本文总结了「地方层面」出台的各项数据脱敏标准指南,旨在为大家提供一份全面、系统的参考资料,便于大家更好地了解和应用相关数据脱敏标准。
DB31/T 1311-2021
《数据去标识化共享指南》
本文件适用于组织(机构)之间进行数据共享的行为,包括企事业单位之间基于自愿协议的数据共享、数据合作、数据交换、数据交易等行为、同一集团内部独立法人组织之间的数据共享的行为、政府或公共机构向社会组织有条件开放数据的行为。组织内部的数据治理、自我测评等可参照执行。
一、数据去标识化共享基本流程
二、数据去标识化共享风险管理
1、组织管理
建立数据安全管理和评价考核制度,制定数据安全保护计划和风险评估机制,制定事件处置预案等安全制度,并组织开展教育培训等。
2、能力匹配
具备必要的业务资质与信息安全等级,具备与所面临的安全风险相匹配的安全能力,并采取合理的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
3、数据治理
预先进行数据治理,履行数据安全保护义务,采取加密、脱敏、备份、访问控制、审计等技术或者其他必要措施,加强数据安全防护。
4、事件响应
发现滥用或泄漏等风险情况,立即通知事件相关方停止相关行为,采取或要求采取有效补救措施,控制或消除面临的安全风险;必要时解除业务关系,删除已共享的数据。
5、应用限制
区分数据应用对个人或群体的影响,限制数据应用方向与范围;去标识化数据经重标识后,按照个人信息保护法律法规及相关标准要求,遵循信息主体同意规则,开展数据合规管理和应用。
DB 3301/T 0363-2022
《公共数据脱敏管理规范》
本文件规定了公共数据的基本原则和管理要求。
本文件适用于公共数据脱敏工作的规划、实施和管理。
一、系统要求
1、脱敏系统安全
脱敏系统应采用经国家有关部门认证的产品。系统上线前应进行源代码审查,并通过信息系统安全等级保护三级以上测评。系统运行过程中应定期进行安全扫描,接受网络信息安全和数据安全风险评估,确保安全可靠,无漏洞后门。
2、权限分配
应满足数据脱敏权限分配,对不同的用户分配不同数据脱敏权限。
3、系统账号口令
脱敏系统账户的口令应为无意义的字符组,长度至少为十位,并包含大写字符、小写字符、数字和特殊符号,脱敏系统账户口令应定期修改,最长使用时间不超过3个月。
4、数据源
应适用数据库、文件、大数据平台、动态数据流等不同类型的数据源。
5、数据脱敏任务
静态数据脱敏产品应制定数据脱敏任务。任务宜包括:设置原始数据存储源;设置抽取范围;设置脱敏内容;选择脱敏规则;设置目标数据存储源。
动态数据脱敏产品应制定数据脱敏任务。任务宜包括:根据动态数据源的范围;设置数据脱敏任务;配置数据源的参数信息;设置动态数据的脱敏范围;设置脱敏内容;设置数据脱敏的起止时间;选择脱敏规则。
6、敏感数据自动扫描和检测
产品应能够根据预定义的策略对敏感数据进行自动扫描和检测:
a)静态数据脱敏产品应能对整个数据库或文件中敏感数据进行自动扫描和检测;
b)动态数据脱敏产品应能对数据流中敏感数据进行自动扫描和检测。
7、数据脱敏子集脱敏
静态数据脱敏的产品应能够创建子集抽取规则。产品宜包括下列功能:
a)根据用户的要求创建相比原始数据较小的子集(基本级);
b)应具有抽取多表间关联子集的功能,在数据脱敏后,保持数据表之间的关联关系(增强级)。
8、任务监控
脱敏产品应能够对数据脱敏任务进行监控。产品宜包括下列功能:
a)数据脱敏任务应定时调度( 静态脱敏) ;
b)能够启动、暂停、继续和停止数据脱敏任务( 静态脱敏) ;
c)提供对数据脱敏任务的状态监测,以图形化方式展现每个任务的处理进度,以日志方式展现任务处理明细及任务告警( 静态脱敏);
d实时展现脱敏情况( 动态脱敏);
e)展现历史记录,一定时间段的脱敏情况( 静态脱敏、动态脱敏)。
9、审计记录
