SZSD07 0001-2024公共數(shù)據脫敏管理規(guī)范

SZSDSpecificationforpubli2024-04-15發(fā)布I 1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 3 4 5 5 6本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》本文件主要起草人：吳巍、吳珂、程慶軍、劉德永、孫興善、張林、陳顏章、郝俊堂、張公共數(shù)據脫敏管理規(guī)范下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的GB/T20945—2013信息安全技術信息系統(tǒng)安全審計產品技術要求和測試評價方法國家機關、法律法規(guī)規(guī)章授權的具有管理公共事務職能的組織，在依法履行職責和提供公3.3數(shù)據脫敏datadesensiti3.4動態(tài)脫敏dynamicdesensiti針對敏感數(shù)據進行數(shù)據抽取、數(shù)據漂白和動態(tài)掩碼的專業(yè)數(shù)據脫敏技術，主要對查詢生產3.5靜態(tài)脫敏staticdesensiti3.6脫敏算法desensitizationalg3.7脫敏系統(tǒng)desensitization2采用各種脫敏算法，通過自動化工具實現(xiàn)敏感數(shù)據發(fā)現(xiàn)、脫敏操作執(zhí)行和脫敏全流程管理4基本原則脫敏過程需保持用于后續(xù)分析的數(shù)據真實特征，以助于實現(xiàn)數(shù)據相關業(yè)務需求。真實性特4.2有效性經過數(shù)據脫敏處理后，原始信息中包含的敏感信息已被移除，無法通過處理后的數(shù)據得到數(shù)據脫敏后，保留主外鍵關聯(lián)一致性，保留業(yè)務數(shù)據關聯(lián)業(yè)務一致性，保留原數(shù)據間隱含4.4穩(wěn)定性由于原始數(shù)據間存在關聯(lián)性，為保障數(shù)據使用者可正常使用和分析數(shù)據，因此數(shù)據脫敏時需保證對相同的原始數(shù)據，在各輸入條件一致的前提下，無論脫敏多少次，其最終結果數(shù)據是5.1基本要求應成立專門的數(shù)據脫敏管理小組，并設置專門的脫敏操作員、安全管理員和審計管理員，次及以上數(shù)據脫敏評價工作，評價其真實性、有效性、穩(wěn)定性。評價工作宜在數(shù)據脫敏工作驗脫敏系統(tǒng)應采用經國家有關部門認證的產品。系統(tǒng)上線前應進行源代碼審查，并通過信息系統(tǒng)安全等級保護三級以上測評。系統(tǒng)運行過程中應定期進行安全掃描，接受網絡信息安全和5.2.3數(shù)據源產品應能夠根據預定義的策略對敏感數(shù)據進行自動掃描和a）靜態(tài)數(shù)據脫敏產品應能對整個數(shù)據庫或文件中敏感4a）描述所有外部接口的用途與使用方法，適當提供效果、例5.3人員要求脫敏操作員、安全管理員、安全審計員應以個人名義與組織簽署保密協(xié)議和安全承諾書。負責對脫敏操作員、安全管理員的操作行為進行審計、跟蹤、分析、和監(jiān)督檢查，及時發(fā)現(xiàn)違規(guī)行為和異常行為，進行數(shù)據庫日志、脫敏系統(tǒng)日志、安全事件的分析和負責制定脫敏系統(tǒng)的安全策略，數(shù)據脫敏工作的范圍和日程，并進行日常安全檢查、權限根據授權用戶不同的安全角色，賦予授權用戶不同的訪問權限，并且安全角色之間應相互在脫敏過程中，脫敏系統(tǒng)應確保各組件之間傳輸?shù)臄?shù)據非明原始數(shù)據經過數(shù)據脫敏處理后，仍保持部分統(tǒng)計特征和結構特征，存在泄露風險，應采取應在數(shù)據脫敏的各個階段加入安全審計機制，詳