信息与文献 信息治理 概念与原则 征求意见稿

1GB/TXXXXX—XXXX信息与文献信息治理概念与原则本文件描述了信息治理的概念和原则。本文件适用于组织的过去、当前和未来信息资产的治理。本文件适用于所有组织，无论其规模和类型，包括公共和私营组织、政府实体和非营利组织。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.1与信息概念有关的术语3.1.1真实的authentic（首选术语）真实性authenticity（许用术语）信息(3.1.3)的属性可以被证明与其主旨相符。3.1.2数据data一组已经或可以被赋予意义的字符或符号。3.1.3信息information数据（3.1.2）在一定背景下的特定含义的数据。3.1.4信息资产informationasset2GB/TXXXXX—XXXX对相关利益方有价值的信息(3.1.3)。3.1.5完整性integrity完整的、未改变的信息的性质。3.2与信息治理概念有关的术语3.2.1合规性compliance符合法律、法规、标准或政策所规定规则的特性。3.2.2数字连续性digitalcontinuity能够随时随地根据需要使用数字信息(3.1.3)的能力。3.2.3处置disposition与实现关于信息(3.1.3)保留、销毁或转移决策相关的一系列过程。3.2.4电子取证e-discovery识别、收集、保存、审查和交换电子存储信息（ESI）的过程，以便将其用作数字证据。3.2.5框架framework为支持完成一项特定任务而设计的由相关部分组成的结构。3.2.63GB/TXXXXX—XXXX治理governance指导和控制组织的原则、政策和框架（3.2.5）。3.2.7信息治理InformationGovernance跨组织治理信息资产(3.1.4)的战略框架，以加强对实现业务成果的协调支持，并确保有效识别和管理其信息(3.1.3)风险，从而确保组织的运营能力和完整性(3.1.5)。3.2.8信息安全informationsecurity信息(3.1.3)的保密性、完整性和可用性。4信息治理益处4.1通则信息治理是一个战略性的、多学科的、赋能相关专业间协作的框架。信息治理将信息视为一种有价值的组织资产，并具有提供以下益处的潜力。4.2战略益处信息治理的战略益处包括：a)提供一个总体的高层治理框架，支持组织使命和经济、战略利益实现，包括但不限于：1)信息资产价值最大化；2)保护组织和其他利益相关者权利；3)遵守法律和监管要求；4)促进公开、透明和问责。b)通过提供对真实、可靠、相关、完整和准确、实时和可访问信息的及时访问，来支持知情决策。c)通过以下方式降低可能导致声誉受损、经济损失或处罚的风险：1)对有价值的信息资产应用提供足够的安全和保护；2)销毁或清除不再需要保留的信息。d)识别有效管理组织信息资产所需的系统、政策、程序和流程中的差距。e)确保组织的政策在安全、隐私、评估、保存、处置、发现和信息披露方面保持协调一致。f)提供将所有信息资产纳入治理计划的机制。g)消除孤岛和专业冲突，并鼓励采用合作和跨学科方法实施符合组织战略目标和优先事项的创新和新兴技术。4GB/TXXXXX—XXXXh)支持与现有和新兴技术（如人工智能和区块链）相关的伦理治理。4.3运营益处信息治理的运营益处包括：a)通过整合信息管理、信息安全和隐私、合规性、业务连续性、灾难恢复、电子发现和其他与指导和控制信息相关的方面，提供一种全面系统的方法来管理支持组织运营的信息；b)识别存在哪些组织信息、位于何处、可以对其采取哪些行动，以及应如何管理和控制，从而产生可复用的有价值的信息；c)支持信息资产的系统组织，从而提高可用性、共享和协作，并提供业务信息的快速搜索和普通检索；d)提供信息资产维护框架，杜绝关键业务信息丢失；e)通过采用销毁不再需要或保留信息的处置程序，降低与存储相关的成本以及管理或发现信息所需的资源；f)降低电子发现的生产成本，并确保组织不会因生产和保留不必要的信息而造成额外风险；g)通过为增强在组织层面协作实现的数字连续性能力提供基础，保护组织文化和组织记忆。5信息治理原则5.1将信息作为组织的战略资产信息治理将组织的信息视为资产。信息对于任何组织的未来都具有战略意义，并有助于其长期可持续性。信息治理承认信息和信息资产的法律、业务、历史和其他价值，承认其在业务和治理中的重要作用、信息相关的利益和风险、以及信息资产成为关键竞争优势的潜力。