制定数据访问规则

数据访问规则（面向信息安全与合规经理）

1. 目的

• 建立统一、可审计的数据访问规则，确保访问行为符合最小权限、合法合规、数据质量与安全要求。
• 明确信息安全与合规经理在数据访问治理中的职责与审批权限。

2. 适用范围

• 适用于组织内所有数据资产（结构化与非结构化）、信息系统与数据平台（本地与云）、生产与非生产环境。
• 涵盖员工、承包商、第三方服务商及系统账号的访问活动。

3. 角色与职责

• 信息安全与合规经理（IS&C Manager）
  • 拥有数据访问政策与标准的制定、发布与更新责任。
  • 对高风险与受限数据访问进行审批或复核；管理例外与应急访问。
  • 监督访问控制实施、监控与审计；主导周期性访问复核与合规评估。
  • 协调法律、隐私、数据所有者、IT/IAM、数据管理团队，确保访问合规与可审计。
• 数据所有者（数据访问规则（面向信息安全与合规经理）

1. 目的

• 建立统一、可审计的数据访问规则，确保访问行为符合最小权限、合法合规、数据质量与安全要求。
• 明确信息安全与合规经理在数据访问治理中的职责与审批权限。

2. 适用范围

• 适用于组织内所有数据资产（结构化与非结构化）、信息系统与数据平台（本地与云）、生产与非生产环境。
• 涵盖员工、承包商、第三方服务商及系统账号的访问活动。

3. 角色与职责

• 信息安全与合规经理（IS&C Manager）
  • 制定、维护并发布数据访问政策、标准与程序。
  • 对高风险与受限数据访问进行审批或复核；管理访问例外与应急访问。
  • 监督访问控制实施、监控与审计；主导周期性访问复核与合规评估。
  • 负责违规处置与监管报备协调；输出合规与安全度量指标与报告。
• 数据所有者（Data Owner）
  • 确认数据分类与敏感级别；设定业务访问准入条件与审批标准。
  • 审批所属数据的访问请求；参与周期性访问复核。
• 数据管理员/数据管家（Data Steward）
  • 维护元数据与数据质量规则；控制写入、更改与删除权限。
  • 参与生产与非生产数据脱敏、取样与共享控制。
• 系统/平台所有者（System Owner）
  • 实施技术访问控制；保障日志、加密与隔离措施生效。
• 身份与访问管理团队（IAM）
  • 配置与回收账户、角色与权限；保障认证与授权机制合规。
• 法务与隐私（Legal/DPO）
  • 确认法律合规要求、跨境传输条件与合同义务；评审高风险访问。

4. 术语与数据分类

• 数据分类（最小四级）
  • 公开：可对外公开，无合规限制。
  • 内部：仅内部使用，低风险。
  • 机密：涉及商业敏感或非公开策略，访问受控。
  • 受限（敏感/监管）：涉及个人敏感信息、财务、医疗、支付等受监管数据，访问严格限制。
• 受监管数据示例（按适用性执行）
  • 个人信息与敏感个人信息：受个人信息保护法（PIPL）等约束。
  • 支付卡数据：受PCI DSS约束。
  • 医疗健康数据：如适用，受相关卫生健康法规约束。
  • 若涉及欧盟主体数据，适用GDPR；涉及中国境内数据，适用数据安全法（DSL）、网络安全法（CSL）与PIPL。

5. 总体原则

• 最小权限与知情需要：仅授予完成特定业务目的所必需的最小访问级别。
• 目的限制与数据最小化：访问与处理范围与用途必须与已记录的业务目的一致。
• 可审计性：所有访问被记录、可追溯、可复核。
• 职责分离（SoD）：审批、配置、审核、使用分属不同角色，避免利益冲突。
• 默认拒绝：无审批与合规依据的访问一律不授权。
• 零信任条件访问：结合身份、设备、位置、风险评分动态授权。

6. 访问控制模型

• 采用RBAC为基础，结合ABAC实现细粒度控制：
  • RBAC：按岗位与职责授予标准化角色。
  • ABAC：基于属性（数据分类、地理位置、设备合规、时间段、网络环境、监管要求）进行条件授权。
• 高风险操作需强制多因素认证（MFA）与实时风险评估。

7. 授权流程（标准化）

• 提交请求：通过工单/门户提交，包含业务目的、数据范围、时限、输出方式。
• 合法性与必要性验证：数据所有者与隐私/法务视情参与，确认目的与合规依据（如同意、合同、合法权益等）。
• 风险评估：IS&C经理或指定团队评估数据敏感级别、共享范围、传输路径、输出风险、越权可能性。
• 审批分级：
  • 公开/内部：数据所有者审批，IAM执行。
  • 机密：数据所有者审批，IS&C经理复核。
  • 受限：数据所有者+IS&C经理联合审批；必要时隐私/法务并行评审。
• 配置与验证：IAM按批准配置；系统所有者验证访问生效与日志记录。
• 时限与到期：所有访问设定到期时间（默认≤90天，受限数据≤30天），到期自动回收。
• 通知与登记：在数据目录/权限登记中记录访问授权详情。

8. 身份与认证要求

• 强制SSO与MFA：对机密与受限数据的访问必须启用MFA。
• 特权访问管理（PAM）：对数据库管理员、平台管理员与批量导出权限采用PAM与临时凭据（JIT）。
• 会话安全：高风险操作需二次确认与再认证；闲置会话自动断开。
• 密钥与凭据：集中保管，禁止共享账户与硬编码凭据。

9. 数据读/写与导出规则

• 读取（Read）
  • 禁止未经批准的批量下载与离线副本；默认在受控工作区访问。
  • 对受限数据启用查询阈值、速率限制与行为分析；必要时采用差分隐私或聚合输出。
  • 输出前执行数据最小化与去标识化（脱敏、掩码、伪匿名化）原则。
• 写入/更改/删除（Write/Change/Delete）
  • 仅数据管家或经授权的应用服务可更改主数据与关键事实；需双人复核与变更记录。
  • 变更前执行数据质量校验（完整性、唯一性、一致性、约束检查）；保留版本与回滚方案。
  • 架构/模型更改需变更管理流程审批，并更新元数据与血缘。
• 导出与分发
  • 仅通过批准渠道（安全文件传输、受控API、加密报表）；严禁个人邮箱、个人云盘、可携式介质。
  • 受限数据导出需水印、访问令牌绑定与可撤销链接；记录接受方与目的。

10. 非生产环境与数据脱敏

• 非生产环境禁止使用未脱敏的受限或机密数据。
• 如确需使用真实数据，需进行风险评估与联合审批（数据所有者+IS&C经理+隐私/法务），采用最小子集与强脱敏/令牌化。
• 测试与开发人员仅访问与任务相关的最小数据范围；禁止重识别尝试。

11. 内部共享与外部传输

• 内部共享需登记数据集、共享范围、目的与时限；通过数据目录公开可发现性与访问条件。
• 外部共享与跨境传输需：
  • 合法性评审与数据处理协议（DPA）；
  • 加密传输（TLS/SSH）与静态加密；限制再共享；
  • 如涉及跨境个人信息，履行跨境合规要求（如安全评估、认证或标准合同），由法务确认适用路径。

12. 第三方访问

• 供应商与承包商须完成安全与隐私尽职调查；签署DPA/保密协议；明确数据处理目的与范围。
• 采用独立账户、最小权限与时间限制；访问活动全量日志。
• 定期复核第三方权限；终止合作后立即撤销访问与销毁数据或返还。

13. 合规要求

• 执行适用法律与标准：个人信息保护法（PIPL）、数据安全法（DSL）、网络安全法（CSL）；涉及境外主体时遵守相关域内法规（如GDPR）。涉及支付卡数据遵从PCI DSS。其他行业要求由法务确认。
• 记录法律依据与数据主体权利保障措施（告知、同意、撤回、访问、删除、限制处理等）在访问流程中得到体现。

14. 监控、日志与审计

• 全量记录访问日志：身份、时间、数据集、操作类型、来源、输出通道、审批凭证。
• 日志保留期不短于法规或合同要求；默认建议≥12个月，受限数据环境中≥24个月。
• 集成SIEM与UEBA进行异常检测；对高风险行为启用实时告警。
• 定期审计访问控制与执行情况；输出整改计划与证据。

15. 周期性复核与撤销

• 访问权限按周期复核：受限数据每月，机密数据每季度，内部数据每半年。
• 人员变更（入职/转岗/离职）触发即时权限调整与撤销；与HR系统联动。
• 长期未使用权限自动回收；例外需书面说明与批准。

16. 例外与应急访问

• 例外管理：需说明原因、范围、时限与替代控制；由IS&C经理审批并登记。
• 应急访问（Break-glass）：双重审批（IS&C经理+系统所有者）、严格限时、全量审计、事后复盘与撤销。
• 任何例外不得突破法律与监管底线。

17. 违规处理

• 违规分级与处置流程：识别—遏制—调查—报告—整改—复盘。
• 涉及个人信息或受监管数据泄露，按法规要求在法定时限内通知监管与相关方（由法务与隐私统筹）。
• 依据纪律与合同条款采取相应措施；记录证据与改进计划。

18. 数据访问规则矩阵（摘要）

• 公开：审批简化；可读，不可写入生产主数据；日志保留常规。
• 内部：数据所有者审批；需SSO；导出受控；季度复核。
• 机密：数据所有者审批+IS&C经理复核；MFA；限制批量导出；变更需双人复核与质量校验；季度/月度复核。
• 受限：联合审批（数据所有者+IS&C经理，必要时隐私/法务）；MFA+条件访问；强脱敏与最小化；严控导出与再共享；月度复核与持续监控。

19. 度量与报告（由IS&C经理负责）

• 关键指标：
  • 权限按时复核完成率与撤销及时率。
  • 受限数据访问审批合规率与例外占比。
  • 特权账户MFA覆盖率与JIT使用率。
  • 异常访问告警处置及时率与漏报率。
  • 数据导出事件合规率与违规趋势。
• 定期向管理层与审计/合规委员会报告，包含风险与改进计划。

20. 文档与记录

• 保留访问政策、流程、审批记录、风险评估、日志、审计报告与整改证据。
• 在数据目录与权限登记中维护数据分类、所有者、可用角色与访问条件，确保可发现与一致管理。

实施说明

• IS&C经理组织跨职能评审，每年至少更新一次规则；遇法规变化或重大事件时及时修订。
• 通过自动化门户与IAM集成落地流程；在数据平台与分析工具中启用细粒度权限、脱敏与导出控制。
• 开展针对角色的合规培训，强调最小权限、目的限制与违规后果。