Data Governance นิยาม กฎเกณฑ์ข้อมูล (Data Rules)

Data Governance นิยาม กฎเกณฑ์ข้อมูล (Data Rules)

สนใจเอกสารดาวน์โหลดได้ที่ E-Book กรอบการกำกับดูแลข้อมูล (Data Governance Framework)

ที่มา สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน, สพร., DGA) 

นิยาม กฎเกณฑ์ข้อมูล (Data Rules)

กฎเกณฑ์ข้อมูลมักจะอ้างถึงนโยบายและมาตรฐานที่เกี่ยวข้องกับข้อมูล โดยนโยบายข้อมูลอธิบายถึงข้อควรปฏิบัติและข้อห้ามปฏิบัติ ขณะที่มาตฐานขัอมูลอธิบายถึงวิธีการหรือขั้นตอนการปฏิบัติ ดังนั้นในการจัดทำมาตรฐานควรจะมีความสอดคล้องกับนโบายข้อมูลที่กำหนดไว้ ดังรายละเอียดต่อไปนี้

1. นโยบายข้อมูล (Data Policies) การกำหนดนโยบายข้อมูลจัดเป็นหนึ่งในพื้นฐานของการกำกับดูแลข้อมูล ดังนั้นเพื่อให้การกำกับดูแล
ข้อมูลมีประสิทธิภาพ จึงต้องมีการกำหนดนโยบายที่ระบุอย่างซัดเจน สอดคล้องกับกฎหมาย ระเบียบข้อบังคับ คำสั่ง หรือข้อกำหนดอื่น ๆ ที่เกี่ยวข้อง โดยผ่านการอนุมัติจากผู้บริหาร มีการเผยแพร่และสื่อสารให้กับเจ้าหน้าที่และผู้ที่เกี่ยวข้องทั้งภายในหน่วยงานและภายนอกหน่วยงาน รวมถึงควรมีการทบทวนนโยบายอย่างสม่ำเสมอ เพื่อให้นโยบายข้อมูลได้ถูกนำมาปฏิบัติอย่างมีประสิทธิภาพและต่อเนื่อง โดยนโยบายข้อมูลควรจะครอบคลุมวงจรชีวิตของข้อมูล ซึ่งอาจจะปะกอบไปด้วยนโยบายต่าง ๆ หรือหมวดนโยบาย ทั้งนี้หน่วยงานควรจัดทำนโยบายข้อมูลภายใต้กรอบนโยบายข้อมูล (Data Policy Framework) ดังรายละเอียดต่อไปนี้ 

1.1 หมวดทั่วไป (General Domain) เพื่อกำหนดนโยบายทั่วไปที่เกี่ยวข้องกับข้อมูล เช่น โครงสร้างที่เกี่ยวข้อง หน้าที่ความรับผิดชอบ โดยมีรายละเอียด ดังนี้ 

- กำหนดบทบาทและความรับผิดชอบที่ประกอบกันเป็นโครงสร้างการกำกับดูแลข้อมูล โดยต้องได้รับการมอบอำนาจและการอนุมัติจากผู้บริหาร

- กำหนดกลุ่มบุคคลหรือบุคคลภายในหน่วยงาน เพื่อเป็นเจ้าของข้อมูลในการบริหารจัดการข้อมูลของหน่วยงาน เพราะหน่วยงานถือเป็นเจ้าของข้อมูลทุกประเภทที่เกิดจากการดำเนินงานภายในหน่วยงานนั้น ๆ

- กำหนดขอบเขตข้อมูลที่นโยบายข้อมูลครอบคลุม เช่น ข้อมูลที่มีโครงสร้าง (ฐานข้อมูลและ CSV) ข้อมูลกึ่งโครงสร้าง (XML และ JSON) ข้อมูลที่ไม่มีโครงสร้าง (เอกสาร เสียง ภาพ และภาพเคลื่อนไหว)