被治理的信息包括结构化和非结构化、数字和非数字信息，以及人们头脑中的信息。5.2将信息治理作为组织战略的关键要素信息治理包括治理和控制信息的所有高级战略方面（如提供用于处理的基础设施和系统）、遵守与信息相关的法律和监管要求、治理工具（如政策、程序和标准）、人员（如资源、培训和专业发展）。5.3将信息治理整合到组织的治理框架中信息治理应包含在组织治理中：指导和控制组织的系统（参见ISO/IEC38500以实现组织目标，并满足诚信、记忆和社会责任的道德要求。信息治理是组织所有治理框架和管理体系的组成部分，并且应与之整合。信息治理与所有信息管理框架和系统集成，例如财务、风险、安全、质量、环境、健康和安全管理流程及其操作要求和程序。信息治理应包含在组织的综合报告中。信息治理应涵盖所有以信息为中心的治理方面或领域，包括但不限于记录管理、数据保护/隐私、信息安全、信息敏感性、数据管理、组织内容管理、文档控制和电子发现。5.4确保高级管理层的领导力和承诺高级管理层应致力于指导、领导和支持信息治理。组织高级管理层的成员应负责信息治理并确保问责制，向组织中最高级人员或治理结构报告。5GB/TXXXXX—XXXX信息治理领导者的职责应包括确定组织信息治理框架的组成部分，定义并推动流程和程序，消除潜在和紧急障碍，传达长期目标和中短期业务目标，分配所需的资源（团队、结构、基础设施）并让高层管理人员了解进展情况。信息治理领导者在一个连贯的信息治理计划中共同监督所有这些活动。此外，信息治理方面的运营责任可以委托给信息治理官或适当级别的其他工作人员。5.5信息治理的协同建设信息治理主要被理解为一个战略性的多学科框架，为众多信息相关专业间的合作与协同奠定基础。这种合作的共同目标是对整个组织的各种信息资产进行一致和全面的治理与管理。作为一项合作工作，信息治理的具体子原则如下：——包容性：包括所有利益相关者；——全面性：涵盖现有的和未来的所有信息资产；——政策一致性：在保存重要知识、信息和数据方面没有薄弱环节，以满足安全、隐私和合规目标；——敏捷性：积极主动地与新的信息相关学科或利益相关者合作；——合作：鼓励并支持跨学科努力和基于共识的决策；在交叉领域，集体努力比在学科之间划出严格的界限更可取。5.6确保信息治理支持法律合规性和强制性要求信息治理支持并旨在遵守适用于该组织的所有适用法律、法规、强制性和自愿性标准和行业实践规范。5.7确保信息治理与业务目标一致信息治理应和组织的战略、运营目标、目的以及业务需求相一致。随着业务需求和方向的变化，应不断地监测和修改一致性。在制定信息治理计划时，应考虑到所有利益相关者的要求与需求。5.8确保信息治理支持信息安全与隐私信息治理应支持和促进信息安全和隐私。应建立和实施访问控制权限，以确保只有拥有适当权限的人才能获得信息。5.9确保信息治理支持信息质量与完整性信息治理应力求确保信息是：——真实的；——可信赖的；——完整和一致的（在整个组织中管理——可靠的；——相关的；——易于检索和使用的；——准确的；——能够展示完整性的。6GB/TXXXXX—XXXX5.10培育协作和知识共享文化有效和高效的信息治理通常要求将信息视为组织资源，而不是专门由特定业务领域/职能或个人控制的资产。信息治理需要酌情进行跨职能合作，以使信息的价值最大化。信息应以易于使用（复用）、交付和交换的方式共享，应通过多种渠道提供，同时始终确保满足保密、隐私和安全方面的条件。数字的或非数字的信息系统和流程应从设计上支持互操作性，从而实现协作和知识共享。5.11采用基于风险的方法信息治理应采用基于风险的方法，并根据组织的风险概况/偏好，在符合法律、政策和法规的情况下，对适当信息使用实施控制。5.12确保授权的利益相关方可获得信息且信息可用信息治理应通过确保在正确的时间、地点和格式以有效的成本向授权用户/消费者提供相关信息，从而促进组织绩效。信息治理应支持组织的竞争地位和可持续性。信息治理计划应不断适应，以满足组织的内部和外部不断变化的需求。5.13在信息生命周期中管理信息信息治理应在整个信息生命周期内进行管理，包括创建信息（有时在创建之前：例如，策略和程序的开发、信息系统的设计）或接收到最终处置信息的过程，甚至在创建信息之后（出于合规性的目的，仍然可以保留一些元数据）。5.14支持组织文化信息治理应深植于组织文化以及为其工作的人的行为和态度中。将信息治理嵌入到为组织工作的人的行为中，这取决于组织的各级领导和明确的价值观，以及对推进信息治理措施的认可和执行。