DSMM-007 数据脱敏安全管理规范V1.0
第一章 总则
第一条 为规范北京思度咨询科技有限公司敏感数据的脱敏工作,确保数据脱敏过程安全、可靠,制定本规范。
第二条 本规范适用于指导北京思度咨询科技有限公司的数据脱敏工作。
第二章 术语定义
第三条 敏感数据:指泄露后可能会为国家利益、组织群体或个人带来严重危害的数据。包括个人敏感数据、企业或社会团体不适合公开的数据等。
第四条 数据脱敏:对外提供敏感数据时,为避免敏感数据泄露,通过一定的方式消除敏感数据内的敏感信息,并且保留原始数据的特征、格式的操作。
第三章 职责权限
第五条 数据安全管理岗负责统筹规划敏感数据脱敏工作,主要履行的职责包括但不限于:
(一)负责组织制定北京思度咨询科技有限公司数据脱敏的相关制度、规范以及流程;
(二)负责组织制定敏感数据脱敏工作审计机制,确保敏感数据脱敏过程的合规性;
(三)评估使用真实数据的必要性,以及确定该场景下适用的数据脱敏规则及方法;
(四)负责对数据脱敏申请文件进行审批;
(五)保障必要数据脱敏的支撑资源,协调各部门之间对数据脱敏的需求。
第六条 数据安全管理小组,负责监督敏感数据脱敏相关工作的执行情况,主要履行的职责包括但不限于:
(一)负责监督数据脱敏制度执行情况,及时发现存在的问题,并上报数据安全领导小组;
(二)组织开展敏感数据安全检查工作,确保敏感数据均按照要求执行了脱敏工作。
第七条 数据脱敏安全岗主要履行的职责包括但不限于:
(一)参与制定数据脱敏的原则和方法;
(二)按照脱敏规则,执行脱敏策略的下发;
(三)依据数据脱敏操作规范、流程,运用数据脱敏工具执行敏感数据脱敏操作;
(四)负责数据脱敏设备的日常维护、巡检以及策略调整;
(五)监控和分析日志信息,当发现异常操作行为时及时报告至数据安全管理员;
(六)定期向数据安全管理员汇报数据脱敏操作安全情况。
第四章 数据脱敏原则
第八条 有效性原则。经过数据脱敏处理后,原始信息中包含的敏感信息已被移除,无法通过直接或简单处理得到敏感信息。
第九条 真实性原则。脱敏后的数据应保留原始数据中的有意义信息,能真实体现原始数据的特征,以助于实现数据相关业务需求。
第十条 高效性原则。应保证数据脱敏的过程可通过程序自动实现,重复执行,在确保一定安全底线的前提下,需可能减少数据脱敏工作所花费的额外代价。
第十一条 稳定性原则。数据脱敏时需保证对相同的原始数据,在各输入条**件一致的前提下,无论脱敏多少次,最终结果数据相同。
第十二条 可配置性原则:数据脱敏过程中,宜通过配置的方式,按照输入条**件不同生成不同的脱敏结果。
第五章 数据脱敏场景
第十三条 根据应用场景,将数据脱敏分为静态脱敏和动态脱敏。将生产环境的敏感数据导出到非生产环境(如:开发环境、培训环境、测试环境、共享环境等)的过程中,采用静态脱敏完成对敏感数据的脱敏处理;在实时访问生产环境中的敏感数据的场景下,采用动态脱敏技术完成对敏感数据的即时脱敏处理。
第十四条 开发测试数据脱敏。开发测试使用数据场景主要包括内部常规的系统测试、对外提供联调数据,在使用业务真实数据进行测试时,需要将敏感数据脱敏,避免因开发测试导致敏感数据泄漏。
第十五条 分析数据脱敏。数据分析使用数据的脱敏场景主要包括,数据脱敏安全工程师根据需求将数据导出到终端时脱敏、外部单位使用其他公共服务机构敏感数据分析脱敏。
第十六条 共享开放数据脱敏。共享开放数据脱敏是指在公共服务管理机构之间数据共享是有条**件共享的内容,如脱敏后共享或脱敏后开放。
第十七条 数据库运维脱敏。数据库运维脱敏指的是针对可获取或查询敏感数据的业务系统后台运维处理过程中,通过脱敏技术,限制运维人员对数据库中敏感信息内容的访问。
第十八条 业务系统前台脱敏。业务系统前台数据脱敏指的是用户在前端应用处调取后台数据库中的敏感数据时,通过脱敏技术对敏感数据进行脱敏,再将结果反馈至前台呈现。
第十九条 API接口脱敏。API接口脱敏指的是通过API接口调用数据时,采用脱敏技术在接口调用过程中对敏感数据进行在线的屏蔽、变形、字符替换、随机替换等处理。
第六章 数据脱敏方法
第二十条 开发测试场景下,因为重视数据的可用性,主要采用替换、变形等技术,敏感数据脱敏可以采用相同含义的数据替换原有的敏感数据,例如身份证信息脱敏后仍然为有效的身份证信息。
