12.6 PA25 元數據安全

12.6 PA25 元數據安全

12.6.1　過程域描述

建立組織機構的元數據管理體系，實現對組織機構內元數據的有效集中管理。

12.6.2　等級描述

12.6.2.1　等級1: 非正式執行

? 組織建設：未設立統一負責元數據管理工作的崗位和人員，僅由各團隊根據業務場景管理各自的元數據。(BP.25.01)

12.6.2.2　等級 2: 計劃跟蹤

? 組織建設：在核心業務系統中具有管理其元數據的人員（兼職或專職），多由業務部門對業務涉及的元數據進行管理。(BP.25.03)

12.6.2.3　等級 3: 充分定義

? 組織建設：設立組織機構層面專門的元數據管理崗位和人員，統一負責建立組織機構內部元數據語義規則、管理規范和技術工具，由各業務的數據管理團隊或崗位負責具體的元數據管理執行工作。(BP.25.05)
? 制度流程：
1) 建立數據服務元數據語義統一規范和管理規則，如數據格式、數據域、字段類型、表結構、邏輯存儲和物理存儲結構及管理方式。(BP.25.06)
2) 建立數據安全元數據管理規范，如口令策略、權限列表、授權策略。(BP.25.07)
3) 建立元數據訪問控制策略，明確元數據管理角色及其授權控制機制。(BP.25.08)
4) 建立元數據操作審計制度，確保元數據操作的可追溯。(BP.25.09)
? 技術工具：
1) 建立組織機構統一的元數據管理平臺，將各領域的元數據通過集中的平臺面向組織機構內部提供。(BP.25.10)
2) 根據元數據安全管理規范和訪問控制策略，實現元數據管理角色及其授權控制的技術手段；根據審計制度要求，采集元數據操作日志，實現元數據操作的可追溯。(BP.25.11)

12.6.2.4　等級 4: 量化控制

? 制度流程：依據數據資產分類分級建立元數據安全屬性分級，并依據元數據安全屬性建立標記策略、標記定義和標記管理機制。(BP.25.13)
? 技術工具：
1) 基于元數據管理建立可視化的功能，在元數據管理平臺上以數據標簽形式實現對數據的存儲、訪問、所屬業務等信息的有效管理。(BP.25.14)

12.6.2.5　等級 5: 持續優化

? 技術工具：基于組織機構數據規模的發展，提升元數據管理的技術并擴大其覆蓋范圍，提升組織機構內數據的使用效率。(BP.25.16)