數據管理規定

第一節總則

第一條為規范我公司各級單位信息技術部門數據管理工作，降低數據風

險、提高工作效率，適應我公司業務不斷飛速發展的需要，根據有

關法律、法規、規章、政策和技術規范，借鑒國外先進的管理經驗，

并總結信息技術工作的實踐經驗，制定本制度。

第二條本制度的目標是:對系統數據實施嚴格的安全與保密管理，防止系

統數據的非法生成、變更、泄露、丟失及破壞。第三條各級單位信息技術部

門工作范圍內進行數據管理時涉及有關技術用

語和技術標準均按本制度的規定執行。

第四條本制度所指數據管理包含涉及數據修改、導入、提取，數據處理處

理過程中對數據真實性的保證，數據內、外部傳輸的工作。

第二節數據修改

第五條數據修改指各級單位信息技術部門應申請部門要求，對我公司生產

系統中的數據在后臺數據庫中進行的修改。

第六條只接受被修改數據的擁有部門提出的數據修改需求申請。第七條接

到修改申請后，應對修改的可行性以及修改可能造成的后果進行

評估，并向提出修改申請的部門再次確認。

第八條在對生產系統中的數據進行修改前，必須對被修改的數據備份。第九

條所有數據修改的工作必須以統一格式詳細記錄。第十條數據修改的操作只能

由指定的信息技術部門人員進行，修改權限應

按照規范通過系統設定分配給指定人員。

第十一條數據修改的操作結果應該由修改申請部門進行確認。第十二條數

據庫系統中生成的數據修改日志應予保留。

第十三條應定期將數據修改日志和數據修改申請進行核對，以確保所有數據

總13頁第1頁

修改均經過了有效的審批。

第十四條任何人不得在未經授權的情況下對應用系統數據庫進行修改。

第三節數據提取

第十五條數據提取指各級單位信息技術部門應需求部門要求，對我公司生產

系統中的數據在后臺數據庫中進行的提取。

第十六條只接受被提取數據的擁有部門提出的數據提取需求申請。該申請必

須經過數據擁有部門的審批并有統一的正式申請文件及記錄。第十七條在進

行數據抽取前需向申請部門再次確認。

第十八條數據抽取的權限應只分配給指定的人員。

第十九條申請部門在獲取申請數據的時候應對數據進行核對，確保所抽取的

數據和所申請提取的數據的一致性，并簽字確認。第二十條信息技術部不負

責發放從系統中抽取的數據，如數據擁有部門請求

信息部代為發放，需取得數據擁有部門的授權，并嚴格按其要求發

放。

第四節數據導入

第二十一條數據導入指各級單位信息技術部門應其他部門要求，通過對后臺

據庫的操作，將數據導入我公司生產系統中。

第二十二條只接受被導入數據系統的擁有部門提出的數據導入需求申請，相

應

申請、審批文檔作為記錄必須保留。

第二十三條在執行數據導入時，操作人員必須使用專用賬號，這些賬號在使

用

前必須通過申請，并有記錄，所有操作必須經過審批。第二十四條需對數據

來源進行檢驗，確保其有效性（如檢查數據傳輸路徑為指

定的數據傳輸路徑）只接受并處理由指定路徑傳輸的數據。第二十五條應制

定詳細的操作規范，控制數據導入過程。其內容包括:數據傳

輸，數據導入前的備份，數據導入后的檢查，對數據導入錯誤的處

理。

第二十六條由信息技術部進行的業務數據的批量輸入在完成后應由需求部門

確

總13頁第2頁

認該數據的準確性及完整性。

第五節數據真實性、完整性管理第二十七條對數據庫的更新需要經過監管

部門及數據擁有部門審批并保存詳細

審批記錄。

第二十八條申請、審批、操作及檢查工作需分別由不同人員承擔。通過對用

戶

賬號權限的控制，確保職責分工的有效性。

第二十九條建立數據處理操作規范，規范應包括但不限于:操作辦法、確保處

