數(shù)據(jù)安全能力成熟度模型系列:數(shù)據(jù)處理階段的數(shù)據(jù)脫敏過程
《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)簡(jiǎn)稱DSMM正式成為國(guó)標(biāo)對(duì)外發(fā)布,并已正式實(shí)施。美創(chuàng)科技將以DSMM數(shù)據(jù)安全治理思路為依托,針對(duì)各過程域,基于充分定義級(jí)視角(3級(jí)),提供數(shù)據(jù)安全建設(shè)實(shí)踐建議,形成系列文章。本文作為數(shù)據(jù)安全能力成熟度模型系列第十篇文章,將介紹數(shù)據(jù)處理階段的數(shù)據(jù)脫敏過程域(PA10)。
01定義
數(shù)據(jù)脫敏,DSMM官方描述定義為根據(jù)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)的要求以及業(yè)務(wù)需求,給出敏感數(shù)據(jù)的脫敏需求和規(guī)則,對(duì)敏感數(shù)據(jù)進(jìn)行脫敏處理,保證數(shù)據(jù)可用性和安全性的平衡。
DSMM標(biāo)準(zhǔn)在充分定義級(jí)對(duì)數(shù)據(jù)脫敏要求如下:
1. 組織建設(shè)
① 美創(chuàng)科技專家建議組織應(yīng)設(shè)立統(tǒng)一的數(shù)據(jù)安全崗位和人員,負(fù)責(zé)制定數(shù)據(jù)脫敏的原則和方法,并提供相關(guān)技術(shù)能力;
② 在數(shù)據(jù)權(quán)限的申請(qǐng)階段,有相關(guān)人員應(yīng)評(píng)估使用真實(shí)數(shù)據(jù)的必要性,以及確定該場(chǎng)景下適用的數(shù)據(jù)脫敏規(guī)則及方法。
2. 制度流程
① 應(yīng)明確組織的數(shù)據(jù)脫敏規(guī)范,明確數(shù)據(jù)脫敏的規(guī)則、脫敏方法利使用限制等;
② 應(yīng)明確需要脫敏處理的應(yīng)用場(chǎng)景、脫敏處理流程、涉及部門及人員的職責(zé)分工。
3. 技術(shù)工具
① 組織應(yīng)提供統(tǒng)一的數(shù)據(jù)脫敏工具,實(shí)現(xiàn)數(shù)據(jù)脫敏工具與數(shù)據(jù)權(quán)限管理系統(tǒng)的聯(lián)動(dòng),以及數(shù)據(jù)使用前的靜態(tài)脫敏;
② 應(yīng)提供面向不同數(shù)據(jù)類型的脫敏方案,可基于場(chǎng)景需求自定義脫敏規(guī)則;
③ 數(shù)據(jù)脫敏后應(yīng)保留原始數(shù)據(jù)格式和特定屬性,滿足開發(fā)與測(cè)試需求;
④ 應(yīng)對(duì)數(shù)據(jù)脫敏處理過程相應(yīng)的操作進(jìn)行記錄,以滿足數(shù)據(jù)脫敏處理安全審計(jì)要求。
4. 人員能力
① 應(yīng)熟悉常規(guī)的數(shù)據(jù)脫敏技術(shù),能夠分析數(shù)據(jù)脫敏過程中存在的安全風(fēng)險(xiǎn),基于數(shù)據(jù)脫敏的具體場(chǎng)景保證業(yè)務(wù)和安全之間的需求平衡;
② 應(yīng)具備對(duì)數(shù)據(jù)脫敏的技術(shù)方案定制化的能力,能夠基于組織內(nèi)部各級(jí)別的數(shù)據(jù)建立有效的數(shù)據(jù)脫敏方案;
02實(shí)踐指南
1. 組織建設(shè)
美創(chuàng)科技專家建議組織機(jī)構(gòu)在條件允許的情況下應(yīng)該設(shè)立數(shù)據(jù)脫敏部門并招募相關(guān)的技術(shù)人員和管理人員,負(fù)責(zé)為公司制定整體的數(shù)據(jù)脫敏原則和制度,并推動(dòng)相關(guān)要求確實(shí)可靠的落地執(zhí)行。
