ?
  • Des contrôles appropriés sont-ils appliqués à l'ensemble du cycle de vie des données ?
  • Les concepts de contrôle des données sont-ils alignés sur l'ensemble de l'écosystème de l'organisation (personnes, processus et la technologie) ?
  • La gestion des données est-elle alignée sur Entreprise Pratiques de gestion des risques à l'appui de la gestion des risques liés aux données ?
  • Les risques liés aux données sont-ils alignés sur les exigences de l'entreprise en matière de données ?
  • Sont contrat de données et des accords de partage identifiés et gérés ?

Artefacts principaux

  • Cycle de vie du développement des données
  • Inventaire des besoins en données
  • Risque lié aux données Taxonomie
  • Inventaire des contrôles de données
  • Journal des risques liés aux données
  • Accord de partage de données

7.1 Opérations de gestion des données

Les opérations de gestion des données doivent permettre d'identifier, de comprendre et de hiérarchiser les exigences relatives aux données conservées, et d'atténuer les risques liés aux données grâce à des contrôles efficaces. Les opérations de gestion des données consistent à s'assurer que les actifs de données sont gérés correctement tout au long du cycle de développement des données, ce qui constitue un impératif stratégique pour toute organisation centrée sur les données. Cela nécessite une standard une approche du cycle de vie du développement des données à appliquer de manière cohérente aux données structurées et non structurées dans l'ensemble de l'organisation, des exigences globales en matière de données et une gestion appropriée des fournisseurs de données. Une approche normalisée de la gestion des données tout au long de leur cycle de vie peut optimiser les opérations d'une organisation. Il s'agit notamment de veiller à ce que les données soient correctement créées, traitées, stockées, conservées et éliminées, ce qui permet de limiter la redondance, de minimiser les données et d'optimiser les coûts de stockage.

7.1.1 Approche du cycle de vie du développement des données

Description
Le cycle de vie du développement des données est un modèle pour gérer les données depuis leur création initiale jusqu'à leur élimination finale. Il s'agit d'une série de phases qui garantissent que les données sont traitées de manière efficace et sécurisée, et qu'elles répondent aux exigences et aux objectifs de l'entreprise.
Objectifs
  • Établir un cycle de vie normalisé pour le développement des données afin de garantir la cohérence des pratiques et des processus de gestion des données.
Conseil
Les cycles de vie du développement des données varient d'une organisation à l'autre, mais chacun englobe généralement l'acquisition, le traitement, le stockage, la maintenance, la distribution, la consommation, l'archivage et l'élimination des données. Des exigences globales en matière de données doivent être définies pour permettre le contrôle des données à chaque étape successive du cycle de vie. La mise en œuvre de l'approche du cycle de vie des données nécessite une hiérarchisation et une planification minutieuses, généralement exécutées de manière itérative sur une longue période. La mise en œuvre de l'approche du cycle de vie du développement des données peut s'avérer très complexe, en particulier dans les grandes organisations qui ont des domaines de données multiples, des types de données divers et des besoins qui relèvent de plusieurs juridictions. Il peut être prudent d'échelonner le déploiement du cycle de vie du développement des données, sur la base de priorités organisationnelles bien comprises et d'un champ d'application soigneusement planifié qui peut être progressivement élargi. L'approche du cycle de vie du développement des données doit tenir compte de l'alignement et de l'activation des éléments suivants DCAM Il doit refléter l'utilisation et l'application des ressources (humaines et matérielles) à travers les étapes du cycle de vie. Il doit refléter l'utilisation et l'application des ressources (personnes, processus et technologie) à toutes les étapes du cycle de vie des données.
Questions
  • L'organisation utilise-t-elle un cycle de vie de développement des données pour ses modèle pour gérer les données de manière cohérente ?
  • Le cycle de vie du développement des données est-il soutenu par politique, des normes et des processus à utiliser pour la gestion des données (structurées et non structurées), avec des dispositions pour le traitement des exceptions
Artefacts
  • Approche et plan de gouvernance des données
  • Cycle de vie des données Processus et normes
Score
Non initié
Il n'existe pas d'approche formelle du cycle de vie des données.
Conceptuel
Il n'existe pas d'approche formelle du cycle de vie des données, mais le besoin est reconnu et le développement est en cours de discussion.
Du développement
Une approche formelle du cycle de vie des données est en cours d'élaboration.
Défini
L'approche du cycle de vie du développement des données est définie, validée et approuvée par les parties prenantes directement concernées.
Réalisé
L'approche formelle du cycle de vie du développement des données est établie et appliquée aux initiatives de gestion des données.
Amélioré
L'approche du cycle de vie du développement des données fait partie des pratiques habituelles et est régulièrement évaluée pour en vérifier la pertinence et l'efficacité.