- กำหนดนโยบาย มาตรการการรักษาความปลอดภัยของข้อมูล เพื่อป้องกันการเข้าถึงการสูญหาย การทำลาย หรือการเปลี่ยนแปลงข้อมูลโดยไม่ได้รับการอนุญาต

- นำระบบเทคโนโลยีสารสนเทศ หรือระบบอัตโนมัติมาใช้ในการจัดทำเมทาดาตา

- ตรวจสอบความสอดคล้องกันระหว่างนโยบายข้อมูลกับการดำเนินการใด ๆ ของผู้มีส่วนได้ส่วนเสีย อย่างน้อยปีละ ๑ ครั้ง

- ทบทวนนโยบายข้อมูล อย่างน้อยปีละ ๑ ครั้ง และให้ดำเนินการปรับปรุงอย่างต่อเนื่องหากพบว่านโยบายข้อมูลยังไม่มีประสิทธิภาพเพียงพอ

- สื่อสารและเผยแพร่นโยบายข้อมูลให้กับผู้ที่เกี่ยวข้องทั้งภายในหน่วยงานและภายนอกหน่วยงาน

- สนับสนุนให้มีการฝึกอบรมเพื่อสร้างความตระหนักถึงการกำกับดูแลข้อมูล และการบริหารจัดการข้อมูล โดยให้ครอบคลุมทุกกระบวนการของการบริหารจัดการและวงจรชีวิตของข้อมูล

1.2 หมวดการจัดเก็บข้อมูลและทำลายข้อมูล (Data Storage and Destruction Domain) เพื่อกำหนดนโยบายในการจัดเก็บข้อมูลและทำลายข้อมูลอย่างมีคุณภาพ มีการรักษาความปลอดภัยของข้อมูล โดยมีรายละเอียด ดังนี้

- กำหนดสภาพแวดล้อมของการจัดเก็บข้อมูลที่เอื้อต่อการรักษาความมั่นคงปลอดภัยและคุณภาพของข้อมูล กำหนดชั้นความลับของข้อมูล และจัดเก็บให้สอดคล้องกับแนวทางหรือมาตรฐานการจัดชั้นความลับของข้อมูล (Data Classification Guideline/Standard) ที่กำหนดไว้เพื่อให้ข้อมูลมีความมั่นคงปลอดภัย และรักษาคุณภาพของข้อมูล

- กำหนดสิทธิ์การเข้าถึงข้อมูล และเครื่องมือที่ใช้ในการเข้าถึงข้อมูล

- จัดเก็บข้อมูลให้สอดคล้องกับความต้องการและวัตถุประสงค์ในการดำเนินงาน โดยข้อมูลนั้นจะต้องมีความถูกต้องสมบูรณ์และเป็นปัจจุบันอยู่เสมอ ทั้งนี้ควรจัดทำเมทาดาตาสำหรับชุดข้อมูลที่มีการจัดเก็บ

- ในกรณีที่มีการร้องขวให้ทำลายข้อมูลส่วนบุคคลจากเจ้าของข้อมูล ผู้ควบคุมหรือหน่วยงานที่จัดเก็บต้องดำเนินการทำลายให้เร็วที่สุด ทั้งนี้ต้องไม่ขัดต่อข้อตกลงระหว่างเจ้าของข้อมูลกับผู้ควบคุม หรือไม่ขัดต่อข้อกฎหมายใด ๆ

- กำหนดแนวทางในการทำลายข้อมูล เมื่อขัอมูลนั้นไม่มีการใช้งานหรือมีการเก็บข้อมูลไว้นานเกินกว่าระยะเวลาที่กำหนด แต่ควรมีการเก็บรักษาเมทาคาตาของข้อมูลที่ทำลายไว้เพื่อใช้สำหรับการตรวจสอบภายหลัง

- สร้างความรู้ความเข้าใจในการจัดเก็บและทำลายข้อมูลแก่ผู้ที่เกี่ยวข้องทั้งภายในหน่วยงานและภายนอกหน่วยงาน