如果一个组织的所有级别都并非如此，信息治理就有失败的风险。信息治理项目需要有计划的方法来采用、变革管理和加强认识，确保所有的信息治理举措使得员工能够遵守组织的信息治理要求。5.15支持可持续发展信息治理是组织社会责任行为的一部分，有助于可持续发展。7GB/TXXXXX—XXXX（资料性）概念图A.1通则概念之间不是独立的。将信息治理领域内，概念之间的关系分析为概念系统，是形成连贯词汇的前提。在制定本文定义的词汇时进行了如下分析。本附录提供了开发过程中详细阐述的概念图，以便更好地理解词汇关系。根据ISO704，本附录使用了三种形式的概念关系。a)关联关系(有箭头)。关联关系不分级。当借助经验在概念之间建立主题联系时，就存在关联关系(ISO704:2009,5.5.3)。b)从属关系(无箭头)。部分关系是分级的。当上位概念代表一个整体，而下位概念代表这个整体的部分时，就存在从属关系。各部分汇集在一起组成整体(ISO704:2009,5.5.2.3.1)。c)通用关系(无箭头)。通用关系是分级的。当下位概念的内涵包括了上位概念的内涵再加上至少一个额外的限定特征时，两个概念之间存在通用关系(ISO704:2009,5.5.2.2.1)。A.2概念图A.2.1通则图A.1和A.2为核心概念主题分组的概念图，其中术语和词汇表与信息治理设置和框架相关。由于这些术语是重复的，没有定义和任何相关的注释，建议参考第3章来查阅这些元素。A.2.2信息相关概念信息相关概念见图A.1。数据信息信息资产真实性A.2.3信息治理相关概念信息治理相关概念见图A.2。完整性信息相关核心概念8合规性处置治理框架信息治理电子取证GB/TXXXXX—XXXX数字连续性信息安全图A.2信息治理相关概念9GB/TXXXXX—XXXX国家标准中相关术语和定义本附录收录了信息治理领域中的常用术语及其定义，涵盖了信息治理的基本概念、原则及操作实践，以帮助准确掌握标准中的概念并更好地应用于实际操作中，确保对信息治理领域专业术语的统一认识。表NA.1国家标准中相关术语和定义概念定义来源信息(1)被交流的知识注1:参见信息(2)。注2:改编自GB/T17532-2005,注3:信息(1)涉及事实、概念、对象、事件、观念、过程等(2)在通信过程中为了增加知识用以代表信息(1)的一般消息注:参见信息(1)。GB/T4894-2009信息与文献术语数据用适合于通信、解释和处理的形式表示的信息GB/T17532-2005术语工作计算机应用词汇数据治理对数据进行处置、格式化和规范化的过程注1:数据治理是数据和数据系统管理的基本要素。注2:数据治理涉及数据全生存周期管理,无论数据是处于静态、动态、未完成状态还是交易状态。GB/T35295-2017信息技术大数据术语对数据进行处置、格式化和规范化的过程注1:数据治理是数据和数据系统管理的基本要素。注2:数据治理涉及数据全生存周期管理,无论数据是处于静态、动态、未完成状态还是交易状态。GB/T36073-2018数据管理能力成熟度评估模型数据资源及其应用过程中相关管控活动、绩效和风险管理的集合GB/T34960.5-2018信息技术服务治理第5部分：数据治理规范数据资源及其应用过程中相关管控活动、绩效和风险管理的集合GB/T34960.5-2018信息技术服务治理第5部分：数据治理规范对数据资源管理行使权力和控制的活动集合(计划、监督和执行)GB/T44109-2024信息技术大数据数据治理实施指南数据管理数据资源获取、控制、价值提升等活动的集合GB/T34960.5-2018信息技术服务治理第5部分：数据治理规范数据资源获取、控制、价值提升等活动的集合。GB/T34960.5-2018信息技术服务治理第5部分：数据治理规范信息管理一个机构对信息(1)源的规划、控制和开发。GB/T4894-2009信息与文献术语信息技术专注于信息技术体系及其绩效和风险管理的一组治理规GB/T29264—2012信息技术服务GB/TXXXXX—XXXX概念定义来源治理则，由领导关系、组织结构和过程组成，以确保信息技术能够支撑组织的战略目标。