Nhu cầu ngày càng tăng đối với dữ liệu giáo dục chất lượng cao và sự tăng trưởng về số lượng dữ liệu cá nhân của sinh viên được thu thập và lưu trữ điện tử bởi các cơ quan giáo dục đòi hỏi phải xem xét kỹ lưỡng hơn các hoạt động quản lý và bảo vệ dữ liệu. Các cơ quan giáo dục nhà nước và địa phương đã bày tỏ quan ngại về cách bảo đảm tính sẵn sàng và chất lượng dữ liệu trong khi vẫn phải bảo đảm quyền riêng tư cá nhân. Các nguyên tắc quản trị dữ liệu có thể áp dụng cho một số lượng lớn đối tượng và có thể được sử dụng để cải thiện quản lý dữ liệu của các hệ thống từ mầm non thông qua giáo dục sau trung học và vào lực lượng lao động. Đối tượng chính dự kiến sẽ là quản lý dữ liệu của mẫu giáo cho đến hệ thống dữ liệu lớp 12 (K-12).
Thiết lập một chương trình quản trị dữ liệu toàn diện sẽ giúp bảo đảm tính bảo mật, tính toàn vẹn và tính sẵn sàng của dữ liệu bằng cách giảm rủi ro an ninh dữ liệu do truy cập trái phép hoặc lạm dụng dữ liệu. Việc xác định các tiêu chuẩn, chính sách, thủ tục và trách nhiệm liên quan đến quyền sở hữu dữ liệu và các hoạt động liên quan đến dữ liệu sẽ giúp các tổ chức giảm thiểu mọi bất lợi trong trường hợp vi phạm dữ liệu.
Bài viết này sẽ giới thiệu về Hướng dẫn xây dựng chương trình quản trị dữ liệu của Sở Giáo dục Hoa Kỳ bao gồm các thành phần của chương trình quản trị dữ liệu, các lĩnh vực trọng tâm chính cần được đề cập trong chương trình quản trị dữ liệu và các bước cơ bản để thực hiện chương trình quản trị dữ liệu.
Các thành phần của chương trình quản trị dữ liệu
Chương trình quản trị dữ liệu toàn diện gồm mười thành phần chính. Sáu thành phần đầu tiên bao gồm các quy tắc tham gia, ba thành phần tiếp theo liên quan đến các cơ quan, tổ chức, cá nhân và thành phần cuối cùng mô tả các quy trình cần thiết để quản lý dữ liệu.
- Các chính sách và tiêu chuẩn
Để giúp bảo đảm chương trình quản trị dữ liệu đáp ứng nhu cầu của tổ chức, cần xác định rõ “các quy tắc về sự tham gia” hoặc các chính sách và tiêu chuẩn hướng dẫn thực hiện chương trình quản trị dữ liệu. Chúng bao gồm tầm nhìn và mục tiêu của tổ chức liên quan đến các tiêu chuẩn dữ liệu, quy trình quản lý dữ liệu, quyền tài phán, trách nhiệm, thực thi và kiểm soát. Cách tiếp cận quản trị dữ liệu phải phù hợp với nhiệm vụ chung của tổ chức và kỳ vọng của các bên liên quan. Các mục tiêu của chương trình cần được nêu rõ và cần làm rõ các mục tiêu này giải quyết nhu cầu nội dung dữ liệu như thế nào, kết quả nào sẽ được coi là thành công và cách đo lường tiến độ. Hơn nữa, một tổ chức nên đánh giá các tài nguyên cần thiết cho tính bền vững lâu dài của chương trình để bảo đảm nó có thể duy trì mức chất lượng và an ninh dữ liệu cần thiết trong toàn bộ vòng đời dữ liệu. “Các quy tắc về sự tham gia” chính như sau:
1) Sứ mệnh và tầm nhìn;
2) Mục tiêu, số liệu quản trị, biện pháp thành công và chiến lược tài trợ;
3) Quy tắc và định nghĩa dữ liệu;
4) Quyền quyết định;
5) Trách nhiệm và cơ chế thực thi và tuân thủ;
6) Kiểm soát an ninh để quản lý rủi ro.