7.1.2 Approche relative aux exigences en matière de données

Description
Les données sont gérées tout au long des étapes du cycle de vie du développement des données sur la base des exigences en matière de données qui sont établies et suivies pour répondre aux objectifs spécifiques de l'entreprise. La gestion des besoins en données nécessite des processus et des procédures pour identifier, définir, hiérarchiser, valider, suivre et documenter les besoins en données de l'entreprise.
Objectifs
  • Saisir et gérer les exigences en matière de données de manière cohérente pour soutenir les objectifs de l'entreprise.
  • Gérer les besoins en données conformément aux processus et procédures établis.
  • Documenter l'alignement des exigences en matière de données sur les processus commerciaux et technologiques, les étapes du cycle de vie des données, les risques liés aux données et les contrôles des données.
Conseil
Les données sont gérées tout au long des étapes du cycle de vie des données à l'aide de processus et de contrôles qui répondent à des exigences globales et détaillées en matière de données. L'organisation de la gestion des données facilite la processus en collaboration avec toutes les parties prenantes, y compris, mais sans s'y limiter, Les exigences en matière de données concernent l'organisation, l'entreprise, l'architecture et la technologie. Les exigences en matière de données répondent aux objectifs stratégiques et opérationnels de l'organisation, tels que qualité des données, L'objectif est d'améliorer la qualité de l'information, la disponibilité, la rentabilité, la création de valeur pour l'entreprise et la conformité aux réglementations. Exigences peuvent être définies à n'importe quel niveau de données, y compris en ce qui concerne les éléments physiques uniques, les éléments commerciaux, les classifications, les domaines de données, les ensembles de données régionaux ou basés sur des applications, et les produits de données. Les exigences peuvent concerner une ou plusieurs étapes du cycle de vie et doivent refléter des contraintes opérationnelles spécifiques. Les exigences en matière de données doivent être examinées et classées conformément à la politique de l de l'organisation les pratiques de gouvernance des données. Exigences peuvent être mis en correspondance avec les processus commerciaux et technologiques, les étapes du cycle de vie des données, les risques et les contrôles, et doivent être rendus accessibles en tant qu'éléments de la politique de l'entreprise. métadonnées pour les processus automatisés et manuels.
Questions
  • Les besoins en données sont-ils identifiés, saisis, évalués et vérifiés avec les parties prenantes ?
  • Les exigences en matière de données sont-elles mises en correspondance avec les objectifs de l'entreprise et les parties prenantes ?
  • Les exigences en matière de données sont-elles régulièrement revues et mises à jour ?
  • Les exigences en matière de données sont-elles validées par rapport aux normes ?
Artefacts
  • Normes relatives aux exigences en matière de données, processus, procédures et guide de l'utilisateur pour la conservation des exigences en matière de données
Score
Non initié
Il n'existe pas d'approche formelle des exigences en matière de données.
Conceptuel
Il n'existe pas d'approche formelle des exigences en matière de données, mais le besoin est reconnu et l'élaboration est en cours de discussion.
Du développement
L'approche formelle des exigences en matière de données est en cours d'élaboration.
Défini
L'approche des exigences en matière de données est définie, validée et approuvée par les personnes directement concernées. partie prenante.
Réalisé
L'approche formelle des exigences en matière de données est établie et constitue l'outil de gestion des exigences en matière de données. standard pour gérer les besoins en données.
Amélioré
L'approche des exigences en matière de données fait partie des pratiques habituelles et est régulièrement évaluée pour en vérifier la pertinence et l'efficacité.