1.3 หมวดการประมวลผลข้อมูลและการใช้ข้อมูล (Data Processing and Use Domain)

เพื่อกำหนดนโยบายในการประมวลผลข้อมูลและการใช้ข้อมูล ให้ได้ข้อมูลที่มีประสิทธิภาพ ถูกต้อง ตรงตามวัตถุประสงค์ของการใช้ข้อมูลให้เกิดประโยชน์ โดยมีรายละเอียดดังนี้

- กำหนดแนวปฏิบัติและมาตรฐานของการประมวลผลข้อมูล และทำการสื่อสารให้แก่ผู้ที่เกี่ยวข้องรับทราบ

- การดำเนินการประมวลผลข้อมูลที่เป็นความลับ เช่น ข้อมูลส่วนบุคคล ให้เป็นไปตามขอบเขต เงื่อนไข หรือวัตถุประสงค์ในการยินยอมให้ดำเนินการกับข้อมูลส่วนบุคคลนั้น

- จัดทำเมทาคาตาสำหรับข้อมูลที่จัดเก็บอยู่ในดสังข้อมูล (Data Warehouse) ต้องมีการบันทึกประวัติการประมวลผลและการใช้ข้อมูล (Log File) เพื่อให้สามารถตรวจสอบย้อนกลับได้

1.4 หมวดการแลกเปลี่ยนและการเชื่อมโยงข้อมูล (Data Exchange and Integration Domain)

เพื่อกำหนดนโยบายในการแลกเปลี่ยนข้อมูลระหว่างหน่วยงาน ให้มีความมั่นคงปลอดภัยและข้อมูลมีคุณภาพ สามารถนำไปใช้ประโยชน์ได้อย่างมีประสิทธิภาพ โดยมีรายละเอียด ดังนี้

- กำหนดแนวปฏิบัติในการจัดการเรื่อง ความมั่นคงปลอดภัย คุณภาพข้อมูล และผู้ประสานงานหรือศูนย์ติดต่อ (Contact Center)

- กำหนดกระบวนการในการแลกเปลี่ยนข้อมูลให้ชัดเจน เริ่มตั้งแต่ขั้นตอนการเตรียมการ ขั้นตอนเริ่มดำเนินการ ขั้นตอนระหว่างดำเนินการ และขั้นตอนสิ้นสุดการดำเนินการ

- กำหนดเมทาดาตาของชุดข้อมูลที่ตัองการแลกเปลี่ยนที่จำเป็นให้ครบถ้วน

- ทำสัญญาอนุญาตหรือข้อตกลง ในการแลกเปลี่ยนข้อมูลและการนำข้อมูลไปใช้กำหนดเทคโนโลยีและมาตรฐานทางเทคนิค ที่ใช้ในการแลกเปลี่ยนข้อมูลบันทึกรายละเอียดและจัดเก็บข้อมูล การดำเนินงานที่เกิดขึ้นในแต่ละครั้งที่มีการแลกเปลี่ยนข้อมูล (Log File) ระหว่างหน่วยงาน เพื่อให้สามารถตรวจสอบย้อนกลับได้สามารถตรวจสอบได้ว่า การแลกเปลี่ยนข้อมูลได้ดำเนินการอย่างเหมาะสมหรือเป็นไปตามแนวทางปฏิบัติ กระบวนการแลกเปลี่ยน และมาตรฐานตามที่กำหนด

1.5 หมวดการเปิดเผยข้อมูล (Data Disclosure Domain)