- Các cơ quan, tổ chức và cá nhân
Ba thành phần quản trị dữ liệu tiếp theo giải quyết câu hỏi ai chịu trách nhiệm bảo đảm rằng chương trình quản trị dữ liệu được thực hiện hiệu lực và hiệu quả. Điều quan trọng là xác định tất cả các bên liên quan, bao gồm chủ sở hữu dữ liệu và người dùng và bảo mật phản hồi của họ về các ưu tiên chính sách để bảo đảm các bên liên quan mua và tiếp tục hỗ trợ cho chương trình. Các cơ quan, tổ chức chính bao gồm một ủy ban quản trị dữ liệu, nên được tạo ra và việc quản lý dữ liệu cá nhân nên được ủy ban phân công bằng văn bản với vai trò và trách nhiệm được nêu rõ trong kế hoạch quản trị dữ liệu. Các thành viên và cơ quan tổ chức chính của chương trình quản trị dữ liệu như sau:
7) Các bên liên quan đến dữ liệu;
8) Cơ quan quản trị dữ liệu;
9) Quản lý dữ liệu.
Thành phần cuối cùng của chương trình quản trị dữ liệu toàn diện giải quyết tất cả các quy trình cần thiết để thực hiện và sửa đổi chương trình quản trị dữ liệu. Tất cả các chính sách và thủ tục cho chương trình quản trị dữ liệu cần được xác định rõ ràng, chuẩn hóa và lập tài liệu. Tài liệu này nên phác thảo về cách thức quản trị dữ liệu bao gồm các quy trình cần thiết để thực hiện chương trình; các quy trình liên tục bao gồm quản lý dữ liệu dài hạn, bao gồm đo lường thành công của chương trình; và các quy trình xử lý các tình huống gây nguy hiểm cho chất lượng hoặc an ninh dữ liệu (ví dụ: vi phạm dữ liệu). Ba loại quy trình quản trị dữ liệu chính (chủ động, liên tục và phản ứng) nên giải quyết, càng nhiều càng tốt, tất cả các hoạt động quản trị dữ liệu dự kiến và mô tả các phương pháp cụ thể để quản lý dữ liệu ở các giai đoạn khác nhau (ví dụ: chủ động cài đặt tiêu chuẩn trước khi thu thập dữ liệu, duy trì chương trình liên tục, sửa chữa phản ứng đối với các chính sách an ninh và đáp ứng với vi phạm dữ liệu).
10) Các quy trình quản trị dữ liệu chủ động, phản ứng và liên tục.
Các lĩnh vực trọng tâm chính cần được đề cập trong chương trình quản trị dữ liệu
Thiết lập cơ cấu tổ chức với các cấp quản trị dữ liệu khác nhau (ví dụ: điều hành, tư pháp, lập pháp, hành chính, v.v.) là điều kiện tiên quyết để quản lý dữ liệu thành công. Điều này được thực hiện bằng cách thành lập một ủy ban quản trị dữ liệu, chỉ định người quản lý dữ liệu và xác định vai trò điều hành và quản lý ở mỗi cấp của cơ quan (ví dụ: thành viên ủy ban quản trị, lãnh đạo công nghệ, người quản lý dữ liệu, v.v.).
- An ninh dữ liệu và quản lý rủi ro
Bảo đảm an ninh cho dữ liệu nhạy cảm (dữ liệu có nguy cơ bị tổn hại do tiết lộ trái phép hoặc vô ý) và thông tin nhận dạng cá nhân bằng cách bảo vệ chống lại rủi ro tiết lộ trái phép là ưu tiên hàng đầu đối với chương trình quản trị dữ liệu hiệu quả. Mục tiêu này đạt được bằng cách thiết lập một kế hoạch quản lý an ninh dữ liệu toàn diện với hệ thống kiểm tra và kiểm soát để giảm thiểu rủi ro an ninh dữ liệu. Các chính sách và hướng dẫn phải xác định các quy tắc cho việc sử dụng cá nhân và sử dụng liên quan đến công việc đối với tất cả hệ thống máy tính và dữ liệu của tổ chức, bao gồm các thủ tục sử dụng dữ liệu, đánh giá rủi ro dữ liệu để xác định lỗ hổng và xử lý các vi phạm an ninh dữ liệu và giải thích cách giám sát việc tuân thủ các chính sách này. Điều quan trọng là phải tiến hành đào tạo nhân viên và kiểm toán thường xuyên để bảo đảm tuân thủ các chính sách và thủ tục của tổ chức. Kế hoạch bảo mật và an ninh dữ liệu nên được xem xét và sửa đổi thường xuyên để cập nhật các mối đe dọa mới nhất.