7.1.3 Approche de la gestion des fournisseurs de données

Description
La gestion des fournisseurs de données implique un ensemble de pratiques conçues pour organiser et gérer les accords contractuels avec des tiers et les accords de partage de données. Les principaux objectifs sont de s'assurer que la source de données est adaptée aux exigences du consommateur en matière de données commerciales et que la fourniture de données de qualité est établie et maintenue. Il est important de gérer et de maintenir de manière cohérente les accords avec les fournisseurs de données, qu'ils soient internes ou externes.
Objectifs
  • Garantir une approche formelle et cohérente de la gestion du partage des données qui couvre les fournisseurs internes et externes sur la base d'accords de niveau de service, d'accords de partage des données ou de contrats avec des tiers.
  • Respecter les politiques internes, les lois, les règles et les règlements relatifs à la collecte, au stockage, à la gestion, à l'utilisation et à la suppression des données.
  • Veiller à ce que les exigences en matière de données communiquées aux fournisseurs de données soient alignées sur les exigences de l'entreprise et motivées par celles-ci, en tenant compte de la gestion des risques liés aux données, qualité des données, ou les besoins liés au cycle de vie des données.
Conseil
L'approche de la gestion et de la coordination des fournisseurs de données doit s'inscrire dans un ensemble commun de pratiques garantissant cohérence dans la manière dont l'organisation s'engage avec les fournisseurs de données, tant internes qu'externes. Une gestion efficace des fournisseurs repose sur la mise en correspondance des besoins en données avec les sources appropriées (internes ou externes) et sur l'établissement, la gestion et le suivi d'accords de niveau de service pour atteindre les objectifs de l'entreprise. Les processus pour l'identification et la sélection des fournisseurs de données devrait garantir que l'organisation ne fait pas double emploi dans l'acquisition des données et qu'elle établit des niveaux de service mesurables et des critères d'évaluation de la qualité des données. qualité des données L'approche doit préciser comment les performances du prestataire seront évaluées et comment les demandes de remédiation seront signalées et suivies. L'approche doit préciser comment les performances d'un prestataire seront évaluées, comment les demandes de remédiation seront signalées et suivies, et comment la qualité ou l'efficacité de l'intervention du prestataire seront évaluées. processus les problèmes seront résolus. La gestion des fournisseurs de données doit être alignée sur le cycle de vie du développement des données de l'organisation et sur les éléments suivants DCAM Les actifs de données et les accords associés doivent être régis par le système de gestion des données de l'organisation. Les actifs de données et les accords associés doivent être régis par le système de gestion des données de l'organisation. standard Le cycle de vie des données, en assurant une gestion formelle des obligations de l'accord. Le contrat de tierce partie processus devrait consister à évaluer les pratiques du fournisseur en matière de données afin de s'assurer qu'elles sont conformes aux exigences de l'entreprise. Si un système de gestion des fournisseurs dédié est mis en place, il devrait être possible d'évaluer les pratiques du fournisseur en matière de données. fonction existent, envisager d'intégrer des contrôles de diligence raisonnable des fournisseurs de données dans les processus de passation de marchés.
Questions
  • Comment les exigences en matière de recherche de données sont-elles définies, validées et classées par ordre de priorité ?
  • Les aspects détaillés (par exemple, le calendrier, les limites d'utilisation, le contenu) des accords ou des contrats sont-ils saisis, compris, stockés et gérés ?
  • Comment le service du fournisseur de données, la qualité du contenu et la performance sont-ils évalués et gérés ?
  • A-t-il le fonction de gouvernance des données a-t-on accordé l'autorisation de mettre en œuvre l'approche ?
  • Existe-t-il des normes de partage des données pouvant être utilisées en interne et avec des fournisseurs de données externes ?
Artefacts
  • Gestion des fournisseurs de données Processus
  • Accord de partage de données Modèles
  • Rapports des fournisseurs de données
  • Référentiel des accords de partage de données
Score
Non initié
Il n'existe pas d'approche formelle de la gestion des fournisseurs de données.
Conceptuel
Il n'existe pas d'approche formelle de la gestion des fournisseurs de données, mais le besoin est compris et des discussions sont en cours.
Du développement
Une approche formelle de la gestion des fournisseurs de données est en cours d'élaboration.
Défini
L'approche de la gestion du partage des données est définie, validée et approuvée par les parties prenantes concernées.
Réalisé
L'approche de la gestion des fournisseurs de données est établie, reconnue et suivie par les parties prenantes.
Amélioré
L'approche de la gestion des fournisseurs de données est considérée comme faisant partie des pratiques courantes et fait l'objet d'une évaluation régulière afin d'en vérifier la pertinence et l'efficacité.