理的完整（確保應同步的數據文檔都包括在處理過程中）、錯誤處理

及恢復辦法、數據處理驗收辦法、數據處理的文檔及系統記錄。第三十條對

數據處理的審批文檔、計劃、驗收文檔及系統記錄做出定期檢查

確保數據處理的有效性。

第三十一條保存數據庫的操作日志，用作配合定期檢查的資料（日志保存的數

量及時限由定期檢查的頻率決定）o

第六節數據內部傳輸管理

第三十二條在數據傳輸和傳遞過程中，管理層應采取措施保護敏感數據，防

止

未經授權的訪問、修改以及數據被錯誤的放置。第三十三條數據傳輸中應對

敏感數據進行加密，以保護傳輸中的數據不被非法

獲取。

第三十四條應對數據傳輸工具的用戶訪問權限進行控制，使相關人員只有在

經

授權后才能使用系統中的數據傳輸工具。

第三十五條應通過對防火墻、路由器等網絡設備的設置，限制訪問權限及控

制

數據傳輸路徑。

第三十六條對傳輸鏈路的設置進行規范記錄，并定期對網絡設置進行評估，

確

保當前的設置能夠滿足數據傳輸的安全性需求。第三十七條當需要變更傳輸

鏈路的設置時，必須提出正式申請，在獲得批準后

方可進行變更。同時.，申請的審批的軌跡應保留備查。第三十八條應建立網

絡安全策略，以保證數據在網絡中的安全傳遞。

總13頁第3頁

第七節數據外部傳輸管理

第三十九條對于在企業外部產生的數據，不論該數據是通過電話、文件、電

郵

還是傳真得到的，為保證其真實性和完整性，均應在關鍵操作之前

對它們進行適當的檢查。

第四十條與第三方服務商機構進行數據傳輸的連接必須經過確認和核實，同

時不接受任何未經確認和未經核實的連接。

第四十一條與第三方服務商的連接由負責網絡安全的部門或人員進行管理、

護和監察。

第四十二條與第三方服務商的連接需經過負責網絡安全的部門或人員的檢查

審批，相關的檢查和審批應保留記錄。

第四十三條建立每一條外部來源數據的傳輸渠道，作為連接的基準，并對這

數據傳輸基準進行記錄。

第四十四條定期對外部數據傳輸途徑進行評估，確保當前的網絡設置和安全

施能夠滿足公司對數據傳輸的安全性需要。

第四十五條第三方服務商的連接申請必須通過身份認證。

第四十六條外部數據只能通過指定的路徑連接到公司網絡，不得通過未經檢

和審批的渠道與第三方服務商進行連接。

第四十七條與第三方服務商進行數據傳輸時，所傳輸的數據必須經過適當的

加

密。

第四十八條與第三方服務商的交易及認證方式必須經過事先確定，防止第三

服務商不承認通過電子渠道并經過既定認證方式進行的交易。第四十九條與

第三方服務商進行數據交換的系統日志必須作為交易的證據妥善

保留。

第八節附則

第五十條本制度由公司總部信息技術部負責解釋和修訂。第五十一條本制

度自發布之日起開始執行。

總13頁第4頁

附件一數據導入流程

參與此流程的角色:數據修改需求提出部門、信息技術部應用系統維護崗、信

息技術部分管處經理

流程要點：

a）基于保證數據安全的考慮，各單位應該盡量避免在后臺數據庫上直接進行

數據的導入。對于可以在應用系統中錄入的，應盡量采用錄入的處理方式。b）

需要對數據進行導入時，應堅持所有權原則。即信息技術部應只接收數據

擁有單位提出的數據導入請求。

c）在執行導入前，必須對相關數據進行備份。以便在導入錯誤時，能回復原

狀態。

d）需要導入的數據由申請單位提供。

具體的數據修改流程要求如下：

1.需求部門（數據擁有部門）提交《數據導入申請表》，“申請表”中需要

具體描述導入原因、導入內容；“申請表”需經過需求部門審核（包括數

據導入的原因是否屬實，導入內容是否準確）并經分管領導簽字方可生效。2.