- Kiểm kê dữ liệu và quản lý nội dung dữ liệu
Duy trì kiểm kê cập nhật đầy đủ tất cả các bản ghi và hệ thống dữ liệu bao gồm cả dữ liệu được sử dụng để lưu trữ và xử lý dữ liệu, cho phép tổ chức nhắm mục tiêu an ninh dữ liệu và quản lý quyền riêng tư để bảo vệ dữ liệu nhạy cảm. Bản kiểm kê dữ liệu cần chỉ định những phần tử dữ liệu nào được thu thập, cung cấp lý do cho việc thu thập chúng và giải thích các mục đích dự định cho việc sử dụng chúng. Một tổ chức nên thường xuyên xem xét việc kiểm kê của mình và sửa đổi các chính sách quản lý dữ liệu để bảo đảm rằng chỉ những dữ liệu cần thiết để đáp ứng bộ chính sách, hoạt động và nhu cầu nghiên cứu chính đáng mới được thu thập và duy trì. Tất cả các phần tử dữ liệu nên được phân loại theo mức độ nhạy cảm của chúng (ví dụ: bằng cách đánh giá rủi ro tiết lộ thông tin nhận dạng cá nhân; khả năng gây ảnh hưởng xấu cho cá nhân, nếu dữ liệu bị xâm phạm; yêu cầu pháp lý để bảo vệ dữ liệu, v.v.) bảo đảm phù hợp với những nỗ lực an ninh được áp dụng để bảo vệ dữ liệu.
- Quản lý hồ sơ dữ liệu và truy cập dữ liệu
Bảo đảm tuân thủ các chính sách an ninh được thực hiện bằng cách chỉ định rõ ràng tất cả các hoạt động liên quan đến xử lý dữ liệu của người quản lý dữ liệu cũng như người dùng. Điều này bao gồm nêu rõ ai có thể truy cập dữ liệu nào, cho mục đích gì, truy cập khi nào và truy cập như thế nào. Một kế hoạch quản trị cần cung cấp hướng dẫn về các hoạt động dữ liệu người dùng và người quản lý phù hợp để xử lý các bản ghi trong tất cả các giai đoạn của vòng đời dữ liệu bao gồm thu thập, duy trì, sử dụng và lưu trữ hoặc hủy cả bản ghi dữ liệu thông thường và an toàn. Ngoài ra, kế hoạch nên xác định các yêu cầu và cơ chế cho việc hủy thông tin nhận dạng cá nhân để bảo vệ quyền riêng tư cá nhân (ví dụ: bằng cách xóa tất cả các định danh trực tiếp và gián tiếp khỏi dữ liệu liên quan đến thông tin nhận dạng cá nhân).
Xác định các chiến lược để ngăn chặn, phát hiện, sửa lỗi và lạm dụng dữ liệu là điều cần thiết để duy trì dữ liệu chất lượng cao. Cách tiếp cận chủ động đối với quản trị dữ liệu đòi hỏi phải thiết lập các tiêu chuẩn chất lượng dữ liệu và giám sát, cập nhật thường xuyên các chiến lược quản lý dữ liệu để bảo đảm dữ liệu chính xác, phù hợp, kịp thời và hoàn chỉnh cho các mục đích mà chúng dự định sẽ được sử dụng. Một kế hoạch quản trị dữ liệu mạnh mẽ nên phác thảo việc sử dụng dữ liệu có thể chấp nhận để cân bằng giữa quyền riêng tư và an ninh với nhu cầu dữ liệu chất lượng cao cần thiết cho các phân tích thống kê. Việc kiểm toán chất lượng định kỳ nên được xây dựng trong tất cả các chu trình quản lý dữ liệu, bao gồm thu thập, báo cáo và phát hành.