7.2 Gestion des risques liés aux données

L'évaluation continue des risques liés aux données et l'amélioration de la réponse de l'organisation aux menaces constituent la base d'une gestion efficace des données. Il est essentiel d'identifier, de classer, d'atténuer et de suivre les risques inhérents aux données et le risque résiduel après les mesures d'atténuation.
  • Les risques inhérents aux données concernent les vulnérabilités potentielles des données présentes dans les processus et l'infrastructure de gestion des données d'une organisation avant la mise en œuvre de tout contrôle des risques liés aux données. Les risques inhérents aux données peuvent inclure la possibilité que des données soient perdues ou volées, erronées ou manquantes, conservées à tort, supprimées à tort, utilisées de manière illégale ou inappropriée. Les organisations doivent définir leurs exigences en matière de risques liés aux données afin de déterminer les mesures d'atténuation appropriées.
  • Les risques résiduels liés aux données désignent les niveaux de risque qui persistent après l'adoption de mesures d'atténuation des risques.
En comprenant les risques inhérents et résiduels liés aux données ainsi que les risques liés aux données politique, L'organisation peut alors mettre en œuvre des mesures d'atténuation ciblées qui s'alignent sur sa stratégie de gestion des données et sur le cycle de vie des données. Cet alignement garantit cohérence dans la gestion des risques liés aux données, s'appuie sur la gouvernance des données pour la responsabilité et la surveillance, intègre les considérations de risque dans les décisions commerciales liées aux données et permet l'identification et la gestion proactives des problèmes. Lors de la mise en place et du maintien d'une approche de gestion des risques liés aux données, l'organisation doit prendre en compte des facteurs tels que ses objectifs, les spécificités de son secteur d'activité, le paysage réglementaire, les implications financières et la réputation, partie prenante Les pratiques de gestion des risques liés aux données garantissent la qualité, l'intégrité, la disponibilité et la sécurité des données tout en maintenant la conformité réglementaire et en soutenant une prise de décision éclairée dans l'ensemble de l'organisation. Des pratiques efficaces de gestion des risques liés aux données garantissent la qualité, l'intégrité, la disponibilité et la sécurité des données, tout en maintenant la conformité réglementaire et en favorisant une prise de décision éclairée dans l'ensemble de l'organisation. entreprise.

