侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

數(shù)據(jù)安全能力成熟度模型系列:數(shù)據(jù)處理階段的數(shù)據(jù)脫敏過程

《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)簡(jiǎn)稱DSMM正式成為國(guó)標(biāo)對(duì)外發(fā)布,并已正式實(shí)施。美創(chuàng)科技將以DSMM數(shù)據(jù)安全治理思路為依托,針對(duì)各過程域,基于充分定義級(jí)視角(3級(jí)),提供數(shù)據(jù)安全建設(shè)實(shí)踐建議,形成系列文章。本文作為數(shù)據(jù)安全能力成熟度模型系列第十篇文章,將介紹數(shù)據(jù)處理階段的數(shù)據(jù)脫敏過程域(PA10)。

01定義

數(shù)據(jù)脫敏,DSMM官方描述定義為根據(jù)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)的要求以及業(yè)務(wù)需求,給出敏感數(shù)據(jù)的脫敏需求和規(guī)則,對(duì)敏感數(shù)據(jù)進(jìn)行脫敏處理,保證數(shù)據(jù)可用性和安全性的平衡。

DSMM標(biāo)準(zhǔn)在充分定義級(jí)對(duì)數(shù)據(jù)脫敏要求如下:

1.       組織建設(shè)

①      美創(chuàng)科技專家建議組織應(yīng)設(shè)立統(tǒng)一的數(shù)據(jù)安全崗位和人員,負(fù)責(zé)制定數(shù)據(jù)脫敏的原則和方法,并提供相關(guān)技術(shù)能力;

②      在數(shù)據(jù)權(quán)限的申請(qǐng)階段,有相關(guān)人員應(yīng)評(píng)估使用真實(shí)數(shù)據(jù)的必要性,以及確定該場(chǎng)景下適用的數(shù)據(jù)脫敏規(guī)則及方法。

2.       制度流程

①      應(yīng)明確組織的數(shù)據(jù)脫敏規(guī)范,明確數(shù)據(jù)脫敏的規(guī)則、脫敏方法利使用限制等;

②      應(yīng)明確需要脫敏處理的應(yīng)用場(chǎng)景、脫敏處理流程、涉及部門及人員的職責(zé)分工。

3.       技術(shù)工具

①      組織應(yīng)提供統(tǒng)一的數(shù)據(jù)脫敏工具,實(shí)現(xiàn)數(shù)據(jù)脫敏工具與數(shù)據(jù)權(quán)限管理系統(tǒng)的聯(lián)動(dòng),以及數(shù)據(jù)使用前的靜態(tài)脫敏;

②      應(yīng)提供面向不同數(shù)據(jù)類型的脫敏方案,可基于場(chǎng)景需求自定義脫敏規(guī)則;

③      數(shù)據(jù)脫敏后應(yīng)保留原始數(shù)據(jù)格式和特定屬性,滿足開發(fā)與測(cè)試需求;

④      應(yīng)對(duì)數(shù)據(jù)脫敏處理過程相應(yīng)的操作進(jìn)行記錄,以滿足數(shù)據(jù)脫敏處理安全審計(jì)要求。

4.       人員能力

①      應(yīng)熟悉常規(guī)的數(shù)據(jù)脫敏技術(shù),能夠分析數(shù)據(jù)脫敏過程中存在的安全風(fēng)險(xiǎn),基于數(shù)據(jù)脫敏的具體場(chǎng)景保證業(yè)務(wù)和安全之間的需求平衡;

②      應(yīng)具備對(duì)數(shù)據(jù)脫敏的技術(shù)方案定制化的能力,能夠基于組織內(nèi)部各級(jí)別的數(shù)據(jù)建立有效的數(shù)據(jù)脫敏方案;

02實(shí)踐指南

1.       組織建設(shè)

美創(chuàng)科技專家建議組織機(jī)構(gòu)在條件允許的情況下應(yīng)該設(shè)立數(shù)據(jù)脫敏部門并招募相關(guān)的技術(shù)人員和管理人員,負(fù)責(zé)為公司制定整體的數(shù)據(jù)脫敏原則和制度,并推動(dòng)相關(guān)要求確實(shí)可靠的落地執(zhí)行。

