数据治理政策撰写指南

数据治理政策章节：监管条款制度化与审计证据留存

一、目标与适用范围

• 目标：将外部监管要求系统性转化为可执行的内部制度与控制，并对合规执行形成充分、可核查的审计证据，支撑商业智能（BI）场景下的数据安全、质量与合规运营。
• 适用范围：覆盖数据的全生命周期（采集、接入、存储、处理、分析、共享、报表与销毁）以及涉及的人员、流程、系统、第三方与跨境活动。

二、角色与职责

• 数据治理委员会（DGC）：批准制度、资源与例外；审议监管变更与重大风险；监督整改。
• 合规/法务：识别并维护监管义务清单；解释监管要求；设定留存要求与法律保全流程。
• 内部审计：评估制度有效性；抽检证据质量；出具审计结论并跟踪整改。
• 数据与系统所有者：落实控制与证据采集；确保数据与报表合规输出；配合审计。
• IT与安全：提供日志、访问控制、加密与WORM等技术支撑；保障证据可用性与完整性。
• 采购/第三方管理：将监管条款纳入合同；确保供应商履约与证据可见性。
• 业务负责人（含BI产品负责人）：在流程与报表中落地控制；组织培训与宣导。

三、监管条款制度化

1. 监管义务识别与映射

• 建立并维护“监管义务—控制点矩阵”（Reg–Control Matrix），覆盖数据隐私、网络安全、财务与报表、行业特定等要求。
• 对新法规/修订执行影响评估（业务范围、数据类别、系统、第三方、地域），形成差距分析与落地计划。

2. 制度与流程固化

• 将监管条款转化为内部政策、标准与SOP，包括：数据分类分级、数据留存与销毁、访问与最小权限、加密与脱敏、数据质量与溯源、跨境与共享审批、事故通报等。
• 明确控制责任人、频率、执行证据与复核要求，并纳入绩效或合规考核。

3. 系统层面落地

• 在数据平台/ETL/BI工具中内嵌控制：数据血缘与影响分析、质量校验与拦截、访问审计日志、敏感字段遮蔽、版本与发布审批。
• 对关键配置与规则（数据模型、指标口径、权限策略）启用变更管理与版本控制。

4. 第三方与合同管理

• 在合同与数据处理协议中纳入：数据使用范围、留存与销毁、数据泄露通报、审计权与配合、跨境合规、分包限制、证据保留与交付。
• 建立供应商合规评估与证据抽检机制。

5. 变更与例外管理

• 对法规更新、系统变更、业务模式变更触发制度复核与控制调整。
• 明确例外审批条件、期限、补偿性控制与关闭复核。

6. 培训与沟通

• 面向不同角色提供分层培训（政策解读、操作SOP、证据采集规范），确保知晓度与执行一致性。

四、审计证据留存

1. 证据范围（示例）

• 政策与审批：制度版本、审批记录、沟通与培训记录。
• 技术与运行：访问控制清单、权限变更单、系统与数据访问日志、ETL任务日志、作业失败与重跑记录、配置快照与变更记录。
• 数据质量与合规控制：校验规则、异常处置单、数据血缘报告、口径说明与变更批准、报表对账与业务签署。
• 第三方：尽职调查记录、合同条款、服务报告、事件通报与整改证据。
• 其他：法律保全通知、跨境审批与传输记录、用户同意与撤回记录（如适用）。

2. 证据质量标准

• 完整性：能覆盖控制设计、执行和复核的关键要素。
• 可验证性：来源可信、含时间戳与签名/哈希，必要时可与系统日志交叉验证。
• 可追溯性：明确谁、在何时、通过何系统执行了何动作；保留上下文与版本信息。
• 不可抵赖与防篡改：采用只读或WORM存储、哈希校验、访问审计。
• 可检索性：元数据齐全，按监管义务、系统、时间、数据域可索引检索。

3. 采集与固化

• 标准化模板与命名规范；自动化采集优先（API/审计流/流水线快照）。
• 关键事件与配置在变更时自动生成证据快照（如发布审批、权限变更、模型版本切换）。
• 对截图类证据要求附系统路径、时间戳、操作者与对应配置导出文件。

4. 存储与安全

• 建设集中“证据库”，分级授权与最小权限；对关键证据使用加密与WORM策略。
• 存取留痕：下载、查看、修改尝试均有日志；定期完整性校验（哈希对比）。

5. 保留期限与处置

• 由法务/合规维护“证据保留矩阵”，与监管义务、诉讼时效和业务需要对齐；优先遵循最严格适用要求。
• 到期执行可审计、可恢复的销毁流程；如触发法律保全，暂停销毁并记录保全范围、原因与解除时间。

6. 检索与响应

• 设定审计取证SLA（如T+3个工作日内完成一般请求）；维持可证明的检索链路与交付清单。
• 对外部审计与监管抽检设专人对接，执行最小披露原则。

五、商业智能场景的关键控制与证据

• 数据采集与整合：源系统接入审批、数据共享协议、字段级敏感性标注、跨境与隐私评估；证据为审批记录、DPIA/评估报告、接口与字段映射。
• 数据处理与质量：ETL规则与异常处置、阈值与拦截策略、血缘与影响分析；证据为任务日志、异常工单、血缘图与规则版本。
• 模型与指标管理：指标口径字典、变更评审、灰度与回滚；证据为指标变更单、版本签署、A/B验证记录。
• 报表与发布：报表合规审查与业务签署、数据掩码策略、导出与共享控制；证据为发布审批、访问名单与导出日志。
• 访问与最小权限：基于角色的授权、定期复核与回收；证据为访问评审结果、权限差异清单、回收记录。
• 自助BI治理：数据集认证与分级、敏感字段强制遮蔽、共享审批与审计；证据为数据集认证记录、共享审批与使用轨迹。
• 数据留存与删除：按分类分级设定留存期限与自动清理；证据为留存策略、销毁作业日志与复核记录。

六、监控、度量与审计

• 指标（示例）：监管义务映射覆盖率、控制按期执行率、证据完整率、取证SLA达成率、权限超期率、异常关闭及时率、审计发现整改按期率。
• 例行监控：月度控制执行健康度报告；季度证据抽检与缺陷通报；年度制度有效性评估。
• 审计协同：内审年度计划与高风险领域优先；对外审计前自查与穿行测试；整改闭环与复测。

七、工具与系统支持

• GRC平台：监管义务库、控制库、风险与整改跟踪、证据联结。
• 数据目录与血缘：敏感性标注、口径管理、全链路追溯。
• 日志与安全：集中日志与SIEM、访问审计、密钥与证书管理、WORM/对象锁。
• 开发与变更：版本控制（代码/配置/模型）、发布审批、制品仓库与哈希校验。
• 证据库：元数据索引、自动采集、权限与加密、法务保全开关。
• 合同与第三方：CLM系统对接合规条款库、供应商评估与证据接口。

八、附：台账与模板（建议字段）

• 监管义务台账：义务编号、来源、条款摘要、适用范围、控制映射、证据类型、保留期限、责任人、最后审阅日期。
• 控制执行记录：控制ID、频率、执行人、日期、异常与处置、证据链接、复核人与结论。
• 证据登记：证据ID、来源系统、生成时间、哈希值、存储位置、访问权限、到期销毁日期、法律保全状态。
• 例外与变更：原因、风险评估、补偿性控制、有效期、审批与关闭记录。

结论与要求

• 所有监管条款需在Reg–Control矩阵中有对应控制与证据；无证据视同未执行。
• 证据采集优先自动化与系统生成，确保可追溯与防篡改。
• 保留期限、法律保全与跨境合规由法务/合规统一口径；各系统与流程必须按期对齐更新。
• BI全链路（数据—模型—指标—报表）必须实现血缘可视与版本可追溯，以支持合规证明与快速取证。

数据治理政策章节：业务访问与共享规则与申请路径

1. 适用范围与角色

• 适用对象：全体业务用户、数据产品团队、数据治理与安全团队、IT/平台运维、法务与合规。
• 角色与职责
  • 数据所有人（Data Owner）：定义访问策略与共享边界，审批最终访问与对外共享。
  • 数据管理员/治理专员（Data Steward）：执行分类分级、权限配置建议、日常核查。
  • 平台管理员：按批准结果实施权限与技术控制。
  • 业务用数人：按授权范围合规使用与再共享，承担使用责任。

2. 数据分类与分级（决定默认访问与共享边界）

• 公开（Public）：可对外公开，默认可见，可共享但需保持来源与完整性。
• 内部（Internal）：仅内部员工可读，受最小必要原则限制。
• 受限（Restricted）：包含商业敏感信息，访问需业务必要性与主管审批，禁止外部共享。
• 敏感/机密（Confidential/Personal）：涉及个人信息、财务核心、战略数据；严格准入，默认不导出、不对外共享；需额外合规审查。
• 默认原则：级别越高，访问与共享限制越严，审查环节越多。

3. 访问授权原则

• 最小权限与按需访问（Need-to-know & Least Privilege）：仅授予完成工作所需的最小数据范围、最短时间、最低操作权限。
• 角色驱动为主（RBAC），属性控制为辅（ABAC）：优先通过岗位/角色包授予；对敏感数据叠加属性策略（组织、地域、项目、数据标签等）。
• 分离职责（SoD）：构建者、审批者、使用者权限分离；开发/测试与生产隔离。
• 默认拒绝：无批准不访问；到期自动撤销；岗位或组织变更触发复核与回收。

4. 访问级别与操作边界

• 查看（View）：浏览报表/仪表板/语义模型，禁止下载原始明细。
• 分析（Explore）：在授权模型内进行切片、计算与自助分析，可保存个人空间内容。
• 导出（Export）：遵循数据级别限制；敏感/机密默认仅聚合导出；行级导出须额外审批与技术控制。
• 共享/再分发（Share）：仅在授权范围内共享相同或更低敏感级别的数据产品；禁止将敏感数据降级为公开。
• 管理（Manage）：数据集/工作区/权限管理仅限数据产品负责人与平台管理员。