审计记录生成,产品应对下列可审计事件生成记录:
a)数据脱敏操作日志,包括数据脱敏审批流程和数据脱敏任务的执行等;
b)鉴别机制的使用,包括系统用户的登录和注销日志;
c)管理操作日志,包括安全策略变更、对用户及角色进行增加、删除和修改等。对于每一个审计记录,产品记录应包括事件发生的日期和时间,事件类型,主体身份和成功或失败事件,且数据脱敏操作应详细记录原始数据、脱敏范围、目标位置等信息。
10、接口管理
开发者应提供一个接口规范。接口规范宜满足下列要求:
a)使用非形式化风格来描述产品安全功能及其外部接口;
b)是内在一致的;
c)描述所有外部接口的用途与使用方法,适当提供效果、例外情况和错误消息的细节;
d)标识安全功能子系统的所有接口;
e)标识安全功能子系统的哪些接口是外部可见的;
f)完备地表示产品安全功能。
DB 37/T 3523. 2-2019
公共数据开放 第2部分:数据脱敏指南
本部分提供了公共数据开放中数据脱敏的指导和建议,并给出了基本原则、脱敏规划、脱敏流程等方面需考虑的要点信息。
本部分适用于山东省公共数据开放的数据脱敏工作。
一、脱敏规划
宜对数据脱敏工作进行总体规划,制定完备的数据脱敏工作方案,并对可能接触到脱敏数据的相关方进行数据脱敏规程的培训,并定期评估和维护数据脱敏规程内容。
在制定数据脱致工作方案时,宜考虑以下因素:
a)明确敏感数据管理部门,以及其安全责任和义务;
b)建立敏感数据的分类分级、脱敏工具运维管理等制度,并定期维护更新;
c)建立数据安全管控机制,如代码安全,审计安全、安全管理等;
d)定期对数据脱敏工作的相关方开展培训工作;
e)制定完备的敏感数据使用审批流程,确保敏感数据的使用安全合规;
f)明确数据脱敏流程,包括发现敏感数据、标识敏感数据、确定脱敏方法等。
二、脱敏流程
1、识别敏感数据
a)明确数据脱敏工作范围;
b)对工作范围内数据进行梳理和分类;
c)建立敏感数据位置和关系库,以保存敏感数据的位置,以及敏感数据与原数据之间的关联关系;
d)根据业务需要选择人工或自动等识别方式,并考虑识别方式与主流数据库系统、数据仓库系统、文件系统、云计算环境下新型存储系统等的适用性;
e)选择数据发现工具,并考虑其扩展性,可根据业务需要自定义敏感数据的发现逻辑;
f)明确敏感信息的字段名称、字段类型、字段长度、赋值规范等内容;
g)利用反关联方法,查找可能由某些非敏感字段推断出另一敏感字段的映射,并对这些非敏感字段进行识别,例如:由出生日期可以推断出身份证号码的场景,需对出生日期进行识别。
2、标识敏感数据
识别出敏感数据后,宜尽早对敏感数据的格式、位置等信息进行标识,标识方法的选择宜考虑以下因素:
a)敏感数据标识信息能够随敏感数据一起流动;
b)敏感数据标识信息不易被恶意攻击者删除和篡改;
c)需考虑便捷性和安全性,使标识后的数据容易被识别;
d)需支持不同数据类型( 如静态数据和动态数据)的敏感标识;
e)对所有可能生成敏感数据的非敏感字段同样进行标识,例如:在病人诊治记录中为隐藏姓名与病情的对应关系,将“姓名”作为敏感宁段进行变换,但是如果能够凭借某“住址”的唯一性导出“姓名”,则需要将“住址”进行标识并脱敏。
3、确定脱敏场景
在标识敏感数据基础上,确定脱敏场景,脱敏场景包括但不限于:
a)静态脱敏:对原始数据进行一次脱敏后,脱敏后的结果数据可以多次使用;
b)动态脱敏:针对不同用户需求,对数据进行屏蔽处理的数据脱敏方式,要求系统有安全措施确保用户不能够绕过数据脱敏层次直接接触敏感数据。
4、选择脱敏方法
依据数据脱敏场景选择数据脱敏方法,数据脱敏方法参见附录A。
5、定义脱敏规则
依据已选择的数据脱敏方法,定义脱敏规则,并对常用数据脱敏规则进行固化,避免重复定义。
6、执行脱敏操作
脱敏操作需遵循个人隐私保护、数据安全保护等相关法规、行业监管规范或标准,个人敏感信息安全应遵循GB/T 35273中相关规定。根据已定义的数据脱敏规则,数据脱敏操作包括但不限于:
a)对脱敏过程运行监控和分析;
b)定期对脱敏工作开展安全审计;
c)对脱敏任务自动化运行。
7、评估脱敏效果
在执行脱敏工作基础上,利用测试工具评估脱敏后数据对应用系统功能、性能等方面的影响,并根据验证情况不断优化脱敏规划。
DB51/T 3058-2023
《政务数据 数据脱敏规范》
本文件规定了四川省全省范围内政务数据共享开放过程中的数据脱敏原则、数据脱敏应用场景、数据脱敏技术规范、数据脱敏流程和数据脱敏方法。
本文件适用于指导四川省全省范围内政务数据的数据脱敏.工作,以及各级政务部门对政务数据脱敏工作机制的建立和实施。
一、数据脱敏应用场景
二、数据脱敏流程
数据脱敏流程应包括:使用申请、脱敏审批、选择脱敏方法、脱敏操作、脱敏内容审核、脱敏过程审计。
DB 34/T XXXXX
《政务数据 第2部分:脱敏技术规范》
本文件给出了政务数据脱敏基本要求、数据脱敏技术、数据脱敏策略和数据脱敏流程。
本文件适用于指导非涉密政务信息系统中结构化数据的数据脱敏工作。
一、数据脱敏基本要求
数据脱敏的基本要求应包括:
a)降低或去除脱敏数据被恢复的风险;
b)确保数据脱敏后的数据可用性;
c)脱敏数据尽量满足其预期目的;
d)数据脱敏符合我国法律法规及相关标准、行业相关标准规范有关规定;
e)原始数据脱敏处理后,确保原始信息中包含的敏感信息已被消除,无法通过处理后的数据得到敏感信息,无法对非敏感数据进行推断、重建、还原敏感原始数据;
f)数据脱敏过程通过自动化实现,可重复执行;
g)数据脱敏时保证对相同的原始数据,在各个输入条件一致的前提下,无论脱敏多少次,其最终结果是相同的;
h)数据脱敏确保脱敏工作的可配置性,支持配置多种脱敏方式,不同脱敏条件生成不同结果;
i)脱敏后的数据尽可能真实地体现原始数据的特征,包括但不限于数据格式、类型、长度、大小,且应尽可能且多保留原始数据中的有意义信息;
j)数据脱敏过程通过自动化实现,可重复执行;
k)在进行数据脱敏前,完整的梳理待处理数据中包含的所有信息分类(包括单条记录中每一个项目的内容/格式、多条记录联合后包含的统计特征等),明确其中哪些信息分类属于敏感信息,并标注出其敏感程度、泄露后可能造成的后果、应急预案等;
I)在数据脱敏的各个阶段加入安全审计机制,严格、详细记录数据处理过程中的相关信息,形成完整数据处理记录,用于后续问题排查与数据追踪分析,一旦发生泄密事件可追溯到是在哪个数据处理环节发生的;
m)对于执行数据脱敏的程序和代码模块,进行代码审查,并对上线前的程序和模块进行代码安全扫描,确保执行数据脱敏过程的程序安全可靠,无漏洞和后门。
二、数据脱敏流程
a)发现敏感数据:对组织所拥有的数据进行梳理和分类,建议将数据分为不同类别敏感数据,基于组织的敏感数据分类分级制度,一方面建立有效的数据发现手段,在组织机构完整的数据范围内查找并发现敏感数据,另一方面明确敏感数据结构化或非结构化的数据表现形态,如敏感数据固定的字段格式:DB34/T XXX-XXXX;
b)确认数据脱敏需求:根据政务数据的安全合规要求,明确脱敏数据使用目的、范围、字段内容、使用时间,并提交数据脱敏申请;
c)标识与确认敏感数据:数据脱敏申请审批通过后,利用数据标识技术工具对敏感数据和个人敏感信息的位置和格式信息进行标识;
d)制定数据脱敏方案:在对标识后的敏感数据进行脱敏前,应首先确定脱敏技术形态,可选的数据脱敏方案包括静态数据脱敏和动态数据脱敏。根据数据脱敏场景确定不同的数据脱敏技术,针对已标识并确认的敏感数据和敏感个人信息,制定具体的脱敏策咯并形成脱敏方案。脱敏方案确定后,就可以选择对应的数据脱敏工具;
e)脱敏操作与记录存档:通过脱敏技术手段,执行脱敏策略和实施方案,并对脱敏过程中产生的操作行为进行记录存档。
相关推荐: