数据治理政策撰写指南

统一数据治理框架与审批流程

一、目标与范围
- 建立统一、可执行的数据治理框架与审批机制，保障数据的一致性、可用性、合规性与安全性。
- 适用范围：数据源接入、集成与建模、语义层与指标定义、报表与仪表盘发布、访问与共享、留存与销毁、数据质量与元数据管理。

二、治理框架原则
- 统一政策与标准：以单一政策库与标准库为准绳，避免重复与冲突。
- 数据分类与分级：按公共、内部、敏感、受限进行分级管理，驱动差异化控制。
- 元数据与血缘统一：统一目录、命名规范与血缘记录，确保可追溯。
- 质量与安全并重：设定质量阈值与监控机制，同步执行最小权限与隐私合规。
- 变更与版本控制：所有变更纳入工作流与版本管理，确保可审计与可回滚。
- 证据与审计：审批全流程留痕，形成可检索、不可篡改的审计记录。

三、组织与角色
- 数据治理委员会（DGC）：制定政策、裁决跨域冲突与高风险事项。
- 首席数据官（CDO）/数据保护官（DPO）：监督治理执行与隐私合规。
- 数据域负责人（Data Owner）：资产责任人，批准共享与关键变更。
- 数据管家（Data Steward）：维护元数据、指标口径与质量控制。
- BI负责人：管理语义层与指标一致性，把控报表发布与影响评估。
- 安全与合规：进行访问控制、隐私与合规评审。
- 数据平台/工程：实施技术控制、集成与变更上线。
- 审计与风控：定期检查政策执行与风险暴露。
说明：各角色采用RACI模型明确参与、审批与执行职责。

四、治理对象与标准
- 数据分类分级：明确敏感度与访问要求。
- 指标与维度标准：唯一命名、清晰口径、计算逻辑、适用范围与所有者。
- 数据模型与语义层：命名规范、版本策略、血缘与影响评估。
- 元数据与目录：资产描述、来源、所有权、质量状况、权限与使用限制为必填。
- 数据质量：质量规则、阈值、告警、修复与例外管理。
- 安全访问：基于角色与分级的最小权限，设定访问期限与审计开关。
- 生命周期：采集、使用、共享、归档与销毁的控制点与责任。
- 记录与审计：审批记录、变更日志与证据材料的保存期与检索要求。

五、统一审批流程总则
- 所有新引入与变更均需进入标准工作流，未经批准不得上线或对外共享。
- 采用风险分级驱动审批层级；涉外共享与高敏数据需高层联合审批。
- 申请必须包含影响评估、风险与合规评估、测试与回滚方案。
- 明确SLA与升级路径；逾期自动升级至上一级审批人或DGC。
- 全流程使用统一工单与版本管理系统，确保可追踪与审计。

六、关键审批场景与步骤
1) 新数据源接入
- 步骤：接入申请与业务目的 → 数据分类与隐私评估 → 安全评审 → 样本质量检测 → 标准映射（命名/编码/类型） → Owner/Steward审核 → 平台实施与试运行 → 上线批准与目录登记。
- 要求：明确合法来源、数据最小必要性、质量与安全控制、血缘记录。

2) 指标/口径新建或变更（BI重点）
- 步骤：指标定义草案（名称、公式、口径、来源、适用范围、示例数据） → 影响分析（报表、语义层、下游应用） → 命名与冲突检查 → Owner/Steward审核 → BI负责人复核与UAT → 跨域或关键指标提交DGC批准 → 发布公告与版本冻结 → 回滚预案。
- 要求：完整计算逻辑、边界条件、测试用例与一致性说明。

3) 数据模型/语义层变更
- 步骤：变更设计 → 血缘与影响图 → 兼容策略与弃用计划 → Owner/Steward审核 → BI负责人复核 → 受控试运行 → 上线批准。
- 要求：版本策略、影响告知与变更窗口安排。

4) 数据访问授权
- 分级审批：公共/内部由Owner+Steward批准；敏感/受限需合规与安全联合审批；特权与批量导出需DGC批准。
- 要求：明确使用目的、最小权限、访问期限、审计启用与定期回收。

5) 数据共享与对外发布
- 步骤：使用目的与合法性审查 → 隐私影响评估 → 合规与法律审批 → 脱敏/匿名化验证 → 风险接受与合同条款 → 上线批准 → 共享记录与监控。
- 要求：禁止再分发条款、数据驻留与跨境要求、泄露响应计划。