7.2.1 Approche de la gestion des risques liés aux données

Description
L'approche de la gestion des risques liés aux données de l'organisation fournit une base pour identifier, évaluer et atténuer les risques liés aux données. L'approche doit également tenir compte du fait que les catégories et les niveaux de risque peuvent être redéfinis au fil du temps, ce qui peut avoir une incidence sur l'efficacité des approches d'atténuation prévues et déjà mises en œuvre.
Objectifs
  • Établir une approche de la gestion des risques liés aux données, alignée sur le cadre de gestion des risques de l'organisation.
  • Mettre en place des mécanismes de mesure, de rapport et de remontée des risques liés aux données.
Conseil
L'approche de la gestion du risque lié aux données doit englober un ensemble de politiques, de normes, de rôles et de responsabilités conçus pour gérer le risque lié aux données dans l'ensemble de l'organisation. La gestion du risque lié aux données doit être intégrée ou alignée sur l'approche globale de la gestion des risques de l'organisation (en fonction de la nature de l'organisation) en utilisant une représentation complète du risque lié aux données. Le risque lié aux données est un élément essentiel du profil de risque de l'organisation qui doit être clairement défini, car les données soutiennent toutes les activités de l'entreprise et peuvent avoir des répercussions importantes. Si les risques liés aux données ne sont pas clairement définis, il est impossible de déterminer les contrôles de données les plus appropriés pour les atténuer. Une fois que les contrôles sont en place pour faire face aux risques identifiés liés aux données, un rapport sur les problèmes de gestion des données peut être établi. processus devrait être établi pour faciliter l'identification et l'évaluation des risques, ainsi que la hiérarchisation des mesures correctives.
Questions
  • L'organisation dispose-t-elle d'une approche définie de la gestion des risques liés aux données ?
  • L'organisation a-t-elle défini ses politiques en matière de risques liés aux données, y compris les principaux indicateurs de risque ?
  • L'organisation dispose-t-elle d'un plan détaillé de gestion des risques liés aux données ? taxonomie?
  • L'organisation définit-elle le risque lié aux données dans le cadre plus large de la gestion des risques ? taxonomie ou le cadre de gestion des risques ?
  • Les risques liés aux données sont-ils alignés sur le(s) contexte(s) des données, tels que les processus opérationnels, les étapes du cycle de vie des données ou le plan comptable ?
  • Existe-t-il un inventaire des contrôles des risques liés aux données documentés au sein de l'organisation, et ont-ils été cartographiés sur la base du risque lié aux données ? taxonomie et le cycle de vie des données ?
Artefacts
  • Approche de la gestion des risques liés aux données
  • Risque lié aux données politique, normes et procédures
  • Exigences en matière de risques liés aux données (à l'aide d'indicateurs de risques clés)
  • Risque lié aux données Taxonomie
  • Inventaire des contrôles des risques liés aux données
Score
Non initié
Il n'existe pas d'approche formelle de la gestion des risques liés aux données.
Conceptuel
Il n'existe pas d'approche formelle de la gestion des risques liés aux données, mais le besoin est reconnu et des discussions sont en cours.
Du développement
L'approche formelle de la gestion des risques liés aux données est en cours d'élaboration.
Défini
L'approche de la gestion des risques liés aux données existe et a été approuvée par les parties prenantes.
Réalisé
L'approche de la gestion des risques liés aux données a été établie et est utilisée pour diriger la gestion des risques liés aux données.
Amélioré
L'approche de la gestion des risques liés aux données est utilisée dans le cadre des activités courantes et fait l'objet d'une évaluation régulière afin d'en vérifier la pertinence et l'efficacité.

