第一步：落实合适的人员负责治理。

任何成功的数据治理计划的第一个步骤就是，要在本企业找到CEO可以授权的人，然后让该人负责项目的具体实施。没有什么能取代强有力的领导。

数据治理是涉及人事的一个难题，这需要在许多不同的利益相关者之间达成共识。因而，在本企业里面选定这样的领导人是一项重要工作。治理官员一旦选定下来，就要成立由企业的利益相关者组成的治理委员会，制订监管政策、向CEO及董事会报告进度。 第二步：调查清楚所处环境。

一旦选定了领导小组，就要调查当前情形，并清查不同部门在不同领域的当前最佳实践。领导小组需要越过独立系统看待问题，而企业数据治理评估方法对这项工作来说必不可少。这有助于比较本企业的数据治理计划目前处于什么状态，并且提供了一份路线图以便确定以后的目标。

第三步：制订数据治理策略。

数据治理评估之后，治理委员会就应当考虑制订远景，希望公司的数据治理实践在接下来的几年达到何种地步，根据这种需求为未来制订远景。委员会应当向后规划，并且制订切合实际的里程碑和项目计划来填补相关的缺口。具体办法就是制订关键绩效指标来跟踪进度，并且向CEO和董事会提交年度报告来证实成果。 第四步：算出数据价值。

要是公司不知道数据的价值，它们就无法提高、保护或者评估数据对账本底线的价值。数据不是一种普通商品，而是像水龙头里出来的水——对生命至关重要，又往往被人们认为是理所

当然的。你要是不知道某物的价格，就无法算出它的价值。

如果你想算出数据的价值，就要根据用户权限和IT服务的效用，为数据建立内部市场。当本企业的每个人都在直接付费获取IT服务和数据时，数据的价值就成了公司价目表上的一部分。

第五步：算出风险概率。

知道数据在过去是如何使用和滥用的，这有助于了解数据在将来会如何被危及和披露。每家企业都有一些原因、如一些事件和损失在独立系统、层次体系和商业报告中消失。这些数据已经可供使用，却没有被大多数企业所使用。收集这些数据，与其意义联系起来，并研究长期的损失趋势，这可以帮助任何企业把风险管理转变成基于事实的商业智能方法，从而可分析过去事件、预测未来损失、改变当前的政策要求，为未来改善风险缓解策略。

第六步：密切关注控制措施的效果。

数据治理很大程度上涉及企业的组织行为。企业每天在变化，因而它们的数据、价值及风险也在迅速变化。遗憾的是，大多数企业每年对自己只评估一次。要是公司无法改变组织控制措施来满足每天或者每周出现的需求，也就谈不上变化治理。

数据治理比简单的安全、可控管理或者风险管理复杂得多。它包括所有这些及其他方面。这是一门新的综合学科，把一家企业的独立系统结合起来，重新定义数据的价值和保护机制。这涉及企业如何使用数据来造福及保护自己。由于媒体在大肆报道数据安全事件，数据治理也就成了每位CIO今年工作内容的一部分。

为了管理风险，企业必须管理数据的使用，并确保实施行之有效的治理，办法就是落实一贯的方法，把支持决策过程的企业最佳实践和技术记入文档。保护企业信息、使用质量得到改进的数据，这将有助于公司不但确保审计人员和监控人员的满意，还能留住客户、带来新的商业机遇。