信息技術部應用系統維護崗人員收到申請表后，應與申請部門再次核對

“申請表”內容。然后，分析修改可行性及后果，提出意見。提交信息技

術部分管處經理。

3.信息技術部分管處經根據應用系統維護崗人員提供的意見決定是否接受

申請，進行數據修改。（如不接受申請，出具理由，并告知需求部門）4.應用

系統維護崗人員對申請單位提供的導入數據進行確認。5.在數據導入匯總表里記

錄數據修改前后的內容。數據導入匯總表是用來記

錄所有的數據導入歷史的，包括數據導入的申請人，導入時間，導入內容，

申請人反饋意見等。

6.在生產機上進行數據修改前，必須對涉及到的數據進行備份。7.數據導

入完成后，通知申請人檢查數據導入結果是否與需求一致，并在數

據導入申請表里記錄申請人填寫的反饋意見。

8.將數據導入記錄歸檔保存。

總13頁第5頁

9.信息技術部管理層定期對比數據導入匯總表與系統修改紀錄，審核數據導

入是否按照審批及時完成，并在相應的數據導入匯總表里記錄查看意見。

附件二數據提取流程

參與此流程的角色:數據修改需求提出部門、信息技術部應用系統維護崗、信

息技術部分管處經理。

流程要點：

應堅持所有權原則。即信息技術部應只接收數據擁有單需要對數據進行提取

時，

位提出的數據提取請求。

信息技術部門在數據提取后應將所提取的數據直接交給申請單位（數據擁有單

位），信息技術部門不負責數據的分發。

具體的數據修改流程要求如下：

a）需求部門（數據擁有部門）提交《數據提取申請表》，“申請表”中需

要具體描述提取原因、提取內容；“申請表”需經過需求部門審核（包

括數據提取的原因是否屬實，提取內容是否準確）并經分管領導簽字方

可生效；

b）信息技術部應用系統維護崗人員收到申請表后，應與申請部門再次核對

“申請表”內容。然后，分析提取可行性，出具提出意見。提交信息技

術部分管處經理。

c）信息技術部分管處經根據應用系統維護崗人員提供的意見決定是否接

受申請，進行數據提取。（如不接受申請，出具理由，并告知需求部門）

d）在數據提取匯總表里記錄數據提取的信息，包括:數據提取的申請人，

提取時間，提取內容，申請人反饋意見等；

e）數據提取完成后，通知申請人檢查數據提取結果是否與需求一致，并在

數據提取申請表里記錄申請人填寫的反饋意見；

f）將數據提取記錄歸檔保存；

g）信息技術部管理層定期對比數據導入匯總表與系統提取紀錄，審核數據

提取是否按照審批及時完成，并在相應的數據提取匯總表里記錄查看意

見。

總13頁第6頁

附件三數據修改流程

參與此流程的角色:數據修改需求提出部門、信息技術部應用系統維護崗、信

息

技術部分管處經理

流程要點：

1、基于保證數據安全的考慮，各單位應該盡量避免在后臺數據庫上直接

進行數據的修改。

2、需要對數據進行修改時，應堅持所有權原則。即信息技術部應只接收

數據擁有單位提出的數據修改請求。

具體的數據修改流程要求如下：

a）需求部門（數據擁有部門）提交《數據修改申請表》，“申請表”

中需要具體描述修改原因、修改內容；“申請表”需經過需求部門

審核（包括數據修改的原因是否屬實，修改內容是否準確）并經分

管領導簽字方可生效；

b）信息技術部應用系統維護崗人員收到申請表后，應與申請部門再次

核對“申請表”內容。然后，分析修改可行性及后果，提出意見。

提交信息技術部分管處經理。

c）信息技術部分管處經根據應用系統維護崗人員提供的意見決定是

否接受申請，進行數據修改。（如不接受申請，出具理由，并告知

需求部門）

d）審核小組或者數據管理員在測試環境對制定的修改方案進行測試。

依據測試結果在系統里按審核內容修改數據，并在數據修改匯總表

里記錄數據修改前后的內容。數據修改匯總表是用來記錄所有的數

據修改歷史的，包括數據修改的申請人，修改時間，修改內容，申

請人反饋意見等；

e）在生產機上進行數據修改前，必須對涉及到的數據進行備份。

f）數據修改完成后，在申請表里填寫修改結果，并通知申請人檢查數

據修改結果是否與需求一致，并在數據修改匯總表里記錄申請人填

寫的反饋意見；

g）將數據修改記錄歸檔保存；

總13頁第7頁

h）信息技術部管理層定期對比數據修改匯總表與系統修改紀錄，審核

數據修改是否按照審批及時完成，并在相應的數據修改申請表里記

錄查看意見。

總13頁第8頁

附件四數據修改流程圖

需求人員結束數據修改填寫開始申請表數據修改申請表否

填寫數據數據修改檢查修是否正修改確認是申請表改結果確，意見

相關應用系統維護應用系分析修改可行對生產機應用系統通知修改數據修改崗

位人員數據修統維護維護人員確定維護崗位申請部門上相關數申請表復性及后果受

理后，改申請崗位進是據進行備記錄數據檢查修改印件交申數據修改能否修改方案

與申請部行數據表歸檔份修改行為結果請部門執行，門再次核修改對

否

數據修改工作日志申請表返還數據出具不能執修改申請行數據修改表給需求的

意見部門

IT經理/相IT經理/相關負責人關負責人審批簽字審批簽字

信息技術部管理層信息技術部數據擁有部門

總13頁第9頁

附件五數據提取流程圖

需求人員數據提取填寫開始申請表數據提取申請表否

結束檢查提是否符填寫數據數據提取取的數合要提取確認是申請表據求,意見

相關應用系統維護應用系應用系統通知提取數據提取崗位人員統維護數據提維

護人員確定維護崗位申請部門申請表復受理后，崗位進取申請記錄數據檢查提取印

件交申修改方案與申請部行數據表歸檔提取行為的數據請部門門再次核提取對

數據提取工作日志申請表

IT經理/相關負責人審批簽字信息技術部管理層信息技術部數據擁有部門

總13頁第10頁

附件六數據導入流程圖