数据审计清单草拟

主数据权限与留存管理审计清单

一、审计准备与范围界定
- 明确审计范围：主数据域（如客户、供应商、产品、物料、科目等）、涉及系统（MDM/HUB、ERP、CRM、DWH、集成中台、文件存储、备份/归档系统）、环境（开发/测试/生产）。
- 收集文档：数据治理政策、访问控制标准、留存与处置政策、数据分类与分级方案、系统资产清单、数据流与接口清单、角色矩阵（RBAC/ABAC）、SOD矩阵、审批流程、审计日志策略、例外管理规范。
- 明确法规与合规要求：数据隐私（如GDPR、PIPL等）、财务与税务留存要求、合同与监管义务、行业标准（如ISO 27001、SOC 2相关控制），并建立要求—控制—证据的映射。

二、主数据权限治理控制检查
1) 政策与标准
- 是否存在经批准且现行的主数据访问控制政策与标准，覆盖角色定义、最小权限原则、SOD、审批与复核、日志与监控、第三方访问。
- 政策更新频率与版控记录是否完备。
- 证据：政策文档、版本记录、治理委员会批准纪要。

2) 数据分类与敏感字段
- 主数据域是否完成分类与分级（敏感/受限/公开），字段级敏感项识别（如姓名、证件号、银行账户、税号、联系方式）。
- 字段级访问控制或数据脱敏策略是否覆盖敏感字段。
- 证据：数据目录、分类分级清单、字段级权限配置与掩码规则。

3) 身份与角色设计（RBAC/ABAC）
- 角色矩阵是否与业务职责对齐；是否适用基于属性的动态约束（如部门、地域、项目）。
- 角色与权限基线是否记录，并与生产配置一致。
- 证据：角色矩阵、权限基线、配置导出比对报告。

4) 授权与审批流程（Joiner/Mover/Leaver）
- 新增/变更/离职的账户与权限是否执行标准流程，含工单、审批、时限SLA、身份源（IAM/HR）对接。
- 离职停用与岗位变更降权是否在政策规定时限内完成。
- 证据：近12个月工单样本、审批记录、身份源事件与权限变更时间戳对比。

5) 职责分离（SOD）
- 高风险动作（主数据创建/合并/批量导入/批量导出/接口配置变更/审核发布）是否实现人员与角色的分离。
- 例外授权是否有限期、可追踪、经管理层批准。
- 证据：SOD矩阵、例外审批单、日志中执行人与审批人分离验证。

6) 特权与紧急访问（PAM/Break-glass）
- 管理员/接口配置/批量处理等特权账户是否纳入PAM管理，采用短期授权与会话录制。
- 紧急访问是否事前/事后审批、事后复盘与风险评估。
- 证据：PAM系统报表、紧急访问清单、会话录制与审计记录。

7) 服务账号与API密钥
- 服务账号用途、范围、到期与密钥轮换策略是否明确；是否禁止共享与人用。
- API访问是否实施最小权限、速率限制、IP白名单、OAuth/MTLS等。
- 证据：服务账号台账、密钥轮换记录、API网关策略与访问日志。

8) 环境隔离与变更管理
- 开发/测试/生产主数据是否隔离；测试数据是否匿名化或合成。
- 主数据模型与权限配置变更是否走变更流程、回归验证与审批。
- 证据：环境隔离方案、匿名化规则、变更单与回归测试报告。

9) 数据导出与共享控制
- 批量导出、报表、下游接口是否实施授权与审计；外发文件是否加密与水印。
- 第三方/外包访问是否存在DPA/合同约束与技术控制（隔离、到期停用）。
- 证据：导出白名单、接口授权、外发控制策略、第三方合同与访问清单。

10) 审计日志与监控
- 记录范围：登录、权限变更、主数据新增/更新/合并、批量导入导出、接口调用、失败与异常。
- 日志完整性、保留期限、不可抵赖性与集中归集（SIEM）是否满足要求；是否设定告警规则。
- 证据：日志样本、SIEM告警策略与触发记录、日志保留配置。

11) 定期权限复核与认证
- 按周期（如季度）进行权限复核；针对敏感角色与高权限账户进行强化认证。
- 复核结果的整改闭环是否到位。
- 证据：复核计划、复核结果与整改单、抽样比对报告。

三、主数据留存与处置管理检查
1) 留存政策与保留表
- 不同主数据域的留存期限是否基于法规、合同与业务需要明确，含字段/记录级例外。
- 存储位置（在线、归档、备份）与保留策略一致性。
- 证据：留存政策、保留表（含法规映射）、系统配置与数据字典。

2) 留存触发与计时
- 事件驱动触发（如合同结束、账户关闭、供应商停用、项目完结）是否定义清晰；起始计时点是否一致。
- 证据：事件—留存规则映射、业务流程与系统配置截图、触发记录。

3) 法律保全（Legal Hold）
- 诉讼/监管调查保全机制是否可即时生效、可追踪、可解除；是否阻断自动删除。
- 证据：保全指令记录、系统保全状态、解除与重启删除的日志。