7.2.2 Plan et méthodologie d'examen des risques liés aux données

Description
L'équipe responsable de l'examen des risques liés aux données dans l'organisation doit élaborer et tenir à jour un plan et des méthodes appropriées pour examiner la gestion des risques liés aux données. Elle gère le plan et les méthodes appropriés pour mener des examens du risque lié aux données afin d'assurer la conformité des personnes responsables de la gestion et de la manipulation actives des données.
Objectifs
  • Établir et maintenir le plan et la méthodologie de surveillance de la gestion des risques liés aux données.
  • Veiller à la mise en place de politiques, de normes, de procédures et d'orientations sur les meilleures pratiques en matière de risques liés aux données.
  • Les méthodes d'examen des risques liés aux données sont alignées sur les processus de gouvernance des données.
  • Mettre en place une approche systématique pour identifier, évaluer et mesurer les risques potentiels liés aux données.
Conseil
L'objectif de l'examen des risques liés aux données est de comprendre l'approche de la gestion des risques liés aux données afin d'élaborer un plan permettant d'effectuer des examens réguliers et continus pour s'assurer que les risques liés aux données définis et les mesures d'atténuation associées répondent aux attentes de l'organisation. La responsabilité de l'examen doit être indépendante de la responsabilité de la gestion directe des données. Le plan doit envisager l'examen des activités d'identification, de mesure et de notification des risques liés aux données, ainsi que la confirmation de la conformité aux risques liés aux données. politique et des normes. L'examen processus peut s'appuyer sur des outils de gestion des risques liés aux données et standard des modèles d'artefacts permettant d'identifier, de mesurer et de signaler les risques liés aux données, sur la base du risque taxonomie. Le cas échéant, il convient de vérifier l'alignement sur les protocoles de gestion des risques au sens large de l'organisation. L'examen des risques liés aux données processus devrait permettre à l'organisation de mieux comprendre pourquoi le risque lié aux données est important et d'améliorer la conformité globale à la gestion du risque lié aux données. Cela devrait également faciliter une compréhension commune de l'importance du risque lié aux données et améliorer la conformité globale à la gestion du risque lié aux données. matérialité du risque lié aux données dans l'ensemble des activités de l'organisation.
Questions
  • Existe-t-il une personne ou une équipe désignée responsable de l'exécution de la surveillance des risques liés aux données ? processus?
  • Y a-t-il un standard méthodologie pour déterminer l'étendue et l'exécution de la surveillance des risques liés aux données ?
  • Des indicateurs clés de performance et de risque pour les données ont-ils été établis et communiqués ?
  • Existe-t-il une définition du risque lié aux données ? Politique et l'information sur les risques modèle?
  • Les problèmes de risques liés aux données sont-ils enregistrés, surveillés et signalés à l'aide de standard Gestion des données Processus de gestion des problèmes ?
  • Existe-t-il une fréquence régulière d'examen de la gestion des risques liés aux données dans l'ensemble de l'organisation, avec compte rendu aux parties prenantes, aux cadres supérieurs et aux comités des risques ?
Artefacts
  • Méthodologie de surveillance des risques liés aux données
  • Rôles et responsabilités en matière de gestion des risques liés aux données
  • Plan de surveillance de la gestion des risques liés aux données
  • Rapport sur les risques liés aux données
  • Rapports sur les risques liés aux données
Score
Non initié
Il n'existe pas de plan et de méthodologie formels de surveillance des risques liés aux données.
Conceptuel
Il n'existe pas de plan et de méthodologie formels de surveillance des risques liés aux données, mais le besoin est compris et des discussions sont en cours entre les parties prenantes.
Du développement
Le plan et la méthodologie officiels de surveillance des risques liés aux données sont en cours d'élaboration.
Défini
Le plan et la méthodologie de surveillance des risques liés aux données sont définis, validés et approuvés par les parties prenantes.
Réalisé
Le plan et la méthodologie de surveillance du risque lié aux données ont été établis et sont utilisés pour diriger la gestion du risque lié aux données.
Amélioré
Le plan et la méthodologie de surveillance des risques liés aux données sont utilisés dans le cadre des activités courantes et font l'objet d'une évaluation régulière afin de vérifier leur pertinence et leur efficacité.