6) 留存、归档与销毁
- 步骤：制定留存计划（法规与业务依据） → Owner与合规审核 → 执行归档（加密与访问控制） → 到期销毁（双人见证与日志） → 审计确认。
- 要求：明确留存时限与例外审批机制。

7) 数据质量例外与修复
- 步骤：异常申报 → 风险评估与影响告知 → 临时豁免审批（限期） → 修复计划与跟踪 → 到期复审与关闭。
- 要求：超过阈值需升级与公告，记录补救效果。

8) 元数据与目录更新
- 要求：新增资产须在发布前完成元数据登记；变更同步更新目录与血缘。

七、风险分级与审批矩阵
- 维度：数据敏感度、影响范围（跨域/关键资产）、对外性、不可逆风险。
- 原则：风险越高，审批级别越高，参与角色越多；紧急变更须走快速通道并事后复审。
- 时限：一般事项5个工作日；跨域或对外共享10个工作日；逾期自动升级。

八、文档与证据要求
- 标准模板：业务需求、风险与合规评估、影响分析、测试报告、发布与回滚方案、使用限制与到期回收计划。
- 保存与审计：审批与变更记录至少保存3年，确保可检索与不可篡改。

九、监控与持续改进
- 监控指标：审批周期、违规发布次数、数据质量缺陷率、权限回收及时率、目录完整率。
- 周期审查：季度政策与流程评审，年度合规与审计；关键角色年度培训与认证。
- 改进机制：基于监控指标与审计结果制定改进计划并跟踪落实。

十、例外与升级管理
- 例外仅在明确风险与临时期限下批准；需指定补救措施与责任人。
- 升级路径：Owner/Steward → 合规/安全 → DGC；出现冲突或重大风险由DGC裁决。

十一、跨境与主权要求
- 涉及跨境数据传输或对外共享，须评估数据驻留要求与合法传输机制，并完成法律与合规审批后执行。

执行要求与结论
- 所有团队必须遵循统一框架与审批流程；任何绕过流程的发布、共享或访问均视为违规。
- 统一治理与审批能够显著提升指标一致性、降低合规与运营风险、缩短交付周期。各角色应按职责履行审批与记录义务，确保流程高效、透明、可审计。

数据治理政策章节：监管条款制度化与审计证据留存

一、目标与适用范围
- 目标：将外部监管要求系统性转化为可执行的内部制度与控制，并对合规执行形成充分、可核查的审计证据，支撑商业智能（BI）场景下的数据安全、质量与合规运营。
- 适用范围：覆盖数据的全生命周期（采集、接入、存储、处理、分析、共享、报表与销毁）以及涉及的人员、流程、系统、第三方与跨境活动。

二、角色与职责
- 数据治理委员会（DGC）：批准制度、资源与例外；审议监管变更与重大风险；监督整改。
- 合规/法务：识别并维护监管义务清单；解释监管要求；设定留存要求与法律保全流程。
- 内部审计：评估制度有效性；抽检证据质量；出具审计结论并跟踪整改。
- 数据与系统所有者：落实控制与证据采集；确保数据与报表合规输出；配合审计。
- IT与安全：提供日志、访问控制、加密与WORM等技术支撑；保障证据可用性与完整性。
- 采购/第三方管理：将监管条款纳入合同；确保供应商履约与证据可见性。
- 业务负责人（含BI产品负责人）：在流程与报表中落地控制；组织培训与宣导。

三、监管条款制度化
1) 监管义务识别与映射
- 建立并维护“监管义务—控制点矩阵”（Reg–Control Matrix），覆盖数据隐私、网络安全、财务与报表、行业特定等要求。
- 对新法规/修订执行影响评估（业务范围、数据类别、系统、第三方、地域），形成差距分析与落地计划。

2) 制度与流程固化
- 将监管条款转化为内部政策、标准与SOP，包括：数据分类分级、数据留存与销毁、访问与最小权限、加密与脱敏、数据质量与溯源、跨境与共享审批、事故通报等。
- 明确控制责任人、频率、执行证据与复核要求，并纳入绩效或合规考核。

3) 系统层面落地
- 在数据平台/ETL/BI工具中内嵌控制：数据血缘与影响分析、质量校验与拦截、访问审计日志、敏感字段遮蔽、版本与发布审批。
- 对关键配置与规则（数据模型、指标口径、权限策略）启用变更管理与版本控制。

