Appearance
数据导出权限怎么复核?
数据导出和页面查看不是一回事。客户、订单、价格、供应商、工资、质量、库存、售后照片和内部复盘资料一旦导出,就离开了系统权限边界。导出权限复核要确认谁能导出、能导出什么、为什么需要、有没有日志、权限是否及时收回。
先按数据敏感度分层
| 类型 | 示例 | 导出口径 |
|---|---|---|
| 普通数据 | 公开制度清单、非敏感统计 | 记录导出日志 |
| 经营数据 | 客户订单、价格、库存、供应商 | 岗位匹配,必要时审批 |
| 敏感数据 | 工资、成本、赔付、内部责任结论 | 审批、脱敏或限制导出 |
| 批量数据 | 全量客户、全量库存、历史报表 | 二次复核和用途说明 |
报表导出也要算导出。很多报表表面是统计,实际包含客户、价格、成本、库存和供应商敏感信息。
导出权限不要跟随查看权限
能看某个页面,不代表可以把数据导出成文件。导出权限应按岗位、字段、范围和用途配置。敏感字段可以做脱敏、隐藏、水印或单独审批;批量导出要记录用途和接收对象。
管理员导出也要留痕。管理员为了排查问题可以临时导出,但要有原因、范围和处理完成后的文件去向。
每月复核重点
每月列出所有具有导出权限的角色和人员,重点看高频导出、非工作时间导出、全量导出、跨部门导出、外协账号导出、离职转岗未收回权限。项目结束、外协结束、临时支援结束后要即时收回,不等月度复核。
导出日志要包含导出人、时间、范围、字段、文件类型、IP、用途和审批记录。发现异常导出时,先追查文件去向和接收对象,再决定是否通知客户、供应商或内部管理层。
文件用完后的处理
导出文件不应长期留在个人电脑、聊天记录或临时网盘。涉及敏感数据的文件,要写清保存期限、删除要求和复核责任。数据导出权限复核的目的,是让数据离开系统前有理由,离开系统后有去向。