7.3 Gestion du contrôle des données

Un ensemble complet et intégré de contrôles des données permet de gérer les données en fonction des objectifs et des exigences de l'entreprise. Plutôt que de se concentrer sur un seul point d'une processus, Il devrait englober l'ensemble du cycle de vie des données, garantissant une gestion transparente lorsque les données passent par différents processus au sein d'une organisation. Ces processus auront des besoins et des attentes différents en matière de données, ce qui rend un contrôle complet essentiel. Maintenir cohérence dans les normes de contrôle des données améliore l'efficacité opérationnelle en rationalisant la gestion de différents types de contrôles, notamment qualité des données Il s'agit notamment des règles de confidentialité, des mesures de protection des données et de l'élimination des données. Cependant, une approche solide doit inclure l'automatisation des contrôles de données, qui devient un aspect essentiel de la gestion moderne des données. Au-delà des contrôles du traitement des données, il devrait également y avoir des contrôles pour soutenir d'autres capacités clés, telles que l'architecture et la gouvernance. L'objectif est d'adopter une approche optimisée et commune des contrôles de données, applicable à toutes les activités de gestion des données et alignée sur un contrôle global inter-organisationnel. fonction exigences.

7.3.1 Approche et plan de contrôle des données

Description
L'approche du contrôle des données met l'accent sur cohérence dans la mise en œuvre et la gestion de contrôles de données efficaces, tout en permettant une réutilisation maximale des contrôles tout au long du cycle de vie des données et dans l'ensemble de l'organisation.
Objectifs
  • Veiller à une définition claire des politique, Les normes et les processus de contrôle des données, ainsi que leur applicabilité dans l'ensemble de l'organisation.
  • Faciliter l'alignement des contrôles de données sur les taxonomies de l'organisation pour les capacités, les processus, les risques liés aux données et le cycle de vie des données.
  • Assurer l'alignement de l'approche du contrôle des données sur les exigences de contrôle opérationnel, les fonctions de contrôle interorganisationnelles et l'audit interne, le cas échéant.
  • Saisir les résultats des contrôles pour les mesurer dans le temps, ce qui permet d'analyser l'efficacité.
Conseil
La définition de processus et de pratiques pour le contrôle des données nécessite la collaboration de toutes les parties prenantes concernées. Ces processus et pratiques doivent être clairement communiqués à l'ensemble de l'organisation afin de garantir cohérence et la responsabilité. Les principaux aspects du contrôle des données sont les suivants
  • Définition du contrôle et de la propriété : Le succès de la gestion des données repose sur une culture axée sur les données, une responsabilité claire, un leadership fort, la maîtrise des données et l'engagement actif de chacun. La collaboration au sein de l'organisation est essentielle pour maintenir un écosystème de données efficace. Par exemple, les équipes chargées de la sécurité de l'information, de la gestion du stockage, de la législation et de la conformité, de la protection de la vie privée et de la gestion des fournisseurs ont toutes des responsabilités qui influent sur la manière dont les données sont gérées.
  • Contrôles préventifs et contrôles de détection : orchestre les activités de gestion des données dans l'ensemble de l'organisation en s'appuyant sur un système de gestion des données. standard, Il s'agit d'une méthodologie cohérente et reproductible. Le cycle de vie du développement des données aligne les activités de gestion des données dans un flux opérationnel, en veillant à ce que chacune d'entre elles bénéficie des ressources, des priorités et du soutien des fonctions commerciales, des données et de la technologie. La coordination des équipes entre ces activités est cruciale pour le succès de l'initiative de gestion des données.
  • Types et applications : une organisation de gestion des données axée sur l'entreprise garantit que les données sont fiables, accessibles et exploitables, ce qui permet à l'entreprise de prendre des décisions éclairées, d'optimiser ses opérations et d'acquérir un avantage concurrentiel. Au lieu d'être un sous-produit des opérations, les données deviennent un moteur essentiel de la réussite de l'entreprise.