- Chia sẻ dữ liệu và báo cáo
Bảo đảm các hoạt động phổ biến dữ liệu tuân thủ luật pháp là trách nhiệm chính của cơ quan, tổ chức. Việc phát hành hoặc chia sẻ bất kỳ dữ liệu nào mà không có sự đồng ý bằng văn bản (ví dụ: dưới dạng hồ sơ cá nhân hoặc báo cáo tổng hợp) phải tuân thủ các chính sách và quy định do tổ chức thiết lập bao gồm các thủ tục bảo vệ thông tin nhận dạng cá nhân khi chia sẻ với các cơ quan khác và thủ tục tránh tiết lộ để bảo vệ thông tin nhận dạng cá nhân không bị tiết lộ trong các báo cáo công khai. (Bảo đảm rằng mọi thỏa thuận chia sẻ dữ liệu đều được cho phép theo luật và quy định về quyền riêng tư). Hơn nữa, kế hoạch quản trị dữ liệu nên xác định các thủ tục để thông báo cho các bên liên quan thường xuyên về các quyền của họ theo luật và quy định điều chỉnh quyền riêng tư của dữ liệu.
Các bước cơ bản để thực hiện chương trình quản trị dữ liệu
- Thành lập một ủy ban quản trị dữ liệu
Trong một hệ thống dữ liệu phức tạp với nhiều mục đích sử dụng và người dùng, nhiệm vụ thiết lập và ban hành các chính sách và thủ tục quản lý dữ liệu được giao cho một ủy ban quản trị dữ liệu. Ủy ban này phải có “chức năng chéo” và bao gồm đại diện cơ quan quản lý, tư vấn pháp lý, quản trị viên hệ thống dữ liệu, nhà cung cấp dữ liệu, quản lý dữ liệu, chuyên gia an ninh và quyền riêng tư, người dùng dữ liệu từ khắp tổ chức. Các thành viên ủy ban đại diện cho các văn phòng khác nhau này (ví dụ: các văn phòng liên quan đến việc cung cấp hoặc sử dụng dữ liệu) nên được bổ nhiệm bởi các khu vực (hoặc một nhóm cá nhân) khác với cơ quan quản lý điều hành.
- Xác định các chính sách và thủ tục quản trị dữ liệu
Ủy ban quản trị hợp tác để phát triển các chính sách, thủ tục và tiêu chuẩn cho một chương trình bảo vệ dữ liệu và quyền riêng tư. Các chính sách và thủ tục này phải khả thi ở các cấp khác nhau trong cấu trúc quản trị dữ liệu của tổ chức. Ủy ban quản trị có trách nhiệm chính thức hóa các chính sách và thủ tục quản trị dữ liệu bằng văn bản sau khi lấy ý kiến phản hồi của các bên liên quan và bảo đảm sự hỗ trợ từ lãnh đạo điều hành.
- Triển khai chương trình quản trị dữ liệu
Các chính sách và quy trình cụ thể được nêu trong chương trình quản trị dữ liệu được những người quản lý dữ liệu triển khai thông qua việc quản lý dữ liệu liên tục bao gồm thu thập, xử lý, lưu trữ, bảo trì và sử dụng. Bất kỳ thay đổi nào đối với chương trình quản trị phải được sự chấp thuận của các lãnh đạo có thẩm quyền điều hành, người ban đầu chỉ định các thành viên của ủy ban quản trị dữ liệu.
- Theo dõi và báo cáo tiến độ chương trình
Người quản lý dữ liệu có trách nhiệm tích cực theo dõi các hoạt động liên quan đến dữ liệu để bảo đảm tuân thủ các tiêu chuẩn, chính sách và thủ tục đã được thiết lập. Ủy ban quản trị dữ liệu nên theo dõi tiến độ thực hiện chương trình với các số liệu chính (ví dụ: thống kê chất lượng dữ liệu) và báo cáo định kỳ về tiến độ cho nhóm lãnh đạo và các bên liên quan khác.
Kết luận
Bài viết trên đã giới thiệu về việc thiết lập một chương trình quản trị dữ liệu toàn diện theo hướng dẫn của Sở Giáo dục Hoa Kỳ bao gồm các thành phần của chương trình quản trị dữ liệu, các lĩnh vực trọng tâm chính cần được đề cập trong chương trình quản trị dữ liệu và các bước cơ bản để thực hiện chương trình quản trị dữ liệu. Hướng dẫn xây dựng chương trình quản trị dữ liệu của Sở Giáo dục Hoa Kỳ là một kinh nghiệm tốt để các cơ quan nhà nước Việt Nam tham khảo trong quá trình nghiên cứu, đề xuất các chính sách quản lý nhà nước về quản trị dữ liệu.
Tài liệu tham khảo
Phạm Văn Thịnh