除此之外,還需要為公司定義不同等級(jí)的敏感數(shù)據(jù)脫敏處理情景、標(biāo)準(zhǔn)操作流程、標(biāo)準(zhǔn)方法,為公司建立統(tǒng)一的安全審計(jì)機(jī)制,用于記錄和監(jiān)督數(shù)據(jù)脫敏各階段的操作行為,方便后續(xù)的問題排查和事件溯源等,在申請(qǐng)數(shù)據(jù)權(quán)限的階段中,還應(yīng)該提供評(píng)估使用真實(shí)數(shù)據(jù)必要性的服務(wù)支持,并確定在當(dāng)前業(yè)務(wù)場(chǎng)景下應(yīng)該采用的數(shù)據(jù)脫敏規(guī)則和方法。
2. 人員能力
針對(duì)數(shù)據(jù)脫敏部門的管理人員來說,必須具備良好的數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí),熟悉國(guó)家網(wǎng)絡(luò)安全法律法規(guī)以及組織機(jī)構(gòu)所屬行業(yè)的政策和監(jiān)管要求,在進(jìn)行數(shù)據(jù)脫敏管理以及數(shù)據(jù)脫敏原則制定的時(shí)候,嚴(yán)格按照《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等國(guó)家相關(guān)法律法規(guī)和行業(yè)規(guī)范執(zhí)行。
同時(shí)還需要相關(guān)人員具備一定的數(shù)據(jù)安全管理經(jīng)驗(yàn),擁有良好的數(shù)據(jù)脫敏專業(yè)知識(shí)基礎(chǔ),熟悉主流廠商的數(shù)據(jù)脫敏解決方案,熟悉常規(guī)的數(shù)據(jù)脫敏技術(shù),能提前分析出數(shù)據(jù)脫敏過程中可能存在的安全風(fēng)險(xiǎn),能夠與具體的業(yè)務(wù)場(chǎng)景結(jié)合,保持?jǐn)?shù)據(jù)脫敏過程中業(yè)務(wù)與安全之間的平衡,具備對(duì)數(shù)據(jù)脫敏技術(shù)方案進(jìn)行定制化的能力,能夠基于組織機(jī)構(gòu)內(nèi)部各級(jí)別的數(shù)據(jù)建立行之有效的數(shù)據(jù)脫敏解決方案。
針對(duì)數(shù)據(jù)脫敏部門的實(shí)施人員來說,必須具備良好的數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí),熟悉相關(guān)法律法規(guī)以及政策要求,熟悉主流廠商的數(shù)據(jù)脫敏方案、熟悉市面上常用的數(shù)據(jù)脫敏工具,擁有至少一年以上的數(shù)據(jù)脫敏實(shí)施經(jīng)驗(yàn),熟悉公司內(nèi)部應(yīng)用場(chǎng)景、業(yè)務(wù)場(chǎng)景,能夠快速有效地實(shí)施由管理部門輸出的定制化數(shù)據(jù)脫敏方案,并保障完成質(zhì)量。同時(shí)還應(yīng)該具備一定的應(yīng)急響應(yīng)能力,當(dāng)在數(shù)據(jù)脫敏過程中發(fā)生了突發(fā)事件或意外情況,能夠快速響應(yīng)進(jìn)行上報(bào),保障原始數(shù)據(jù)安全以及脫敏數(shù)據(jù)的完整性和可用性等。
3. 落地執(zhí)行性確認(rèn)
針對(duì)數(shù)據(jù)脫敏崗位人員能力的實(shí)際落地執(zhí)行性確認(rèn),可通過內(nèi)部審計(jì)、外部審計(jì)等形式以調(diào)研訪談、問卷調(diào)查、流程觀察、文件調(diào)閱、技術(shù)檢測(cè)等多種方式實(shí)現(xiàn)。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
精彩回顧立即查看>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 松下新能源中國(guó)布局:鋰一次電池新品介紹
-
精彩回顧立即查看>> 2024 智能家居出海論壇
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市