数据管理规定

数据管理规定

第一节总则

第一条为规范我公司各级单位信息技术部门数据管理工作，降低数据风

险、提高工作效率，适应我公司业务不断飞速发展的需要，根据有

关法律、法规、规章、政策和技术规范，借鉴国外先进的管理经验，

并总结信息技术工作的实践经验，制定本制度。

第二条本制度的目标是:对系统数据实施严格的安全与保密管理，防止系

统数据的非法生成、变更、泄露、丢失及破坏。第三条各级单位信息技术部

门工作范围内进行数据管理时涉及有关技术用

语和技术标准均按本制度的规定执行。

第四条本制度所指数据管理包含涉及数据修改、导入、提取，数据处理处

理过程中对数据真实性的保证，数据内、外部传输的工作。

第二节数据修改

第五条数据修改指各级单位信息技术部门应申请部门要求，对我公司生产

系统中的数据在后台数据库中进行的修改。

第六条只接受被修改数据的拥有部门提出的数据修改需求申请。第七条接

到修改申请后，应对修改的可行性以及修改可能造成的后果进行

评估，并向提出修改申请的部门再次确认。

第八条在对生产系统中的数据进行修改前，必须对被修改的数据备份。第九

条所有数据修改的工作必须以统一格式详细记录。第十条数据修改的操作只能

由指定的信息技术部门人员进行，修改权限应

按照规范通过系统设定分配给指定人员。

第十一条数据修改的操作结果应该由修改申请部门进行确认。第十二条数

据库系统中生成的数据修改日志应予保留。

第十三条应定期将数据修改日志和数据修改申请进行核对，以确保所有数据

总13页第1页

修改均经过了有效的审批。

第十四条任何人不得在未经授权的情况下对应用系统数据库进行修改。

第三节数据提取

第十五条数据提取指各级单位信息技术部门应需求部门要求，对我公司生产

系统中的数据在后台数据库中进行的提取。

第十六条只接受被提取数据的拥有部门提出的数据提取需求申请。该申请必

须经过数据拥有部门的审批并有统一的正式申请文件及记录。第十七条在进

行数据抽取前需向申请部门再次确认。

第十八条数据抽取的权限应只分配给指定的人员。

第十九条申请部门在获取申请数据的时候应对数据进行核对，确保所抽取的

数据和所申请提取的数据的一致性，并签字确认。第二十条信息技术部不负

责发放从系统中抽取的数据，如数据拥有部门请求

信息部代为发放，需取得数据拥有部门的授权，并严格按其要求发

放。

第四节数据导入

第二十一条数据导入指各级单位信息技术部门应其他部门要求，通过对后台

据库的操作，将数据导入我公司生产系统中。

第二十二条只接受被导入数据系统的拥有部门提出的数据导入需求申请，相

应

申请、审批文档作为记录必须保留。

第二十三条在执行数据导入时，操作人员必须使用专用账号，这些账号在使

用

前必须通过申请，并有记录，所有操作必须经过审批。第二十四条需对数据

来源进行检验，确保其有效性（如检查数据传输路径为指

定的数据传输路径）只接受并处理由指定路径传输的数据。第二十五条应制

定详细的操作规范，控制数据导入过程。其内容包括:数据传

输，数据导入前的备份，数据导入后的检查，对数据导入错误的处

理。

第二十六条由信息技术部进行的业务数据的批量输入在完成后应由需求部门

确

总13页第2页

认该数据的准确性及完整性。

第五节数据真实性、完整性管理第二十七条对数据库的更新需要经过监管

部门及数据拥有部门审批并保存详细

审批记录。

第二十八条申请、审批、操作及检查工作需分别由不同人员承担。通过对用

户

账号权限的控制，确保职责分工的有效性。

第二十九条建立数据处理操作规范，规范应包括但不限于:操作办法、确保处