4) 第三方与合同管理
- 在合同与数据处理协议中纳入：数据使用范围、留存与销毁、数据泄露通报、审计权与配合、跨境合规、分包限制、证据保留与交付。
- 建立供应商合规评估与证据抽检机制。

5) 变更与例外管理
- 对法规更新、系统变更、业务模式变更触发制度复核与控制调整。
- 明确例外审批条件、期限、补偿性控制与关闭复核。

6) 培训与沟通
- 面向不同角色提供分层培训（政策解读、操作SOP、证据采集规范），确保知晓度与执行一致性。

四、审计证据留存
1) 证据范围（示例）
- 政策与审批：制度版本、审批记录、沟通与培训记录。
- 技术与运行：访问控制清单、权限变更单、系统与数据访问日志、ETL任务日志、作业失败与重跑记录、配置快照与变更记录。
- 数据质量与合规控制：校验规则、异常处置单、数据血缘报告、口径说明与变更批准、报表对账与业务签署。
- 第三方：尽职调查记录、合同条款、服务报告、事件通报与整改证据。
- 其他：法律保全通知、跨境审批与传输记录、用户同意与撤回记录（如适用）。

2) 证据质量标准
- 完整性：能覆盖控制设计、执行和复核的关键要素。
- 可验证性：来源可信、含时间戳与签名/哈希，必要时可与系统日志交叉验证。
- 可追溯性：明确谁、在何时、通过何系统执行了何动作；保留上下文与版本信息。
- 不可抵赖与防篡改：采用只读或WORM存储、哈希校验、访问审计。
- 可检索性：元数据齐全，按监管义务、系统、时间、数据域可索引检索。

3) 采集与固化
- 标准化模板与命名规范；自动化采集优先（API/审计流/流水线快照）。
- 关键事件与配置在变更时自动生成证据快照（如发布审批、权限变更、模型版本切换）。
- 对截图类证据要求附系统路径、时间戳、操作者与对应配置导出文件。

4) 存储与安全
- 建设集中“证据库”，分级授权与最小权限；对关键证据使用加密与WORM策略。
- 存取留痕：下载、查看、修改尝试均有日志；定期完整性校验（哈希对比）。

5) 保留期限与处置
- 由法务/合规维护“证据保留矩阵”，与监管义务、诉讼时效和业务需要对齐；优先遵循最严格适用要求。
- 到期执行可审计、可恢复的销毁流程；如触发法律保全，暂停销毁并记录保全范围、原因与解除时间。

6) 检索与响应
- 设定审计取证SLA（如T+3个工作日内完成一般请求）；维持可证明的检索链路与交付清单。
- 对外部审计与监管抽检设专人对接，执行最小披露原则。

五、商业智能场景的关键控制与证据
- 数据采集与整合：源系统接入审批、数据共享协议、字段级敏感性标注、跨境与隐私评估；证据为审批记录、DPIA/评估报告、接口与字段映射。
- 数据处理与质量：ETL规则与异常处置、阈值与拦截策略、血缘与影响分析；证据为任务日志、异常工单、血缘图与规则版本。
- 模型与指标管理：指标口径字典、变更评审、灰度与回滚；证据为指标变更单、版本签署、A/B验证记录。
- 报表与发布：报表合规审查与业务签署、数据掩码策略、导出与共享控制；证据为发布审批、访问名单与导出日志。
- 访问与最小权限：基于角色的授权、定期复核与回收；证据为访问评审结果、权限差异清单、回收记录。
- 自助BI治理：数据集认证与分级、敏感字段强制遮蔽、共享审批与审计；证据为数据集认证记录、共享审批与使用轨迹。
- 数据留存与删除：按分类分级设定留存期限与自动清理；证据为留存策略、销毁作业日志与复核记录。

六、监控、度量与审计
- 指标（示例）：监管义务映射覆盖率、控制按期执行率、证据完整率、取证SLA达成率、权限超期率、异常关闭及时率、审计发现整改按期率。
- 例行监控：月度控制执行健康度报告；季度证据抽检与缺陷通报；年度制度有效性评估。
- 审计协同：内审年度计划与高风险领域优先；对外审计前自查与穿行测试；整改闭环与复测。

七、工具与系统支持
- GRC平台：监管义务库、控制库、风险与整改跟踪、证据联结。
- 数据目录与血缘：敏感性标注、口径管理、全链路追溯。
- 日志与安全：集中日志与SIEM、访问审计、密钥与证书管理、WORM/对象锁。
- 开发与变更：版本控制（代码/配置/模型）、发布审批、制品仓库与哈希校验。
- 证据库：元数据索引、自动采集、权限与加密、法务保全开关。
- 合同与第三方：CLM系统对接合规条款库、供应商评估与证据接口。

八、附：台账与模板（建议字段）
- 监管义务台账：义务编号、来源、条款摘要、适用范围、控制映射、证据类型、保留期限、责任人、最后审阅日期。
- 控制执行记录：控制ID、频率、执行人、日期、异常与处置、证据链接、复核人与结论。
- 证据登记：证据ID、来源系统、生成时间、哈希值、存储位置、访问权限、到期销毁日期、法律保全状态。
- 例外与变更：原因、风险评估、补偿性控制、有效期、审批与关闭记录。

结论与要求
- 所有监管条款需在Reg–Control矩阵中有对应控制与证据；无证据视同未执行。
- 证据采集优先自动化与系统生成，确保可追溯与防篡改。
- 保留期限、法律保全与跨境合规由法务/合规统一口径；各系统与流程必须按期对齐更新。
- BI全链路（数据—模型—指标—报表）必须实现血缘可视与版本可追溯，以支持合规证明与快速取证。

数据治理政策章节：业务访问与共享规则与申请路径

1. 适用范围与角色
- 适用对象：全体业务用户、数据产品团队、数据治理与安全团队、IT/平台运维、法务与合规。
- 角色与职责
  - 数据所有人（Data Owner）：定义访问策略与共享边界，审批最终访问与对外共享。
  - 数据管理员/治理专员（Data Steward）：执行分类分级、权限配置建议、日常核查。
  - 平台管理员：按批准结果实施权限与技术控制。
  - 业务用数人：按授权范围合规使用与再共享，承担使用责任。

2. 数据分类与分级（决定默认访问与共享边界）
- 公开（Public）：可对外公开，默认可见，可共享但需保持来源与完整性。
- 内部（Internal）：仅内部员工可读，受最小必要原则限制。
- 受限（Restricted）：包含商业敏感信息，访问需业务必要性与主管审批，禁止外部共享。
- 敏感/机密（Confidential/Personal）：涉及个人信息、财务核心、战略数据；严格准入，默认不导出、不对外共享；需额外合规审查。
- 默认原则：级别越高，访问与共享限制越严，审查环节越多。

3. 访问授权原则
- 最小权限与按需访问（Need-to-know & Least Privilege）：仅授予完成工作所需的最小数据范围、最短时间、最低操作权限。
- 角色驱动为主（RBAC），属性控制为辅（ABAC）：优先通过岗位/角色包授予；对敏感数据叠加属性策略（组织、地域、项目、数据标签等）。
- 分离职责（SoD）：构建者、审批者、使用者权限分离；开发/测试与生产隔离。
- 默认拒绝：无批准不访问；到期自动撤销；岗位或组织变更触发复核与回收。

4. 访问级别与操作边界
- 查看（View）：浏览报表/仪表板/语义模型，禁止下载原始明细。
- 分析（Explore）：在授权模型内进行切片、计算与自助分析，可保存个人空间内容。
- 导出（Export）：遵循数据级别限制；敏感/机密默认仅聚合导出；行级导出须额外审批与技术控制。
- 共享/再分发（Share）：仅在授权范围内共享相同或更低敏感级别的数据产品；禁止将敏感数据降级为公开。
- 管理（Manage）：数据集/工作区/权限管理仅限数据产品负责人与平台管理员。

5. 共享规则（内部与外部）
- 内部共享
  - 优先共享数据产品（数据集/数据集市/语义模型/标准报表），避免共享源系统原始表。
  - 遵循“最小共享”：优先聚合、匿名化/脱敏、最少字段与最低粒度。
  - 再共享需继承原授权与限制，不得突破原数据级别与有效期。
- 外部共享（供应商/合作方/客户）
  - 必须签署数据共享协议（DSA）：用途限定、最小化字段与粒度、保密与安全义务、再转授权限制、留存与删除、审计权、违规责任。
  - 涉及个人信息或跨境传输：须符合法律法规（如个人信息保护相关要求）并通过法务/合规/安全评审；必要时开展安全评估或影响评估。
  - 技术要求：使用受控渠道（受管控的安全文件传输、受限访问门户或受控数据交换平台）；传输加密、存储加密、水印与访问日志；禁止邮件明文、公共网盘、个人云或可移动介质。

6. 导出与线下使用控制
- 默认禁止导出敏感/机密明细；确有业务必要时，需：
  - 说明业务场景、字段清单、粒度、保存地点、留存期限与销毁方式；
  - 采用脱敏/掩码/匿名化；启用水印与访问日志；限定到期自动失效；
  - 存储在受管控位置，禁止个人设备与非企业账号存放。
- 报表截图仅限内部沟通，敏感级别内容必须含水印与分发范围说明；禁止对外公开发布。

7. 申请路径与审批流程
- 入口渠道：企业数据门户或IT服务台（单一入口）；不接受口头或邮件临时授权。
- 申请信息（必填）
  - 数据产品/数据域/数据集名称与链接；数据级别与所需操作权限（查看/分析/导出/共享/管理）。
  - 业务目的与预期价值、合法合规依据（例如合同、监管要求）、使用对象与覆盖人群。
  - 字段与粒度清单、是否包含个人信息或受限数据、是否对外共享/跨境、有效期与预估频率。
- 审批链与职责
  - 直属主管：确认业务必要性与职责匹配。
  - 数据管理员/治理专员：核对分类分级、字段与粒度合理性、最小化与脱敏方案。
  - 数据所有人：最终授权边界与有效期。
  - 安全与合规/法务：当涉及敏感/机密、对外共享或跨境时参与审查。
  - 平台管理员：按批准结果配置权限与策略。
- SLA（工作日）与超时策略
  - 常规内部查看/分析：2个工作日内完成。
  - 导出或敏感数据访问：3–5个工作日（含治理与安全校验）。
  - 对外共享/跨境：5–10个工作日（含法务与合规审查）。
  - 超时自动提醒审批人；关键业务可标注优先级并附业务影响说明。
- 生效与通知：审批通过后自动下发权限，申请人、主管与数据管理员收到通知；权限随岗位变更自动复核。

8. 权限变更、到期与回收
- 到期自动撤销，需继续使用须重新申请。
- 岗位/组织/项目变更触发即时复核；离职自动回收。
- 定期再认证：敏感/机密每季度一次，其他每半年一次；未确认即撤销。

9. 共享方式与技术控制
- 身份与访问控制：统一身份（SSO）、多因素认证（针对敏感级别）、细粒度行列/字段级权限。
- 数据防护：数据脱敏/掩码、匿名化/差分隐私（视场景）、DLP策略、加密传输与存储、访问水印。
- 审计与可观测性：全量访问与共享日志、导出日志、策略变更日志留存不少于12个月；关键数据保留24个月。
- 质量与一致性：优先使用受治理的语义模型与指标库，禁止私有口径对外共享；变更需变更管理与通知。

10. 例外与紧急访问
- 紧急访问仅用于事件处置或监管要求；需主管与数据所有人临时批准，时效不超过48小时，事后24小时内完成溯源与补审。
- 例外申请需说明无法满足的政策条款、补偿性控制与风险评估；由数据所有人与安全/合规联合批准，记录在案并设定最短有效期。

11. 违规与问责
- 常见违规：越权访问、未审批对外共享、私存明细、使用非受控渠道、突破粒度/字段范围再分发。
- 处置：撤销权限、通报与培训、严重者按公司制度与法律规定处理；对外违规需按协议与法规要求通报并整改。

12. 绩效与持续改进（治理度量）
- 指标：平均审批时长、按时率、到期回收率、再认证完成率、违规事件数、未授权导出拦截率、使用与价值指标（活跃用户数、标准模型覆盖率）。
- 评审频率：每半年评估并更新本章节；重大法规或业务变化时即时修订。

重点与结论
- 以“最小必要、角色优先、分级保护、可审可控”为核心。
- 通过统一入口、标准化审批链与技术控制，将访问与共享纳入闭环：申请—审批—下发—使用—审计—回收。
- 外部与敏感场景严格遵从合规与安全要求，优先共享受治理的数据产品而非原始数据。