5. 共享规则（内部与外部）

• 内部共享
  • 优先共享数据产品（数据集/数据集市/语义模型/标准报表），避免共享源系统原始表。
  • 遵循“最小共享”：优先聚合、匿名化/脱敏、最少字段与最低粒度。
  • 再共享需继承原授权与限制，不得突破原数据级别与有效期。
• 外部共享（供应商/合作方/客户）
  • 必须签署数据共享协议（DSA）：用途限定、最小化字段与粒度、保密与安全义务、再转授权限制、留存与删除、审计权、违规责任。
  • 涉及个人信息或跨境传输：须符合法律法规（如个人信息保护相关要求）并通过法务/合规/安全评审；必要时开展安全评估或影响评估。
  • 技术要求：使用受控渠道（受管控的安全文件传输、受限访问门户或受控数据交换平台）；传输加密、存储加密、水印与访问日志；禁止邮件明文、公共网盘、个人云或可移动介质。

6. 导出与线下使用控制

• 默认禁止导出敏感/机密明细；确有业务必要时，需：
  • 说明业务场景、字段清单、粒度、保存地点、留存期限与销毁方式；
  • 采用脱敏/掩码/匿名化；启用水印与访问日志；限定到期自动失效；
  • 存储在受管控位置，禁止个人设备与非企业账号存放。
• 报表截图仅限内部沟通，敏感级别内容必须含水印与分发范围说明；禁止对外公开发布。

7. 申请路径与审批流程

• 入口渠道：企业数据门户或IT服务台（单一入口）；不接受口头或邮件临时授权。
• 申请信息（必填）
  • 数据产品/数据域/数据集名称与链接；数据级别与所需操作权限（查看/分析/导出/共享/管理）。
  • 业务目的与预期价值、合法合规依据（例如合同、监管要求）、使用对象与覆盖人群。
  • 字段与粒度清单、是否包含个人信息或受限数据、是否对外共享/跨境、有效期与预估频率。
• 审批链与职责
  • 直属主管：确认业务必要性与职责匹配。
  • 数据管理员/治理专员：核对分类分级、字段与粒度合理性、最小化与脱敏方案。
  • 数据所有人：最终授权边界与有效期。
  • 安全与合规/法务：当涉及敏感/机密、对外共享或跨境时参与审查。
  • 平台管理员：按批准结果配置权限与策略。
• SLA（工作日）与超时策略
  • 常规内部查看/分析：2个工作日内完成。
  • 导出或敏感数据访问：3–5个工作日（含治理与安全校验）。
  • 对外共享/跨境：5–10个工作日（含法务与合规审查）。
  • 超时自动提醒审批人；关键业务可标注优先级并附业务影响说明。
• 生效与通知：审批通过后自动下发权限，申请人、主管与数据管理员收到通知；权限随岗位变更自动复核。

8. 权限变更、到期与回收

• 到期自动撤销，需继续使用须重新申请。
• 岗位/组织/项目变更触发即时复核；离职自动回收。
• 定期再认证：敏感/机密每季度一次，其他每半年一次；未确认即撤销。

9. 共享方式与技术控制

• 身份与访问控制：统一身份（SSO）、多因素认证（针对敏感级别）、细粒度行列/字段级权限。
• 数据防护：数据脱敏/掩码、匿名化/差分隐私（视场景）、DLP策略、加密传输与存储、访问水印。
• 审计与可观测性：全量访问与共享日志、导出日志、策略变更日志留存不少于12个月；关键数据保留24个月。
• 质量与一致性：优先使用受治理的语义模型与指标库，禁止私有口径对外共享；变更需变更管理与通知。

10. 例外与紧急访问

• 紧急访问仅用于事件处置或监管要求；需主管与数据所有人临时批准，时效不超过48小时，事后24小时内完成溯源与补审。
• 例外申请需说明无法满足的政策条款、补偿性控制与风险评估；由数据所有人与安全/合规联合批准，记录在案并设定最短有效期。

11. 违规与问责

• 常见违规：越权访问、未审批对外共享、私存明细、使用非受控渠道、突破粒度/字段范围再分发。
• 处置：撤销权限、通报与培训、严重者按公司制度与法律规定处理；对外违规需按协议与法规要求通报并整改。

12. 绩效与持续改进（治理度量）

• 指标：平均审批时长、按时率、到期回收率、再认证完成率、违规事件数、未授权导出拦截率、使用与价值指标（活跃用户数、标准模型覆盖率）。
• 评审频率：每半年评估并更新本章节；重大法规或业务变化时即时修订。

重点与结论

• 以“最小必要、角色优先、分级保护、可审可控”为核心。
• 通过统一入口、标准化审批链与技术控制，将访问与共享纳入闭环：申请—审批—下发—使用—审计—回收。
• 外部与敏感场景严格遵从合规与安全要求，优先共享受治理的数据产品而非原始数据。