第二十一条 数据分析场景下,因为重视数据之间的关联性、分析结果,所以建议主要采用抑制、泛化等技术,脱敏后的数据严格保留原有的数据关系与格式,确保数据脱敏后不会影响分析结果,例如多个表格内相同人员的姓名,需要确保脱敏后结果一致;
第二十二条 数据共享开放场景,因为重视敏感信息在不同政府部门间共享过程中的隐私泄露问题,所以主要采用遮蔽脱敏技术,将原数据中部分或全部内容,用"*"或"#"等字符进行替换,遮盖部分或全部原文。
第二十三条 数据库运维脱敏、业务系统前台脱敏、API接口脱敏等场景下, 因为需要实时访问生产数据库,但不需要看到敏感字段,所以采用掩码或变形等技术在调用生产库数据时,在返回的结果中对敏感数据做即时脱敏处理。
第二十四条 数据脱敏规则和方法。数据脱敏的方法主要包括遮蔽脱敏、扰乱脱敏、泛化脱敏、数据一致性脱敏、可逆脱敏。
(一)遮蔽脱敏。主要是对数据项的部分或全部数据用符号替代,如例如身份证号遮挡(440***0011),主要用于共享开放等;
(二)扰乱脱敏。利用加密、重排等方式对原始数据进行修改。保留数据原始特征,并能经过业务校验,如(例如将123变为abc),主要用与研发测试等场景;
(三)泛化脱敏。指保留原始数据的局部特征的前提下使用其他方式替代原始数据的方式,例如年龄泛化(从20岁泛化成0-30岁),主要用于分析处理等;
(四)数据一致性脱敏。是原始数据的关联关系在进行数据脱敏后也能保持关联关系,如脱敏后数据的***号、性别、生日、籍贯数据保持一致性,主要用于二次开发测试场景;
(五)可逆脱敏。指依据脱敏数据对应表,可将脱敏数据还原成原始数据,从脱敏数据可以获取原始数据,用于数据分析后需要真实结果的场景。
第七章 数据脱敏流程
第二十五条 数据脱敏的流程分为敏感数据发现、敏感数据梳理、脱敏方案制定、脱敏任务执行四大步骤,数据脱敏流程如图1所示:
图1 数据脱敏流程
(一)敏感数据发现,分为人工发现和自动发现两种。对于固定的业务数据,一般数据结构和数据长度不会变化,大部分为数值型和固定长度的字符,如:身份证号、手机号,可采用人工甄别,明确指定哪些列、哪些库的数据需要脱敏;自动发现是根据人工指定或预定义的敏感数据特征,借助敏感数据信息库和分词系统,自动识别数据库中包含的敏感信息。
(二)敏感数据梳理,在敏感数据发现的基础上,完成敏感数据列、敏感数据关系的调整,以保证数据的关联关系。通过屏蔽、变形、替换、随机、格式保留加密、强加密等数据脱敏算法,针对不同的数据类型进行数据掩码扰乱。
(三)脱敏方案制定,对于不同的数据脱敏需求,在基础脱敏算法的基础上,配置专门的脱敏策略,脱敏方案的制定主要依靠脱敏策略和脱敏算法的复用来实现,通过配置和扩展脱敏算法以制定最优方案。
(四)脱敏任务执行,包含脱敏任务的启动、暂停、停止等操作。
第二十六条 数据脱敏审批流程主要包括:数据使用申请、脱敏审批、选择脱敏规则、脱敏操作、脱敏内容审核、脱敏过程审计等。数据脱敏审批流程如图2所示:
图2 数据脱敏工作流程
(一)数据使用申请,数据申请者需提交《数据使用申请表》,明确数据使用目的、范围、字段内容以及实施时间等信息;
(二)脱敏审批,由数据安全管理岗及数据与网络安全部主管进行审核批准;
(三)选择脱敏规则,数据脱敏安全工程师评估数据的使用风险,选择对应的脱敏规则;
(四)脱敏操作:通过自动脱敏工具,下发对应的脱敏策略、并对脱敏操作进行记录;
(五)脱敏内容审核:数据安全管理岗组织对脱敏后的数据内容进行评估,确认合规后,数据申请者方可获取数据;
(六)脱敏过程审计:确保所有的操作过程被审计,并做好记录留存,定期进行安全审计。
第八章 数据脱敏使用限制
第二十七条 在进行数据脱敏时需要考虑以下使用限制:
(一)在进行数据脱敏前需确认脱敏对象以及脱敏场景,选择合适的脱敏规则和方法;
(二)采取符合脱敏数据等级要求的脱敏方法,避免非敏感数据推算出敏感数据;
(三)需要确保脱敏后的数据具备数据原始特征,避免因数据脱敏过度而导致数据失效;
(四)需要考虑到非敏感数据组合后生成敏感数据的可能性,对这些非敏感数据也要进行脱敏工作;
(五)对同一敏感数据进行多次脱敏后,格式及内容需保持一样;
(六)对敏感数据进行脱敏后,需要确保脱敏后数据无法被恢复成原始数据,或者恢复成原始数据需要花费巨大代价。
第九章 附则
第二十八条 本规范由数据安全领导小组办公室负责制定、解释和修改。
第二十九条 对违反本规定的人员,将按照北京思度咨询科技有限公司有关规定进行处罚。
第三十条 本规范自发布之日起执行。