理的完整（确保应同步的数据文档都包括在处理过程中）、错误处理

及恢复办法、数据处理验收办法、数据处理的文档及系统记录。第三十条对

数据处理的审批文档、计划、验收文档及系统记录做出定期检查

确保数据处理的有效性。

第三十一条保存数据库的操作日志，用作配合定期检查的资料（日志保存的数

量及时限由定期检查的频率决定）o

第六节数据内部传输管理

第三十二条在数据传输和传递过程中，管理层应采取措施保护敏感数据，防

止

未经授权的访问、修改以及数据被错误的放置。第三十三条数据传输中应对

敏感数据进行加密，以保护传输中的数据不被非法

获取。

第三十四条应对数据传输工具的用户访问权限进行控制，使相关人员只有在

经

授权后才能使用系统中的数据传输工具。

第三十五条应通过对防火墙、路由器等网络设备的设置，限制访问权限及控

制

数据传输路径。

第三十六条对传输链路的设置进行规范记录，并定期对网络设置进行评估，

确

保当前的设置能够满足数据传输的安全性需求。第三十七条当需要变更传输

链路的设置时，必须提出正式申请，在获得批准后

方可进行变更。同时.，申请的审批的轨迹应保留备查。第三十八条应建立网

络安全策略，以保证数据在网络中的安全传递。

总13页第3页

第七节数据外部传输管理

第三十九条对于在企业外部产生的数据，不论该数据是通过电话、文件、电

邮

还是传真得到的，为保证其真实性和完整性，均应在关键操作之前

对它们进行适当的检查。

第四十条与第三方服务商机构进行数据传输的连接必须经过确认和核实，同

时不接受任何未经确认和未经核实的连接。

第四十一条与第三方服务商的连接由负责网络安全的部门或人员进行管理、

护和监察。

第四十二条与第三方服务商的连接需经过负责网络安全的部门或人员的检查

审批，相关的检查和审批应保留记录。

第四十三条建立每一条外部来源数据的传输渠道，作为连接的基准，并对这

数据传输基准进行记录。

第四十四条定期对外部数据传输途径进行评估，确保当前的网络设置和安全

施能够满足公司对数据传输的安全性需要。

第四十五条第三方服务商的连接申请必须通过身份认证。

第四十六条外部数据只能通过指定的路径连接到公司网络，不得通过未经检

和审批的渠道与第三方服务商进行连接。

第四十七条与第三方服务商进行数据传输时，所传输的数据必须经过适当的

加

密。

第四十八条与第三方服务商的交易及认证方式必须经过事先确定，防止第三

服务商不承认通过电子渠道并经过既定认证方式进行的交易。第四十九条与

第三方服务商进行数据交换的系统日志必须作为交易的证据妥善

保留。

第八节附则

第五十条本制度由公司总部信息技术部负责解释和修订。第五十一条本制

度自发布之日起开始执行。

总13页第4页

附件一数据导入流程

参与此流程的角色:数据修改需求提出部门、信息技术部应用系统维护岗、信

息技术部分管处经理

流程要点：

a）基于保证数据安全的考虑，各单位应该尽量避免在后台数据库上直接进行

数据的导入。对于可以在应用系统中录入的，应尽量采用录入的处理方式。b）

需要对数据进行导入时，应坚持所有权原则。即信息技术部应只接收数据

拥有单位提出的数据导入请求。

c）在执行导入前，必须对相关数据进行备份。以便在导入错误时，能回复原

状态。

d）需要导入的数据由申请单位提供。

具体的数据修改流程要求如下：

1.需求部门（数据拥有部门）提交《数据导入申请表》，“申请表”中需要

具体描述导入原因、导入内容；“申请表”需经过需求部门审核（包括数

据导入的原因是否属实，导入内容是否准确）并经分管领导签字方可生效。2.

