數(shù)據安全能力成熟度模型系列:數(shù)據處理階段的數(shù)據脫敏過程
《信息安全技術 數(shù)據安全能力成熟度模型》(GB/T 37988-2019)簡稱DSMM正式成為國標對外發(fā)布,并已正式實施。美創(chuàng)科技將以DSMM數(shù)據安全治理思路為依托,針對各過程域,基于充分定義級視角(3級),提供數(shù)據安全建設實踐建議,形成系列文章。本文作為數(shù)據安全能力成熟度模型系列第十篇文章,將介紹數(shù)據處理階段的數(shù)據脫敏過程域(PA10)。
01定義
數(shù)據脫敏,DSMM官方描述定義為根據相關法律法規(guī)、標準的要求以及業(yè)務需求,給出敏感數(shù)據的脫敏需求和規(guī)則,對敏感數(shù)據進行脫敏處理,保證數(shù)據可用性和安全性的平衡。
DSMM標準在充分定義級對數(shù)據脫敏要求如下:
1. 組織建設
① 美創(chuàng)科技專家建議組織應設立統(tǒng)一的數(shù)據安全崗位和人員,負責制定數(shù)據脫敏的原則和方法,并提供相關技術能力;
② 在數(shù)據權限的申請階段,有相關人員應評估使用真實數(shù)據的必要性,以及確定該場景下適用的數(shù)據脫敏規(guī)則及方法。
2. 制度流程
① 應明確組織的數(shù)據脫敏規(guī)范,明確數(shù)據脫敏的規(guī)則、脫敏方法利使用限制等;
② 應明確需要脫敏處理的應用場景、脫敏處理流程、涉及部門及人員的職責分工。
3. 技術工具
① 組織應提供統(tǒng)一的數(shù)據脫敏工具,實現(xiàn)數(shù)據脫敏工具與數(shù)據權限管理系統(tǒng)的聯(lián)動,以及數(shù)據使用前的靜態(tài)脫敏;
② 應提供面向不同數(shù)據類型的脫敏方案,可基于場景需求自定義脫敏規(guī)則;
③ 數(shù)據脫敏后應保留原始數(shù)據格式和特定屬性,滿足開發(fā)與測試需求;
④ 應對數(shù)據脫敏處理過程相應的操作進行記錄,以滿足數(shù)據脫敏處理安全審計要求。
4. 人員能力
① 應熟悉常規(guī)的數(shù)據脫敏技術,能夠分析數(shù)據脫敏過程中存在的安全風險,基于數(shù)據脫敏的具體場景保證業(yè)務和安全之間的需求平衡;
② 應具備對數(shù)據脫敏的技術方案定制化的能力,能夠基于組織內部各級別的數(shù)據建立有效的數(shù)據脫敏方案;
02實踐指南
1. 組織建設
美創(chuàng)科技專家建議組織機構在條件允許的情況下應該設立數(shù)據脫敏部門并招募相關的技術人員和管理人員,負責為公司制定整體的數(shù)據脫敏原則和制度,并推動相關要求確實可靠的落地執(zhí)行。
除此之外,還需要為公司定義不同等級的敏感數(shù)據脫敏處理情景、標準操作流程、標準方法,為公司建立統(tǒng)一的安全審計機制,用于記錄和監(jiān)督數(shù)據脫敏各階段的操作行為,方便后續(xù)的問題排查和事件溯源等,在申請數(shù)據權限的階段中,還應該提供評估使用真實數(shù)據必要性的服務支持,并確定在當前業(yè)務場景下應該采用的數(shù)據脫敏規(guī)則和方法。
2. 人員能力
針對數(shù)據脫敏部門的管理人員來說,必須具備良好的數(shù)據安全風險意識,熟悉國家網絡安全法律法規(guī)以及組織機構所屬行業(yè)的政策和監(jiān)管要求,在進行數(shù)據脫敏管理以及數(shù)據脫敏原則制定的時候,嚴格按照《網絡安全法》、《數(shù)據安全法》等國家相關法律法規(guī)和行業(yè)規(guī)范執(zhí)行。
同時還需要相關人員具備一定的數(shù)據安全管理經驗,擁有良好的數(shù)據脫敏專業(yè)知識基礎,熟悉主流廠商的數(shù)據脫敏解決方案,熟悉常規(guī)的數(shù)據脫敏技術,能提前分析出數(shù)據脫敏過程中可能存在的安全風險,能夠與具體的業(yè)務場景結合,保持數(shù)據脫敏過程中業(yè)務與安全之間的平衡,具備對數(shù)據脫敏技術方案進行定制化的能力,能夠基于組織機構內部各級別的數(shù)據建立行之有效的數(shù)據脫敏解決方案。
針對數(shù)據脫敏部門的實施人員來說,必須具備良好的數(shù)據安全風險意識,熟悉相關法律法規(guī)以及政策要求,熟悉主流廠商的數(shù)據脫敏方案、熟悉市面上常用的數(shù)據脫敏工具,擁有至少一年以上的數(shù)據脫敏實施經驗,熟悉公司內部應用場景、業(yè)務場景,能夠快速有效地實施由管理部門輸出的定制化數(shù)據脫敏方案,并保障完成質量。同時還應該具備一定的應急響應能力,當在數(shù)據脫敏過程中發(fā)生了突發(fā)事件或意外情況,能夠快速響應進行上報,保障原始數(shù)據安全以及脫敏數(shù)據的完整性和可用性等。
3. 落地執(zhí)行性確認
針對數(shù)據脫敏崗位人員能力的實際落地執(zhí)行性確認,可通過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、文件調閱、技術檢測等多種方式實現(xiàn)。
請輸入評論內容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結構工程師 廣東省/深圳市