分类与代码GB/TXXXXX—XXXX参考文献[1]GB/T10112-2019术语工作原则和方法[2]GB/Z18219-2008信息技术数据管理参考模型[3]GB/T24353-2022风险管理指南[4]GB/T26162-2021信息与文献文件（档案）管理概念与原则[5]GB/T32923-2016信息技术安全技术信息安全治理）[6]GB/T35770-2022合规管理体系要求及使用指南[7]GB/T41245-2022项目、项目群和项目组合管理治理指南[8]GB/T42187-2022安全与韧性组织韧性原则和属性[9]ISO/IEEE11073-10201:2020Healthinformatics—Deviceinteroperability—Part10201:Point-of-caremedicaldevicecommunication—Domaininformationmodel[10]ISO/TR14639-2Healthinformatics—Capacity-basedeHealtharchitectureroadmap—Part2.Architecturalcomponentsandmaturitymodel[11]ISO15638-6Intelligenttransportsystems—FrameworkforcollaborativeTelematicsApplicationsforRegulatedcommercialfreightVehicles(TARV)—Part6:Regulatedapplications[12]ISO/IEC15944-8Informationtechnology—Businessoperationalview—Part8:Identificationofprivacyprotectionrequirementsasexternalconstraintsonbusinesstransactions[13]ISO16439Informationanddocumentation—Methodsandproceduresforassessingtheimpactoflibraries[14]ISO/TS17187IntelligenttransportsystemsElectronicinformationexchangetofacilitatethemovementoffreightanditsintermodaltransfer—Governancerulestosustainelectronicinformationexchangemethods[15]ISO/TS17573-2:2020Electronicfeecollection—Systemarchitectureforvehiclerelatedtolling-Part2:Vocabulary[16]ISO/TR18128Informationanddocumentation—Riskassessmentforrecordsprocessesandsystems[17]ISO/TR19591Personalprotectiveequipmentforfirefighters—Standardtermsanddefinitions[18]ISO/IEC20924:2018Informationtechnology—InternetofThings(IoT)—Vocabulary[19]ISO/TR21965Informationanddocumentation—Recordsmanagementinenterprisearchitecture[20]ISO24531Intelligenttransportsystems—Systemarchitecture,taxonomyandterminology-UsingXMLinITSstandards,dataregistriesanddatadictionaries[21]ISO/IEC/TR26927Informationtechnology—TelecommunicationsandinformationexchangeCorporatetelecommunicationnetworks—Mobilityforenterprisebetweensystemscommunications[22]ISO/IEC27000:2018Informationtechnology—Securitytechniques—InformationsecurityGB/TXXXXX—XXXXmanagementsystems--Overviewandvocabulary[23]ISO/IEC27050Informationtechnology—Electronicdiscovery[