เพื่อกำหนดนโยบายในการเปิดเผยข้อมูล เพื่อให้สามารถปิดเผยขัอมูลได้อย่างถูกต้องตรงตามวัตถุประสงค์ของการนำข้อมูลไปไช้ประโยชน์ โดยมีรายละเอียดดังนี้ห้ามเปิดเผยข้อมูลที่ขัดต่อ กฎหมาย ระเบียบ ข้อบังคับ คำสั่ง นโยบาย แนวปฏิบัติ ไม่ว่าข้อมูลจะอยู่ในรูปแบบใดหรือสถานที่ใดก็ตาม ต้องได้รับการอนุญาตจากตัวแทนหน่วยงานหรือเจ้าของข้อมูลก่อนการเปิดเผยข้อมูล ควรมีการระบุช่องทางการเปิดเผยข้อมูลที่เข้าถึงและนำไปใช้ได้ง่าย ควรมีการเปิดเผยเมทาดาตาควบคู่ไปกับข้อมูลที่เปิดเผยสามารถตรวจสอบได้ว่าการเปิดผยข้อมูลได้ถูกดำเนินการอย่างเหมาะสมหรือเป็นไปตามแนวทางที่ได้กำหนดไว้ เพื่อให้ได้ข้อมูลที่มีคุณภาพและเป็นการรักษาคุณภาพของข้อมูล

2. มาตรฐานข้อมูล (Data Standards)

มาตรฐานข้อมูลอ้างถึงมาตรฐานที่เกี่ยวข้องกับการบริหารจัดการข้อมูลและการใช้ข้อมูล ซึ่งเป็นกลไกอย่างหนึ่งในการกำกับดูแลข้อมูล มีวัตถุประสงค์เพื่อสร้างความเข้าใจที่ตรงกัน และลดความหลากหลายของวิธีการปฏิบัติ เช่น มาตรฐานเมทาดาตา (Metadata Standard) มาตรฐานชุดข้อมูล (Datasets Standard) มาตรฐานการจัดชั้นความลับของข้อมูล (Data Classification Standard)

มาตรฐานเมทาดาตา (Metadata Standard) คือ การกำหนดรูปแบบและข้อกำหนดของเมทาดาตา เพื่อให้สามารถเข้าใจได้ถูกต้องตรงกันตลอดทั้งหน่วยงาน ISO/IEC 11179 และ Dublin Core Metadata Initiative (DCMI ได้กำหนดมาตรฐานเมทาดาตาสำหรับอธิบายชุดข้อมูล เช่น ชื่อข้อมูล ชื่อเจ้าของข้อมูลคำอธิบายข้อมูล ขอบเขตการจัดเก็บ รูปแบบข้อมูล ภาษา สิทธิการเข้าถึง ทั้งนี้มาตรฐานเมทาดาตามักจะอ้างถึงทั้งเมทาดาตาเชิงธุรกิจและมหาดาตาเชิงเทคนิค แต่มักจะไม่รวมองค์ประกอบของฟิลด์ข้อมูลซึ่งเป็นคุณลักษณะเฉพาะของแต่ละชุดข้อมูล

มาตรฐานชุดข้อมูล (Datasets Standard) คือ การกำหนดรูปแบบและข้อกำหนดของข้อมูลที่มีการใช้ร่วมกันจากหลาย ๆ ส่วนงานหรือหน่วยงาน เพื่อลดความซ้ำซ้อนของข้อมูล ลดความยุ่งยากในการบริหารจัดการ และสนับสนุนให้ข้อมูลมีคุณภาพ ซึ่งส่วนงานหรือหน่วยงานต้องร่วมกันกำหนดเมทาคาตาขึ้นมา เพื่ออธิบายคุณลักษณะของชุดข้อมูลที่ใช้ร่วมกันแล้วดำเนินการบูรณาการข้อมูล (Data Integration) ที่กระจายอยู่ตามส่วนงานหรือหน่วยงานต่าง ๆ เข้าด้วยกัน มาตรฐานชุดข้อมูสมักจะอธิบายถึงองค์ประกอบของฟิลด์ข้อมูล เช่น ชื่อพิลค์ข้อมูล ประเภทข้อมูล (ตัวเลข ตัวหนังสือ และวันที่) ช่วงค่าของข้อมูล และการอนุญาตให้ฟิลด์ข้อมูลเป็นค่าว่างมาตรฐานการจัดชั้นความลับของข้อมูล (Data Classification Standard) คือ การกำหนดรูปแบบและข้อกำหนดของการจัดชั้นความลับของข้อมูล เพื่อป้องกันการเข้าถึงและสามารถนำข้อมูลไปใช้ได้อย่างเหมาะสม ชั้นความลับของข้อมูสมักถูกกำหนดให้สอดคล้องกับผลกระทบต่อหน่วยงานและความมั่นคงของประเทศ ตัวอย่างชั้นความลับ ได้แก่ ลับที่สุด ลับมาก ลับ ใช้กายในหน่วยงาน และเปิดเผยได้ ตัวอย่างประเกทของผลกระทบ

