角色的作用

• 实现精细化的权限管理与安全保障：通过为每个角色分配明确的权限，系统能够严格控制谁可以做什么，有效规避内部和外部的安全风险（如数据泄露、误操作、恶意破坏）。这是系统安全的基础。
• 提升数据完整性与一致性：只有授权角色才能执行关键数据操作，减少人为失误和恶意破坏导致的数据损坏风险，确保系统数据的准确性和可靠性。
• 满足合规性要求：许多行业和法规要求严格的权限控制和数据隔离。通过角色机制，系统可以满足这些强制性要求，避免法律风险和罚款。

角色的分类

角色分为系统角色和业务角色，其中：
›系统角色

不可修改，拥有固定的系统权限。

›业务角色
业务内置角色———内置的业务角色不可修改，也不可删除。

自定义角色—— 用户自定义的角色可以新建、编辑、删除，灵活配置对应角色的权限。

›角色分类的两种模式

• 三权分立模式下角色包括：系统管理员（admin）、安全管理员（security）、审计管理员（audit）；系统内置角色有：组织管理员、组织审计员；业务内置角色：数据管理员、 AI管理员、应用管理员
• 权责集中模式下角色包括：超级管理员（admin）；系统内置角色有：超级管理员、组织管理员、组织审计员；业务预设角色：数据管理员、 AI管理员、应用管理员

说明：

• 三权分立与权责集中模式互斥，可根据具体组织特点，选择适合的模式。系统默认为权责集中模式。目前界面实现仅支持权责集中。

为角色添加成员

›为业务角色添加成员：

点击【信息安全管理】->【角色管理】，选择具体的想要添加成员的业务角色（图示：为数据管理员添加成员为例），点击【添加成员】。

›为系统角色添加成员：（图示：以组织管理员为例）

自定义角色

新建角色：进入信息安全管理 > 角色管理配置页面，点击【+新建角色】，进入“新建角色”的配置流程，如下所示：

设置权限：

• 点击设置权限，可以为自定义的业务角色进行所选择的操作权限的设置。

• 点击操作策略设置，如下图示：

说明：

• 操作策略是主体（用户等）进行某些操作后，系统必须强制执行的额外操作或动作。操作策略规定了“允许访问后，必须做什么”。例如：
• • 数据转换：“访问的敏感数据进行脱敏或加密后，再展示给用户。”
  • 数据标记：“下载的文档添加动态水印（包含用户ID和时间戳）。”
  • 通知：“访问后发送邮件给数据所有者，告知其访问事件。”
• 用户需先设置对应的允许操作权限，才可设置操作策略；
• 若无操作策略【设置】按钮，则暂无可设置的操作策略。

为自定义角色添加成员：自定义角色配置完成后，返回角色管理主页，可查看新创建的自定义角色“数据监察员”。点击添加成员，选择需要添加的成员，点击确定，自定义角色创建完成。