侵權投訴
訂閱
糾錯
加入自媒體

數(shù)據安全能力成熟度模型系列:數(shù)據處理階段的數(shù)據脫敏過程

《信息安全技術 數(shù)據安全能力成熟度模型》(GB/T 37988-2019)簡稱DSMM正式成為國標對外發(fā)布,并已正式實施。美創(chuàng)科技將以DSMM數(shù)據安全治理思路為依托,針對各過程域,基于充分定義級視角(3級),提供數(shù)據安全建設實踐建議,形成系列文章。本文作為數(shù)據安全能力成熟度模型系列第十篇文章,將介紹數(shù)據處理階段的數(shù)據脫敏過程域(PA10)。

01定義

數(shù)據脫敏,DSMM官方描述定義為根據相關法律法規(guī)、標準的要求以及業(yè)務需求,給出敏感數(shù)據的脫敏需求和規(guī)則,對敏感數(shù)據進行脫敏處理,保證數(shù)據可用性和安全性的平衡。

DSMM標準在充分定義級對數(shù)據脫敏要求如下:

1.       組織建設

①      美創(chuàng)科技專家建議組織應設立統(tǒng)一的數(shù)據安全崗位和人員,負責制定數(shù)據脫敏的原則和方法,并提供相關技術能力;

②      在數(shù)據權限的申請階段,有相關人員應評估使用真實數(shù)據的必要性,以及確定該場景下適用的數(shù)據脫敏規(guī)則及方法。

2.       制度流程

①      應明確組織的數(shù)據脫敏規(guī)范,明確數(shù)據脫敏的規(guī)則、脫敏方法利使用限制等;

②      應明確需要脫敏處理的應用場景、脫敏處理流程、涉及部門及人員的職責分工。

3.       技術工具

①      組織應提供統(tǒng)一的數(shù)據脫敏工具,實現(xiàn)數(shù)據脫敏工具與數(shù)據權限管理系統(tǒng)的聯(lián)動,以及數(shù)據使用前的靜態(tài)脫敏;

②      應提供面向不同數(shù)據類型的脫敏方案,可基于場景需求自定義脫敏規(guī)則;

③      數(shù)據脫敏后應保留原始數(shù)據格式和特定屬性,滿足開發(fā)與測試需求;

④      應對數(shù)據脫敏處理過程相應的操作進行記錄,以滿足數(shù)據脫敏處理安全審計要求。

4.       人員能力

①      應熟悉常規(guī)的數(shù)據脫敏技術,能夠分析數(shù)據脫敏過程中存在的安全風險,基于數(shù)據脫敏的具體場景保證業(yè)務和安全之間的需求平衡;

②      應具備對數(shù)據脫敏的技術方案定制化的能力,能夠基于組織內部各級別的數(shù)據建立有效的數(shù)據脫敏方案;

02實踐指南

1.       組織建設

美創(chuàng)科技專家建議組織機構在條件允許的情況下應該設立數(shù)據脫敏部門并招募相關的技術人員和管理人員,負責為公司制定整體的數(shù)據脫敏原則和制度,并推動相關要求確實可靠的落地執(zhí)行。

除此之外,還需要為公司定義不同等級的敏感數(shù)據脫敏處理情景、標準操作流程、標準方法,為公司建立統(tǒng)一的安全審計機制,用于記錄和監(jiān)督數(shù)據脫敏各階段的操作行為,方便后續(xù)的問題排查和事件溯源等,在申請數(shù)據權限的階段中,還應該提供評估使用真實數(shù)據必要性的服務支持,并確定在當前業(yè)務場景下應該采用的數(shù)據脫敏規(guī)則和方法。

2.       人員能力

針對數(shù)據脫敏部門的管理人員來說,必須具備良好的數(shù)據安全風險意識,熟悉國家網絡安全法律法規(guī)以及組織機構所屬行業(yè)的政策和監(jiān)管要求,在進行數(shù)據脫敏管理以及數(shù)據脫敏原則制定的時候,嚴格按照《網絡安全法》、《數(shù)據安全法》等國家相關法律法規(guī)和行業(yè)規(guī)范執(zhí)行。

同時還需要相關人員具備一定的數(shù)據安全管理經驗,擁有良好的數(shù)據脫敏專業(yè)知識基礎,熟悉主流廠商的數(shù)據脫敏解決方案,熟悉常規(guī)的數(shù)據脫敏技術,能提前分析出數(shù)據脫敏過程中可能存在的安全風險,能夠與具體的業(yè)務場景結合,保持數(shù)據脫敏過程中業(yè)務與安全之間的平衡,具備對數(shù)據脫敏技術方案進行定制化的能力,能夠基于組織機構內部各級別的數(shù)據建立行之有效的數(shù)據脫敏解決方案。

針對數(shù)據脫敏部門的實施人員來說,必須具備良好的數(shù)據安全風險意識,熟悉相關法律法規(guī)以及政策要求,熟悉主流廠商的數(shù)據脫敏方案、熟悉市面上常用的數(shù)據脫敏工具,擁有至少一年以上的數(shù)據脫敏實施經驗,熟悉公司內部應用場景、業(yè)務場景,能夠快速有效地實施由管理部門輸出的定制化數(shù)據脫敏方案,并保障完成質量。同時還應該具備一定的應急響應能力,當在數(shù)據脫敏過程中發(fā)生了突發(fā)事件或意外情況,能夠快速響應進行上報,保障原始數(shù)據安全以及脫敏數(shù)據的完整性和可用性等。

3.       落地執(zhí)行性確認

針對數(shù)據脫敏崗位人員能力的實際落地執(zhí)行性確認,可通過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、文件調閱、技術檢測等多種方式實現(xiàn)。

1  2  下一頁>  
聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標題:
*糾錯內容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網安備 44030502002758號