4) 处置方式与可逆性
- 删除、不可逆匿名化、归档加密等处置方式是否定义；选择原则与适用场景是否明确。
- 证据：处置标准、匿名化策略（去标识化、差分隐私/散列等说明）、操作记录。

5) 下游系统与数据传播
- 主数据删除/匿名化是否通过MDM到所有下游系统与缓存；是否存在回灌与重建机制。
- 证据：数据流图、删除事件传播日志、下游确认与对账报告。

6) 备份与灾备中的留存
- 备份保留策略是否与政策一致；是否实施选择性恢复与删除后的不可恢复（如加密密钥销毁/备份窗口限制）。
- 证据：备份策略、恢复演练记录、密钥管理与销毁证据。

7) 删除证明与审计追踪
- 批量删除/匿名化操作的审计追踪是否完整（操作者、审批人、时间、对象、数量、哈希校验/对账）。
- 证据：处置报告、工单与审批、校验与采样核查记录。

8) 例外与数据最小化
- 留存例外审批与期限管理是否规范；是否执行数据最小化（仅保留必要字段）。
- 证据：例外清单与到期提醒、字段精简记录。

9) 跨境与第三方留存
- 跨境存储与处理是否符合所在地法规与合同；第三方保留与删除义务是否受控。
- 证据：跨境评估、第三方协议与删除证明。

四、数据质量与主数据生命周期关联检查
- 主数据合并/拆分/幸存规则对留存与权限的影响是否评估（历史版本保留、变更可追踪）。
- 删除是否维护参照完整性（替代键/留存影子记录），避免下游断裂。
- 证据：合并/版本策略、历史保留方案、参照完整性检查报告。

五、监控、指标与报告
- 权限治理KPI：权限复核完成率、离职停用及时率、特权访问比例与时长、未授权导出告警数。
- 留存KPI：到期处置完成率、Legal Hold响应时长、删除传播成功率、备份不可恢复验证频次。
- 证据：仪表盘、月/季报告、趋势分析与整改计划。

六、审计测试与抽样建议
- 抽样近12个月的：权限申请与审批单、离职/转岗事件、特权访问记录、导出操作、批量主数据变更、Legal Hold案例、删除/匿名化批次。
- 重点样本：高敏主数据字段访问、MDM管理员与集成配置角色、第三方访问、生产环境数据导出、备份恢复演练。
- 交叉验证：工单—系统权限快照—日志时间戳一致性；删除事件—下游确认对账；保全状态—删除阻断验证。

七、合规符合性核查
- 政策与控制是否满足适用法规与标准要求（隐私、财税、合同）；差距与整改计划是否记录。
- 证据：合规映射表、内审/外审报告、整改闭环文档。

八、审计发现与整改跟踪
- 对发现进行分级（重大/一般/提示），制定整改措施、责任人与期限。
- 设置复审节点，验证控制有效性与持续符合性。
- 证据：发现清单、整改计划、复审记录。

附：常见高风险控制点提示
- 未实施定期权限复核或SOD导致一人可创建并发布主数据。
- 服务账号长期有效且共享，API密钥未轮换。
- 测试环境使用真实敏感主数据，未匿名化。
- 留存策略未覆盖下游系统与备份，删除不可落地。
- Legal Hold流程未能及时阻断自动删除或解除后未恢复处置。
- 批量导出缺乏授权与审计，存在数据外流风险。

本清单用于结构化审计与现场取证，建议结合组织具体系统与监管要求调整抽样深度与控制阈值，并确保发现与整改形成闭环管理。

审计清单：数据仓库上线变更与告警处理流程

一、审计范围与目标
- 范围：数据仓库变更管理与上线流程、监控与告警策略、告警响应与处置、合规与记录留存。
- 目标：验证流程规范性、控制有效性、合规性与可追溯性；降低上线与运行风险；确保数据质量与服务连续性。

二、变更与上线流程审计清单
1) 治理与角色职责
- 是否存在经批准的变更管理与上线政策（含紧急变更、冻结窗口、回滚策略）。
- RACI定义是否覆盖数据所有者、数据管家、平台/运维、信息安全、合规与业务方。
- 职责分离是否到位（开发/审批/部署/验收分离；“四眼原则”执行记录）。

2) 变更申请与分类
- 变更单是否完整：范围、类型（模型/ETL/调度/权限/监控等）、风险等级、影响系统。
- 是否对涉及个人数据/敏感数据的变更进行标记与合规评估（如DPIA、数据最小化）。

3) 风险评估与影响分析
- 是否进行影响分析并记录数据血缘（上/下游表、报表、接口、数据产品）。
- 是否评估兼容性（Schema变更向后兼容策略、字段弃用计划、版本化方案）。
- 是否识别运营风险（SLA影响、资源与成本、灾备影响）并制定缓解措施。