除此之外,還需要為公司定義不同等級(jí)的敏感數(shù)據(jù)脫敏處理情景、標(biāo)準(zhǔn)操作流程、標(biāo)準(zhǔn)方法,為公司建立統(tǒng)一的安全審計(jì)機(jī)制,用于記錄和監(jiān)督數(shù)據(jù)脫敏各階段的操作行為,方便后續(xù)的問題排查和事件溯源等,在申請(qǐng)數(shù)據(jù)權(quán)限的階段中,還應(yīng)該提供評(píng)估使用真實(shí)數(shù)據(jù)必要性的服務(wù)支持,并確定在當(dāng)前業(yè)務(wù)場(chǎng)景下應(yīng)該采用的數(shù)據(jù)脫敏規(guī)則和方法。

2.       人員能力

針對(duì)數(shù)據(jù)脫敏部門的管理人員來說,必須具備良好的數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí),熟悉國(guó)家網(wǎng)絡(luò)安全法律法規(guī)以及組織機(jī)構(gòu)所屬行業(yè)的政策和監(jiān)管要求,在進(jìn)行數(shù)據(jù)脫敏管理以及數(shù)據(jù)脫敏原則制定的時(shí)候,嚴(yán)格按照《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等國(guó)家相關(guān)法律法規(guī)和行業(yè)規(guī)范執(zhí)行。

同時(shí)還需要相關(guān)人員具備一定的數(shù)據(jù)安全管理經(jīng)驗(yàn),擁有良好的數(shù)據(jù)脫敏專業(yè)知識(shí)基礎(chǔ),熟悉主流廠商的數(shù)據(jù)脫敏解決方案,熟悉常規(guī)的數(shù)據(jù)脫敏技術(shù),能提前分析出數(shù)據(jù)脫敏過程中可能存在的安全風(fēng)險(xiǎn),能夠與具體的業(yè)務(wù)場(chǎng)景結(jié)合,保持?jǐn)?shù)據(jù)脫敏過程中業(yè)務(wù)與安全之間的平衡,具備對(duì)數(shù)據(jù)脫敏技術(shù)方案進(jìn)行定制化的能力,能夠基于組織機(jī)構(gòu)內(nèi)部各級(jí)別的數(shù)據(jù)建立行之有效的數(shù)據(jù)脫敏解決方案。

針對(duì)數(shù)據(jù)脫敏部門的實(shí)施人員來說,必須具備良好的數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí),熟悉相關(guān)法律法規(guī)以及政策要求,熟悉主流廠商的數(shù)據(jù)脫敏方案、熟悉市面上常用的數(shù)據(jù)脫敏工具,擁有至少一年以上的數(shù)據(jù)脫敏實(shí)施經(jīng)驗(yàn),熟悉公司內(nèi)部應(yīng)用場(chǎng)景、業(yè)務(wù)場(chǎng)景,能夠快速有效地實(shí)施由管理部門輸出的定制化數(shù)據(jù)脫敏方案,并保障完成質(zhì)量。同時(shí)還應(yīng)該具備一定的應(yīng)急響應(yīng)能力,當(dāng)在數(shù)據(jù)脫敏過程中發(fā)生了突發(fā)事件或意外情況,能夠快速響應(yīng)進(jìn)行上報(bào),保障原始數(shù)據(jù)安全以及脫敏數(shù)據(jù)的完整性和可用性等。

3.       落地執(zhí)行性確認(rèn)

針對(duì)數(shù)據(jù)脫敏崗位人員能力的實(shí)際落地執(zhí)行性確認(rèn),可通過內(nèi)部審計(jì)、外部審計(jì)等形式以調(diào)研訪談、問卷調(diào)查、流程觀察、文件調(diào)閱、技術(shù)檢測(cè)等多種方式實(shí)現(xiàn)。

1  2  下一頁(yè)>  
聲明: 本文由入駐維科號(hào)的作者撰寫,觀點(diǎn)僅代表作者本人,不代表OFweek立場(chǎng)。如有侵權(quán)或其他問題,請(qǐng)聯(lián)系舉報(bào)。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字

您提交的評(píng)論過于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無評(píng)論

暫無評(píng)論

    安防 獵頭職位 更多
    文章糾錯(cuò)
    x
    *文字標(biāo)題:
    *糾錯(cuò)內(nèi)容:
    聯(lián)系郵箱:
    *驗(yàn) 證 碼:

    粵公網(wǎng)安備 44030502002758號(hào)