信息技术部应用系统维护岗人员收到申请表后，应与申请部门再次核对

“申请表”内容。然后，分析修改可行性及后果，提出意见。提交信息技

术部分管处经理。

3.信息技术部分管处经根据应用系统维护岗人员提供的意见决定是否接受

申请，进行数据修改。（如不接受申请，出具理由，并告知需求部门）4.应用

系统维护岗人员对申请单位提供的导入数据进行确认。5.在数据导入汇总表里记

录数据修改前后的内容。数据导入汇总表是用来记

录所有的数据导入历史的，包括数据导入的申请人，导入时间，导入内容，

申请人反馈意见等。

6.在生产机上进行数据修改前，必须对涉及到的数据进行备份。7.数据导

入完成后，通知申请人检查数据导入结果是否与需求一致，并在数

据导入申请表里记录申请人填写的反馈意见。

8.将数据导入记录归档保存。

总13页第5页

9.信息技术部管理层定期对比数据导入汇总表与系统修改纪录，审核数据导

入是否按照审批及时完成，并在相应的数据导入汇总表里记录查看意见。

附件二数据提取流程

参与此流程的角色:数据修改需求提出部门、信息技术部应用系统维护岗、信

息技术部分管处经理。

流程要点：

应坚持所有权原则。即信息技术部应只接收数据拥有单需要对数据进行提取

时，

位提出的数据提取请求。

信息技术部门在数据提取后应将所提取的数据直接交给申请单位（数据拥有单

位），信息技术部门不负责数据的分发。

具体的数据修改流程要求如下：

a）需求部门（数据拥有部门）提交《数据提取申请表》，“申请表”中需

要具体描述提取原因、提取内容；“申请表”需经过需求部门审核（包

括数据提取的原因是否属实，提取内容是否准确）并经分管领导签字方

可生效；

b）信息技术部应用系统维护岗人员收到申请表后，应与申请部门再次核对

“申请表”内容。然后，分析提取可行性，出具提出意见。提交信息技

术部分管处经理。

c）信息技术部分管处经根据应用系统维护岗人员提供的意见决定是否接

受申请，进行数据提取。（如不接受申请，出具理由，并告知需求部门）

d）在数据提取汇总表里记录数据提取的信息，包括:数据提取的申请人，

提取时间，提取内容，申请人反馈意见等；

e）数据提取完成后，通知申请人检查数据提取结果是否与需求一致，并在

数据提取申请表里记录申请人填写的反馈意见；

f）将数据提取记录归档保存；

g）信息技术部管理层定期对比数据导入汇总表与系统提取纪录，审核数据

提取是否按照审批及时完成，并在相应的数据提取汇总表里记录查看意

见。

总13页第6页

附件三数据修改流程

参与此流程的角色:数据修改需求提出部门、信息技术部应用系统维护岗、信

息

技术部分管处经理

流程要点：

1、基于保证数据安全的考虑，各单位应该尽量避免在后台数据库上直接

进行数据的修改。

2、需要对数据进行修改时，应坚持所有权原则。即信息技术部应只接收

数据拥有单位提出的数据修改请求。

具体的数据修改流程要求如下：

a）需求部门（数据拥有部门）提交《数据修改申请表》，“申请表”

中需要具体描述修改原因、修改内容；“申请表”需经过需求部门

审核（包括数据修改的原因是否属实，修改内容是否准确）并经分

管领导签字方可生效；

b）信息技术部应用系统维护岗人员收到申请表后，应与申请部门再次

核对“申请表”内容。然后，分析修改可行性及后果，提出意见。

提交信息技术部分管处经理。

c）信息技术部分管处经根据应用系统维护岗人员提供的意见决定是

否接受申请，进行数据修改。（如不接受申请，出具理由，并告知

需求部门）

d）审核小组或者数据管理员在测试环境对制定的修改方案进行测试。

依据测试结果在系统里按审核内容修改数据，并在数据修改汇总表

里记录数据修改前后的内容。数据修改汇总表是用来记录所有的数

据修改历史的，包括数据修改的申请人，修改时间，修改内容，申

请人反馈意见等；

e）在生产机上进行数据修改前，必须对涉及到的数据进行备份。

f）数据修改完成后，在申请表里填写修改结果，并通知申请人检查数

据修改结果是否与需求一致，并在数据修改汇总表里记录申请人填

写的反馈意见；

g）将数据修改记录归档保存；

总13页第7页

h）信息技术部管理层定期对比数据修改汇总表与系统修改纪录，审核

数据修改是否按照审批及时完成，并在相应的数据修改申请表里记

录查看意见。

总13页第8页

附件四数据修改流程图

需求人员结束数据修改填写开始申请表数据修改申请表否

填写数据数据修改检查修是否正修改确认是申请表改结果确，意见

相关应用系统维护应用系分析修改可行对生产机应用系统通知修改数据修改岗

位人员数据修统维护维护人员确定维护岗位申请部门上相关数申请表复性及后果受

理后，改申请岗位进是据进行备记录数据检查修改印件交申数据修改能否修改方案

与申请部行数据表归档份修改行为结果请部门执行，门再次核修改对

否

数据修改工作日志申请表返还数据出具不能执修改申请行数据修改表给需求的

意见部门

IT经理/相IT经理/相关负责人关负责人审批签字审批签字

信息技术部管理层信息技术部数据拥有部门

总13页第9页

附件五数据提取流程图

需求人员数据提取填写开始申请表数据提取申请表否

结束检查提是否符填写数据数据提取取的数合要提取确认是申请表据求,意见

相关应用系统维护应用系应用系统通知提取数据提取岗位人员统维护数据提维

护人员确定维护岗位申请部门申请表复受理后，岗位进取申请记录数据检查提取印

件交申修改方案与申请部行数据表归档提取行为的数据请部门门再次核提取对

数据提取工作日志申请表

IT经理/相关负责人审批签字信息技术部管理层信息技术部数据拥有部门

总13页第10页

附件六数据导入流程图