4) 审批与计划
- 审批流是否符合政策（相关职能均签批；紧急变更有事后复核）。
- 上线窗口与回滚阈值是否明确；是否通知利益相关方与下游系统负责人。

5) 测试与验收标准
- 是否具备测试覆盖：单元/集成/回归、性能与容量测试、数据回填与再处理演练。
- 数据质量验收准则是否明确（完整性、准确性、一致性、时效性、唯一性；阈值与允许漂移范围）。
- 验收责任与结论是否记录（含数据所有者/业务方签署）。

6) 环境与配置管理
- CI/CD是否实施，构建与部署流水线有审计日志；投产包可复现（版本、校验和）。
- 基线配置与基础设施变更（参数、资源配额、加密设置）是否记录与审批。
- 租户/环境隔离与跨环境一致性检查（开发/测试/生产差异说明）。

7) 安全与合规控制
- 访问控制与最小权限是否复核（角色/策略变更、临时权限过期机制）。
- 加密与脱敏策略是否适用（传输/静态加密、敏感字段遮蔽/分级访问）。
- 保留与删除策略是否更新（数据保留期限、法律保全、审计日志保存周期）。
- 合规证明是否齐全（政策适配、DPIA/安全评审报告、第三方数据共享协议）。

8) 部署执行与回滚
- 部署步骤与回滚方案是否演练并记录（含数据回滚/逻辑回滚、切换策略、影子发布/蓝绿/灰度）。
- 部署清单是否完成（变更项对账：表、视图、作业、告警、权限、元数据目录）。
- 部署日志与校验（Checksum、迁移脚本执行结果、失败重试策略）。

9) 上线后验证与监控
- 上线后观察期是否设定；关键指标监控是否启用（数据新鲜度、记录量、空值率、延迟、成本）。
- 数据质量规则与监控告警是否与变更同步更新；基线重建与漂移检测是否执行。
- 下游影响验证（关键报表/接口回归检查；业务可用性确认）。

10) 文档与记录留存
- 变更单、审批记录、测试报告、部署与回滚日志、监控与验收记录是否集中归档。
- 元数据目录与数据血缘是否更新；数据字典与使用指南是否同步。

三、告警处理流程审计清单
1) 告警策略与覆盖
- 告警分类是否完整：作业/调度、数据质量、资源与成本、安全与合规、接口/服务。
- 阈值与严重级别定义是否明确；误报/漏报控制策略是否记录（抑制/聚合/去重）。
- 告警源是否统一接入（监控平台/事件总线）；配置变更有变更管理与审计轨迹。

2) 值班与SLA
- 值班日历与联系人是否有效；响应SLA与修复SLA是否达标记录。
- 升级路径是否明确（技术→数据所有者→安全/合规→管理层）；高优先级告警通道有效性测试。

3) 分诊与工单化
- 分诊流程是否标准化（影响范围、是否生产影响、数据污染程度、回退条件）。
- 告警是否自动/人工工单化，包含时间戳、责任人、严重级别、处置行动与状态。
- 抑制/静音规则是否审批与有时限；避免长期屏蔽导致风险积累。

4) 处置与缓解
- 标准运行手册（Runbook）是否存在且可执行（重跑、回填、隔离污染数据、降级策略）。
- 数据隔离与标记机制是否可用（疑似异常数据打标签、下游隔离/阻断策略）。
- 安全与合规事件是否及时上报（如访问异常、敏感数据泄露风险）。

5) 根因分析与改进
- RCA报告是否按时完成，包含技术根因、流程缺陷与防止再发的CAPA措施。
- 规则与监控优化是否落实（阈值调整、覆盖拓展、基线再训练）。
- 复盘会议与知识库更新是否完成；经验复用到相似数据域/管道。

6) 关闭与验证
- 关闭条件是否达成（指标恢复、下游验证通过、业务方确认）。
- 残留风险与后续跟踪任务是否登记；审计证据是否归档。

四、关键审计证据与度量
- 文档与记录：变更与审批单、风险与影响分析、测试与验收报告、部署/回滚日志、监控与告警配置、值班与SLA记录、工单与RCA、合规评审与DPIA、元数据/血缘更新记录。
- 指标：MTTD/MTTR、SLA达成率、变更失败率、回滚触发率、数据质量告警率与误报率、覆盖率（关键表/管道/报表）、告警响应及时率、重复事件再发率。
- 日志与取证：CI/CD流水线审计日志、访问与权限变更日志、数据质量检测结果与样本、告警触发与路由日志、分布式作业与资源消费记录。

五、抽样与审计测试建议
- 抽样范围：最近3–5次生产上线（含一次高风险Schema变更）、最近10–20个高严重告警事件。
- 走查与重演：随机选择一条变更进行端到端重演（从申请到上线后验证）；选择一条告警执行分诊与处置演练。
- 数据质量复核：对关键事实表与维表进行基准对比（记录量、主键唯一性、外键完整性、核心指标漂移）。
- 安全合规测试：权限最小化抽样核查、敏感字段脱敏验证、审计日志完整性检查。

此清单用于验证数据仓库上线与运行期的关键治理控制是否有效，确保数据质量、合规与业务连续性。