  • Normalisation et automatisation : sert de base à la gestion du cycle de vie des données, permettant aux organisations de définir, de suivre et de gérer les exigences, les risques, les contrôles et les responsabilités en matière de données. Métadonnées facilite l'automatisation de la gestion des données.
  • Gouvernance et intégration : doit être exhaustif afin de couvrir l'ensemble des besoins des entreprises, par exemple les règles de traitement des données, la conservation, l'élimination, les dimensions de la qualité, la propriété, l'utilisation éthique et d'autres aspects opérationnels de l'utilisation des données. DCAM capacités. Cela est particulièrement important pour les données qui sont partagées entre plusieurs consommateurs de données et pour les attributs de données de base qui sont utilisés comme référence pour l'expression ultérieure dans les calculs opérationnels ou les formules d'entreprise.
  • Contrôle de la gestion des stocks : sont appliquées de manière cohérente aux données tout au long des étapes du cycle de vie, ce qui garantit l'application des meilleures pratiques en matière de conception, de déploiement, d'exécution et de documentation des contrôles. Cela améliore l'efficacité et la réutilisation dans l'ensemble de l'organisation. Un inventaire de tous les contrôles de données est essentiel pour la disponibilité des données, la responsabilité, la qualité, l'atténuation des risques et l'alignement sur les objectifs de l'entreprise.
  • Contrôle, mesure et rapport : A standard Le cycle de vie du développement des données garantit le respect des meilleures pratiques en matière de gestion des données et la coordination avec les processus organisationnels tels que le cycle de vie du développement des logiciels et le cycle de vie des données. architecture d'entreprise. Travailler en collaboration au sein d'un écosystème, c'est reconnaître l'interdépendance.
En intégrant des contrôles de données dans les processus opérationnels, les organisations peuvent réduire les risques liés aux données, améliorer la gouvernance des données, faciliter la conformité réglementaire et augmenter l'efficacité globale de la gestion des données. Les contrôles de données sont établis en fonction des besoins de l'entreprise et doivent prendre en charge les types de données structurées et non structurées.
Questions
  • Existe-t-il un ensemble de politiques, de normes et de processus pour la gestion des contrôles des données ?
  • Existe-t-il un inventaire des contrôles de données compilé et vérifié ?
  • Les contrôles des données sont-ils mis en correspondance avec des concepts organisationnels clés tels que les processus, les risques, les capacités commerciales et les processus afin de soutenir une gestion appropriée des données pour ces derniers ?
  • Existe-t-il des processus ou des outils permettant de surveiller l'exécution des contrôles de données au moyen de mesures, sur la base des détails de l'inventaire des contrôles de données et des données liées à la surveillance ? métadonnées?
Artefacts
  • Contrôle des données politique, Les normes et les processus de l'UE
  • Inventaire des contrôles de données
  • Cartographie du contrôle des données
  • Contrôle des données Suivi et rapports
Score
Non initié
Il n'existe pas d'approche formelle du contrôle des données.
Conceptuel
Il n'existe pas d'approche formelle du contrôle des données, mais le besoin est reconnu et des discussions sont en cours. processus.
Du développement
L'approche du contrôle des données est en cours d'élaboration.
Défini
L'approche formelle du contrôle des données est définie et a été validée et approuvée par les parties prenantes.
Réalisé
L'approche formelle des contrôles des données est établie, comprise et utilisée pour guider l'utilisation des contrôles des données.
Amélioré
L'approche formelle du contrôle des données est établie dans le cadre de l'activité courante et est évaluée régulièrement pour vérifier sa pertinence et son efficacité.
Composant suivant
Termes associés :

Laisser un commentaire

Rejoignez le groupe d'utilisateurs DCAM. Soyez un leader d'opinion, partagez vos meilleures pratiques avec d'autres praticiens de l'industrie. Partagez ensuite cette invitation avec vos collègues membres - faisons bouger les choses.
Rejoindre la foule