- ด้านชื่อเสียง ช่น ข้อมูลในเชิงลบของหน่วยงานถูกเบิดเผยส่งผลให้หน่วยงานหรือประเทศเสียชื่อเสียง

- ด้านความต่อเนื่องของการดำเนินการ เช่น ข้อมูลระบบเครือข่ายถูกเปิดเผยทำให้ระบบเครือข่ายหรือระบบอินเทอร์เน็ตถูกโจมตี ซึ่งส่งผลให้การดำเนินงานของหน่วยงานหยุดชะงักหรือล่าซ้ำ

- ด้านการเงิน เช่น ข้อมูลบัตรเครดิตในหน่วยงานถูกเปิดเผย ทำให้สูญเสียงบประมาณของหน่วยงาน

- ด้านทรัพยากรบุคคล เช่น ข้อมูลเงินเดือนถูกเปิดเผย ส่งผลให้บุคลากรคนสำคัญต้องลาออก

๓.๔ โครงสร้างของการกำกับดูแลข้อมูล (Data Governance Structure)

ต.๔๑ โครงสร้างของบุคลากรที่รับผิดชอบในการกำกับดูแลข้อมูล (Data Governance Structure) การกำหนดโครงสร้างการกำกับดูแลข้อมูลเพื่อแสดงลำดับขั้นระหว่างกลุ่มบุคคลที่เกี่ยวข้องกับการ
กำกับดูแลข้อมูล และแสดงถึงสิทธิ์ในการสั่งการตามลำดับขั้น ทั้งนี้จำนวนบุคลากรและความลึกของลำดับขั้น
ให้พิจารณาตามความเหมาะสมของแต่ละหน่วยงน ทั้งนี้หน่วยงานสามารถจัดตั้งส่วนงานกำกับดูแลข้อมูลใน
รูปแบบที่แตกต่างกัน ได้แก่ ๑) รูปแบบทีมเสมือน (Virtual Team) ที่คัดเลือกมาจากส่วนงานต่าง ๆ ๒)
รูปแบบที่มีส่วนงานรับผิดชอบชัดเจนซึ่งอาจจะจัดตั้งใหม่หรือกำหนดหน้าที่ให้กับส่วนงานที่มีหน้าที่คล้ายกับ
โครงสร้าง และ ส) รูปแบบผสมซึ่งจะต้องแยกหน้าที่ให้ซัดเจนระหว่างส่วนงานที่รับผิดชอบหลักกับทีมเสมือน
รูปที่ ๑๔ แสดงตัวอย่างโครงสร้างการกำกับดูแลข้อมูล ซึ่งแบ่งออกเป็น ๓ ส่วน ประกอบด้วย ๑)
คณะกรรมการกำกับดูแลข้อมูล (Data Governance Council) ๒) ทีมบริกรข้อมูล (Data Steward Team)
และ ๓) ผู้มีส่วนได้ส่วนเสียกับข้อมูล (Data Stakeholder)

------------------------------------------------- 

ที่มาข้อมูล https://www.dga.or.th